|
Доклад посвящен практическим вопросам раннего обнаружения сетевых аномалий – «неадекватного» поведения устройств и сервисов. Приводится информация о разработке высокопроизводительной системы анализа служебного сетевого трафика - робота, который в реальном масштабе времени дает ответы на ряд специфических вопросов, касающихся «сетевой погоды» и соблюдения «сетевой гигиены». К первой группе относятся вопросы типа: какая пара «источник-потребитель» создала наибольший трафик и как это сделала; какова на данном канале динамика распределения трафика по протоколам; каков объем транзитного трафика, кто его генерирует и как. Вторая группа вопросов: кто сканирует сеть; кто рассылает спам; какие хосты «зомбированы»; кто участвует в обмене файлами по технологиям типа p2p и т.п. Обнаружение отклонений в поведении сетевых устройств и приложений крайне необходимо и полезно на этапе эксплуатации сетей передачи данных, своевременное знание такой информации трудно переоценить.
Главным содержанием доклада является представление разработанной методики своевременного обнаружения отклонений в поведении сетевых приложений. Она базируется на экспресс-анализе потока служебного сетевого трафика – записей netflow, вычислении профилей поведения приложений и ряде эмпирических правил и исключений (накопленных в ходе сопровождения сети), позволяющих ставить «диагноз» обнаруженным аномальным явлениям.
Робот, реализующий эту методику, состоит из коллектора сбора записей, вычислительного кластера, веб-монитора и программного обеспечения, в которое входит пакет прикладных программ и диспетчер. Программы пакета реализуют алгоритмы обработки записей, вычисляют профили активных хостов и готовят отчеты для публикации. Диспетчер осуществляет логистику данных и управляет работой кластера. Реализация взаимодействия механизмов робота выполнена с применением грид - технологий. Разработанные методы полностью соответствуют классической схеме пассивного сетевого мониторинга, который осуществляется без нарушения целостности сетевой инфраструктуры. Полигоном их апробации является сеть интернет СО РАН.
В первой, вводной, части доклада проводится анализ основных свойств систем пассивного сетевого мониторинга распределенных информационно – вычислительных систем регионального масштаба, что является характерной чертой данной работы. Основное внимание уделяется критическим характеристикам и требованиям к системам подобного типа. Затем формулируется цель работы и постановка задачи. Во второй, главной части, сообщается информация о структуре исходных данных, базовых алгоритмах обработки и методах анализа результатов. В третьей части доклада представлены основные компоненты робота, реализующего эти алгоритмы в режиме on-line. В заключении формулируется основной результат работы и обсуждаются точки роста.
Примечание. Тезисы докладов публикуются в авторской редакции
Ваши комментарииОбратная связь |
![[ICMMG SBRAS]](http://www.sscc.ru/img/ivm_ct.gif)
[Головная страница] [Конференции] |
© 2006, Институт Вычислительной Математики и Математической Геофизики СО РАН, Новосибирск
© 2006, Сибирское отделение Российской академии наук, Новосибирск
Дата последней модификации: 06-Jul-2012 (11:52:52)