Березовский А.Н. Южный федеральный университет
1. Обнаружение аномалий в работе каналов сети с помощью методов математического анализа.
2. Анализ характеристик работы каналов на нескольких уровнях модели ISO/OSI: канальном, сетевом, транспортном и прикладном.
3. Анализ зависимостей между потенциально аномальными характеристиками для уменьшения кол-ва ложных срабатываний.
В настоящее время в опорной сети ЮФУ используется оборудование фирмы Cisco;
Для нужд ВЦ ЮФУ была создана система сбора статистической информации использующая для ее получения следующие технологии: протокол SNMP; протокол Netflow; технология Cisco NBAR;
значение параметра работы канала является потенциально аномальным, если не попадает в некоторый интервал разрешенных значений;
интервал разрешенных значений задается либо вручную, либо вычисляется с помощью методов математического анализа;
Используется математическая модель нормальной работы сети в которой значения параметров состоят из следующих трех составляющих: Y(t) = f(t)+g(t)+(t),
где f(t) - тренд, медленно меняющаяся во времени функция, характеризующая изменения, связанные с развитием сетевой инфраструктуры;
g(t) - периодическая составляющая, которая может быть описана конечным рядом Фурье и характеризующая изменения, связанные с суточными и недельными колебаниями пользовательской активности;
(t) - случайная последовательность, относительно которой делается предположение о равенстве нулю ее математического ожидания М[t]=0 и с дисперсией 2=2(t), посчитанной на основе предыдущих данных с учетом времени суток и дня недели.
Для практического использования этой модели необходимо устранить нестационарность системы;
Необходимо учесть следующие нестационарные компоненты: тренд. связанный с развитием сети; сезонные циклы; недельные циклы (рабочие и
праздничные дни); суточные циклы;
для уменьшения количества ложных срабатываний анализируется взаимосвязь между выявленными потенциально аномальными явлениями;
Пример: в случае большого количества одновременных
TCP-сессий с одного компьютера большое значение имеет программный протокол, используемый для этих сессий. Если это протокол передачи почтовых сообщений – возможно ведется массовая рассылка спама.