70 likes | 180 Views
Березовский А.Н. Южный федеральный университет. Методы обнаружения аномальных ситуаций в режимах загрузки каналов корпоративных телекоммуникационных сетей. 1. Обнаружение аномалий в работе каналов сети с помощью методов математического анализа.
E N D
Березовский А.Н. Южный федеральный университет Методы обнаружения аномальных ситуаций в режимах загрузки каналов корпоративных телекоммуникационных сетей
1. Обнаружение аномалий в работе каналов сети с помощью методов математического анализа. 2. Анализ характеристик работы каналов на нескольких уровнях модели ISO/OSI: канальном, сетевом, транспортном и прикладном. 3. Анализ зависимостей между потенциально аномальными характеристиками для уменьшения кол-ва ложных срабатываний. Общее описание разрабатываемой системы
В настоящее время в опорной сети ЮФУ используется оборудование фирмы Cisco; • Для нужд ВЦ ЮФУ была создана система сбора статистической информации использующая для ее получения следующие технологии: • протокол SNMP; • протокол Netflow; • технология Cisco NBAR; Получение необходимой статистической информации
значение параметра работы канала является потенциально аномальным, если не попадает в некоторый интервал разрешенных значений; интервал разрешенных значений задается либо вручную, либо вычисляется с помощью методов математического анализа; Определение аномальности значений параметров
Используется математическая модель нормальной работы сети в которой значения параметров состоят из следующих трех составляющих: Y(t) = f(t)+g(t)+(t), где f(t) - тренд, медленно меняющаяся во времени функция, характеризующая изменения, связанные с развитием сетевой инфраструктуры; g(t) - периодическая составляющая, которая может быть описана конечным рядом Фурье и характеризующая изменения, связанные с суточными и недельными колебаниями пользовательской активности; (t) - случайная последовательность, относительно которой делается предположение о равенстве нулю ее математического ожидания М[t]=0 и с дисперсией 2=2(t), посчитанной на основе предыдущих данных с учетом времени суток и дня недели. Определение аномальности значений параметров (часть 2)
Для практического использования этой модели необходимо устранить нестационарность системы; • Необходимо учесть следующие нестационарные компоненты: • тренд. связанный с развитием сети; • сезонные циклы; • недельные циклы (рабочие и праздничные дни); • суточные циклы; Определение аномальности значений параметров (часть 3)
для уменьшения количества ложных срабатываний анализируется взаимосвязь между выявленными потенциально аномальными явлениями; Пример: в случае большого количества одновременных TCP-сессий с одного компьютера большое значение имеет программный протокол, используемый для этих сессий. Если это протокол передачи почтовых сообщений – возможно ведется массовая рассылка спама. Анализ взаимосвязи между потенциально аномальными явлениями