Аннотация
Масштабное развитие сетевых сервисов ставит перед их администраторами задачу обеспечить управляемость и подотчётность этих систем, их штатное функционирование и максимально исключить факты нештатного функционирования – сетевые аномалии, для чего используются системы мониторинга. Рассмотрены существующие системы мониторинга сети. Предложен способ построения системы обнаружения сетевых аномалий на принципах гибкости, модульности и расширяемости. Система использует клиент-серверную архитектуру, что способствует независимости компонентов и созданию распределённой системы. К компонентам системы относятся сетевой сенсор, анализатор, база конфигурации и сетевой статистики, модуль реагирования и веб-интерфейс. Предлагается способ повышения эффективности и быстродействия системы с использованием методов прогноза сетевого трафика. Для реализации прогнозирования в состав системы может включаться дополнительный модуль. Описан процесс обработки данных о сетевой активности в системе. К основным этапам процесса относятся обнаружение фактов, подсчёт фактов, агрегация фактов, фильтрация данных, проверка критериев сетевых аномалий и получение результата. Среди дальнейших направлений исследования – анализ методов построения профилей сетевой активности и прогнозирования легитимного сетевого трафика с учётом этих профилей. Отклонение прогноза от реального трафика предполагается анализировать на предмет изменения состояния системы.
Ключевые слова: информационная безопасность, сетевой трафик, сетевые аномалии, Distributed Denial of Service, DDoS, отказ в обслуживании, мониторинг сети, архитектура приложений, обработка данных
Список литературы
1. Афонцев Э. Сетевые аномалии: статья [Электронный ресурс]. – URL: http://nag.ru/go/text/15588/.
2. Бабенко Г.В., Белов С.В. Анализ трафика TCP/IP наоснове методики допустимого порога и отклонения как инструмент определения инцидентов информационной безопасности [Электронный ресурс] // Технологии техносферной безопасности: интернет-журнал. 2011. – Вып. № 5 (39). – URL: http://agps-2006.narod.ru/ttb/2011-5/08-05-11.ttb.pdf
3. Traffic Anomaly Detection with Snort / M. Szmit, R. Wężyk, M. Skowroński, A. Szmit // Information Systems Architecture and Technology. Information Systems and Computer Communication Networks. – Wrocław: Wydawnictwo Politechniki Wrocławskiej, 2007. – P. 181–187. – ISBN 978-83-7493-348-3.
4. Lu W., Traore I. An unsupervised approach for detecting DDoS attacks based on traffic-based metrics // IEEE Pacific Rim Conference on Communications, Computers and signal Processing, PACRIM 2005, 24–26 Aug. 2005. – P. 462–465.
5. Levonevskiy D.K., Fatkieva R.R. DDoS attack detection method based on the statistical research of the traffic metrics // 6th International Conference on European Science and Technology. – URL: http://www.rusnauka.com/ 15_NPN_2013/Informatica/4_138702.doc.htm
6. Levonevskiy D.K., Fatkieva R.R. Statistical research of traffic-based metrics for the purpose of DDos attack detection // European Science and Technology: materials of the IV international research and practice conference, Munich, April 10th–11th, 2013. – Munich, Germany: Publishing office Vela Verlag Waldkraiburg, 2013. – Vol. 1. – P. 259–268.
7. Фаткиева Р.Р. Разработка метрик для обнаружения атак на основе анализа сетевого трафика // Вестник Бурятского государственного университета. Математика, информатика. – 2013. – Вып. 9. – С. 81–86.
8. Detecting distributed denial of service (DDoS) attacks through inductive learning // Lecture Notes in Computer Science. – Berlin; Heidelberg: Springer, 2003. – Vol. 2690. – P. 286–295.
9. Szmit M., Szmit A. Use of Holt-Winters method in the analysis of network traffic: Case study // Communications in Computer and Information Science. – 2011. Vol. 160. – P. 224–231.
10. Usage of Holt-Winters Model and Multilayer Perceptron in Network Traffic Modelling and Anomaly Detection /
M. Szmit, A. Szmit, S. Adamus, S. Bugala // Informatica (Slovenia). – 2012. – Vol. 36 (4). – P. 359–368.
