МЕТОДЫ И СРЕДСТВА ОБНАРУЖЕНИЯ ПЕРЕГРУЗОК КАНАЛОВ КОРПОРАТИВНОЙ ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ТРАФИКОМ НЕПРОФИЛЬНЫХ ПРИЛОЖЕНИЙ

МЕТОДЫ И СРЕДСТВА ОБНАРУЖЕНИЯ ПЕРЕГРУЗОК КАНАЛОВ
КОРПОРАТИВНОЙ ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ ТРАФИКОМ
НЕПРОФИЛЬНЫХ ПРИЛОЖЕНИЙ
А.Н. Березовский, А.А. Букатов, А.С. Ковалевская, А.В. Прыткова
Южно-Российский региональный центр информатизации Южного федерального
университета, г. Ростов-на-Дону
Тел.: (863) 219-97-27, e-mail: and@sfedu.ru, baa@sfedu.ru
В ходе эксплуатации корпоративной телекоммуникационной сети (ТС) эпизодически могут возникать
ситуации нарушения режима нормального функционирования сети, вызванные перегрузкой каналов (особенно
– внешнего канала) сети. Указанные ситуации могут вызывать отказ в работе (Deny of Service – DoS) как на
отдельных компьютерах, подсетях и сети в целом. При этом такие перегрузки зачастую являются следствием
не предумышленной DoS-атаки на сеть, а работой на некоторых компьютерах тех или иных сетевых
приложений, создающих чрезмерную нагрузку на каналы сети. При этом причину отказа вызванного указанной
перегрузкой довольно трудно диагностировать.
Отметим, что зачастую такие приложения являются «непрофильными» для корпоративной ТС (т.е. они не
используются для решения тех или иных информационно-вычислительных задач владельца ТС). К таким
приложениям с большой вероятностью относятся так называемые файлоообменные, пиринговые или Peer to
Peer (P2P) приложения. Доля трафика таких приложений в сети Интернет по данным [1] составляет около 70%.
Поэтому задача выявления факта наличия и источника непрофильного трафика является весьма актуальной.
Для обнаружения непрофильного трафика могут использоваться средства классификации сетевого
трафика по типам приложений, генерирующих этот трафик. Известные средства подобной классификации
основаны на использовании методов одного из двух подходов к классификации:
• методы анализа содержимого пакетов, основанные на поиске в пакетах, передаваемых по сети,
определенных шаблонов, называемых сигнатурами пакетов;
• методы анализа особенностей поведения сетевых приложений.
Методы анализа содержимого пакетов можно разделить по месту нахождения сигнатуры: в заголовках
сетевого, транспортного или прикладного уровней или в полезной нагрузке пакета. Наиболее
распространенным методом этого типа является метод идентификации прикладного протокола по известному
номеру используемого им порта. Этот метод обладает как явными достоинствами, так и определенными
недостатками. Основным достоинством метода является его «быстродействие». В то же время точность
классификации вопреки интуитивным ожиданиям зачастую оказывается невысокой. Это связано с тем, что
некоторые сетевые приложения «маскируются» от распознавания этим методом путем использования портов,
стандартно используемых другими широко известными (well known) приложениями. Так, например, протокол
HTTP часто используется для передачи P2P-трафика, трафика потоковых протоколов (например, RTSP),
протоколов мгновенного обмена сообщениями. По данным [2] в 2005 г. только для 30% пакетов трафика
популярного P2P-протокола Kazaa использовался зарезервированный для него well known порт 1214, весь
остальной трафик приложений Kazaa пересылался через порты других прикладных протоколов. В целом же
точность классификации приложений рассмотренным методом составляет не более 50–70%.
Другим распространенным методом, основанным на первом подходе, является идентичный сигнатурным
методам обнаружения вирусов и сетевых атак метод поиска определенных сигнатур, специфичных для
приложений, в полезной нагрузке пакетов. Поэтому метод нечувствителен к использованию сетевыми
приложениями номеров портов других приложений. В то же время вычислительная сложность этого метода
существенно выше, чем у предыдущего. Это связано с тем, что по данным различных источников для
классификации P2P-пакета сигнатурным методом (его различным реализациям) необходимо проанализировать
16 байт каждого пакета в потоке (за исключением случаев инкапсуляции в HTTP) [3], первые 5 пакетов потока
[4] либо 1 Кбайт потока [5] (для распознавания SMTP, P2P). И общим недостатком всех сигнатурных методов
является сложность расширения набора сигнатур при обнаружении того, что используемый набор не
обеспечивает распознавание некоторого нового класса трафика, для выполнения которого требуются
достаточно большие трудозатраты квалифицированных специалистов.
Методы второго типа основаны на использовании статистического анализа трафика сетевых соединений.
Эти методы, в свою очередь, разделяются на методы анализа особенностей поведения узлов сети (hostbehavior-based) и основанные на анализе особенностей информационных потоков между сетевыми
приложениями (flow-feature-based). Все разновидности основанных на этих методах средств классификации
трафика требуют их предварительного «обучения» на заранее подготовленных данных dump-файлах трафика
сети. Чаще всего используется информация транспортного уровня о взаимодействии между подключенными к
сети компьютерами. К достоинствам методов указанного типа относится возможность распознавания
шифрованных данных, поскольку берется во внимание именно особенности поведения трафика в потоке, а не
содержимое пакетов. Кроме того, обеспечивается возможность распознавания аномального трафика не
предусмотренных заранее классов (по отличию статистических характеристик аномального трафика от
статистических характеристик трафика, свободного от аномалий). К основным недостаткам этих методов
относятся невозможность безошибочной идентификации трафика конкретных сетевых приложений и очень
высокая вычислительная сложность, вызванная необходимостью анализа всего потока, а не нескольких первых
пакетов в этом потоке.
По результатам анализа рассмотренных методов и средств классификации трафика предложен
комплексный метод классификации трафика сетевых приложений, наследующий достоинства известных
методов и, по возможности, свободный от их недостатков. Суть предложенного метода состоит в следующем.
Классификация пакетов выполняется в два этапа: основной этап классификации трафика по содержимому
пакетов и возможный дополнительный этап классификации методом анализа особенностей поведения сетевых
приложений. Первый этап в свою очередь включает два подэтапа, на первом из которых выполняется быстрая
классификация по номерам портов, результаты которой используются для выделения потоков трафика и
сужения набора сигнатур, применяемых на втором подэтапе, выполняющем классификацию потоков трафика
на основе анализа содержимого пакетов. Если в результате выполнения сигнатурного анализа произошло
сопоставление анализируемого потока с некоторой сигнатурой, классификация считается успешной и
завершается. В противном случае выполняется второй этап классификации, основанный на статистическом
анализе всей информации классифицируемых потоков трафика, выполняемый в режиме offline. Результатом
этого анализа является вероятностная оценка о принадлежности потоков трафика к тому или иному семейству
протоколов. Эти результаты используются для «ручного» анализа трафика и последующей разработки новых
либо корректировки существующих сигнатур.
Для применения рассмотренного метода разработана прототипная реализация комплекса программных
средств, предназначенных для классификации трафика [6]. Этот комплекс включает в свой состав базу знаний о
протоколах сетевых приложений (содержащую, в частности, сигнатуры потоков сетевых приложений и
статистические профили семейств сетевых приложений), модуль предварительной классификации сетевых
соединений, основную подсистему классификации информационных потоков, средства статистического анализа
не идентифицированного трафика, средства долговременного хранения статистической информации и
интерфейсные средства для просмотра этой информации. Результаты экспериментального внедрения
указанного комплекса показали эффективность применения разработанных методов и средств.
Литература
1.
2.
3.
4.
5.
6.
Пиринговые (P2P) сети // http://www.visti.net/~dwl/art/p2p/p2p-end.pdf
Kim Н.C., Сlaffy K.C., Fomenkov M, Barman D., Faloutsos M., Lee K.Y. Internet Traffic Classification
Demystified: Myths, Caveats, and the Best Practices // ACM CONEXT 2008, December, 2008.
Karagiannis T., Broido A., Faloutsos M., Claffy K. Transport layer identification of P2P traffic // ACM IMC,
October 2004.
Won Y.J., Park B.C., Ju H.T., Kim M.S., Hong J.W. A hybrid approach for accurate application traffic
identification // IEEE/IFIP E2EMON, April 2006.
Papagiannaki M., Papagiannaki K. Toward the Accurate Identification of Network Applications // Passive
and Active Measurements Workshop, Boston, MA, USA, March 31 – April 1, 2005.
Березовский А.Н., Букатов А.А., Ковалевская А.С., Прыткова А.В. Система классификации сетевого
трафика по его принадлежности к тому или иному классу приложений NetClassifier, версия 0.1,
NetClassifier v. 0.1 // Свидетельство о государственной регистрации программы для ЭВМ
№ 2011610520, заявка №2010617119, дата поступления 15.11.2010 г., дата регистрации
11.01.2011 г., ФГУ ФИПС, 2011.