Методы обнаружения аномальных ситуаций в режимах загрузки

МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛЬНЫХ
СИТУАЦИЙ В РЕЖИМАХ ЗАГРУЗКИ
КАНАЛОВ КОРПОРАТИВНЫХ
ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ
Березовский А.Н.
Южный федеральный университет
ОБЩЕЕ ОПИСАНИЕ РАЗРАБАТЫВАЕМОЙ
СИСТЕМЫ
1. Обнаружение аномалий в работе каналов сети с
помощью методов математического анализа.
2. Анализ характеристик работы каналов на
нескольких уровнях модели ISO/OSI:
канальном, сетевом, транспортном и
прикладном.
3. Анализ зависимостей между потенциально
аномальными характеристиками для
уменьшения кол-ва ложных срабатываний.
ПОЛУЧЕНИЕ НЕОБХОДИМОЙ СТАТИСТИЧЕСКОЙ
ИНФОРМАЦИИ
В настоящее время в опорной сети ЮФУ
используется оборудование фирмы Cisco;
 Для нужд ВЦ ЮФУ была создана система
сбора статистической информации
использующая для ее получения следующие
технологии:

 протокол
SNMP;
 протокол Netflow;
 технология Cisco NBAR;
ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ
значение параметра работы канала является
потенциально аномальным, если не попадает
в некоторый интервал разрешенных
значений;
 интервал разрешенных значений задается
либо вручную, либо вычисляется с помощью
методов математического анализа;

ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ (ЧАСТЬ 2)
Используется математическая модель нормальной работы
сети в которой значения параметров состоят из
следующих трех составляющих: Y(t) = f(t)+g(t)+(t),
где f(t) - тренд, медленно меняющаяся во времени функция,
характеризующая изменения, связанные с развитием
сетевой инфраструктуры;
g(t) - периодическая составляющая, которая может быть
описана конечным рядом Фурье и характеризующая
изменения, связанные с суточными и недельными
колебаниями пользовательской активности;
(t) - случайная последовательность, относительно которой
делается предположение о равенстве нулю ее
математического ожидания М[t]=0 и с дисперсией
2=2(t), посчитанной на основе предыдущих данных с
учетом времени суток и дня недели.
ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ (ЧАСТЬ 3)
Для практического использования этой
модели необходимо устранить
нестационарность системы;
 Необходимо учесть следующие
нестационарные компоненты:

тренд. связанный с развитием сети;
 сезонные циклы;
 недельные циклы (рабочие и праздничные дни);
 суточные циклы;

АНАЛИЗ ВЗАИМОСВЯЗИ МЕЖДУ
ПОТЕНЦИАЛЬНО АНОМАЛЬНЫМИ ЯВЛЕНИЯМИ

для уменьшения количества ложных срабатываний
анализируется взаимосвязь между выявленными
потенциально аномальными явлениями;
Пример:
в случае большого количества одновременных TCPсессий с одного компьютера большое значение имеет
программный протокол, используемый для этих
сессий. Если это протокол передачи почтовых
сообщений – возможно ведется массовая рассылка
спама.