В докладе излагаются результаты тестирования характеристик работоспособности, надежности и производительности сервера сбора статистики СПД СО РАН. Этот сервер предназначен для раннего обнаружения вредоносных воздействий на сеть извне, проявлений аномального поведения компьютеров абонентов сети и наличия нелегитимных приложений с целью обеспечения приемлемого уровня безопасности сети в целом. Поскольку предполагалось, что сервером будет анализироваться в режиме реального времени поток данных значительной интенсивности, была поставлена задача оценки возможностей операционной системы и прикладных программ обрабатывать такие интенсивные потоки, не допуская просчетов (пропусков) пакетов.
Исследуемый поток получается с центрального коммутатора сети СО РАН с использованием технологии span-портов или мониторирующих портов, когда на один из интерфейсов коммутатора/маршрутизатора копируется весь трафик некоторых выделенных интерфейсов.
Эффективность такого мониторирования современных высокопроизводительных сетей определяется как используемыми аппаратными средствами (сетевые интерфейсы, используемая вычислительная платформа), так и используемым программным обеспечением этого монитора. Требование обеспечить определенную масштабируемость системы мониторинга, возможность ее работы не только с теми уровнями загрузки, которые существуют в сети настоящее время, но и иметь перспективы роста, диктует необходимость оценки характеристик построенной системы. Неадекватность системы захвата трафика может проявляться из-за потери пакетов, либо из-за нехватки вычислительных ресурсов для последующего анализа захваченных пакетов. Вероятность потери пакетов может быть уменьшена за счет выбора адекватного сетевого интерфейса. Использование в построенной системе серверных сетевых интерфейсов Intel PRO/1000 PT (80003ES2) обеспечивает эффективное решение соответствующей задачи.
Для предварительной оценки возможностей созданного программно-аппаратного комплекса была проведена калибровка системы, результаты которой показали, что выбранная аппаратная платформа и установленная ОС в комплексе с различными программами-коллекторами поддерживает достаточную производительность, обрабатывая анализируемый поток, не допуская потерь пакетов и, тем самым, обеспечивая достоверность собираемых данных при существующей загрузке каналов. При этом загрузка процессора составляет единицы процентов. Начата работа по адаптации свободно распространяемой системы SNORT с библиотекой сигнатур для идентификации сетевых приложений. На начальном этапе рассматривался ограниченный набор сигнатур, необходимых для идентификации только двух сетевых приложений (E-Donkey и BitTorrent), ответственных, по предварительным оценкам, за генерацию до 20-30 %% нелегитимного трафика. Опытная эксплуатация системы продемонстрировала достаточную полноту собираемой информации и ее адекватность поставленным задачам.
Работа выполнена при поддержке Российского фонда фундаментальных исследований (проект 06-07-89038), Программы интеграционных фундаментальных исследований СО РАН (проект 1.7), Программы государственной поддержки научных исследований, проводимых ведущими научными школами Российской Федерации (проект НШ-9886.2006.9), государственного контракта 2007-4-1.4-00-04-103
Дополнительные материалы: | Полный текст доклада |
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск
Дата последней модификации: 06-Jul-2012 (11:52:01)