- Основные методы анализа сетевого трафика Текст научной статьи по специальности «Компьютерные и информационные науки»
- Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Гладких Анна Михайловна
- Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Гладких Анна Михайловна
- Текст научной работы на тему «Основные методы анализа сетевого трафика»
Основные методы анализа сетевого трафика Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Гладких Анна Михайловна
так как продолжают расти частные внутренние сети компаний, чрезвычайно важно, чтобы сетевые администраторы знали и умели управлять вручную различными типами трафика, который проходит по сети. Этим и обусловлена актуальность темы анализа сетевого трафика . В статье рассматриваются основные из существующих на сегодняшний день методы анализа трафика и их сравнение.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Гладких Анна Михайловна
Определение протокола информационного обмена прикладного уровня на основе классификации сетевых пакетов с применением нейронных сетей и алгоритмов нечеткой логики в системах анализа трафика
Применение методов нелинейной динамики и фрактального анализа для оценивания работы инфокоммуникационных систем с протоколом TCP
Текст научной работы на тему «Основные методы анализа сетевого трафика»
ОСНОВНЫЕ МЕТОДЫ АНАЛИЗА СЕТЕВОГО
Гладких Анна Михайловна — магистрант, кафедра информационных систем и телекоммуникаций,
факультет информатики и управления, Московский государственный технический университет им. Н.Э. Баумана, г. Москва
Аннотация: так как продолжают расти частные внутренние сети компаний, чрезвычайно важно, чтобы сетевые администраторы знали и умели управлять вручную различными типами трафика, который проходит по сети. Этим и обусловлена актуальность темы анализа сетевого трафика. В статье рассматриваются основные из существующих на сегодняшний день методы анализа трафика и их сравнение.
Ключевые слова: сетевой трафик, анализ трафика, статистические методы анализа, wireshark, искусственные нейронные сети.
Актуальность. Для эффективного управления сетью большое значение имеет её мониторинг. Он является источником информации о функционировании корпоративных приложений, которая учитывается при распределении средств, планировании вычислительных мощностей, определении и локализации отказов, решении вопросов безопасности.
Сетевой мониторинг — это сложная задача, требующая больших затрат сил, которая является очень важной частью работы сетевых администраторов. Администраторы постоянно стремятся поддержать бесперебойную работу своей сети. Если в сети произойдет сбой хотя бы на небольшой период времени, производительность в компании сократится, что может негативно отразиться на работе компании в целом.
Понятие анализа сети. Анализ сети — это процесс захвата трафика и его просмотра для определения наличия в нем проблем и аномалий.
Анализ сетевого трафика приобретает все большую актуальность в связи с развитием сетевых технологий, увеличением объема данных, передаваемых по сети, внедрением большого количества новых сетевых протоколов (в том числе закрытых). В качестве основных областей практического применения можно выделить следующие:
— выявление проблем в работе сети;
— тестирование (отладка) сетевых протоколов;
— предотвращение сетевых атак;
Методы анализа сетевого трафика. На сегодняшний день существует несколько способов для мониторинга и анализа сетевого трафика. Рассмотрим основные из них:
— с помощью программ-анализаторов (в том числе с помощью специальных протоколов в маршрутизаторах);
— методы на основе нейронных сетей.
Все эти методы обладают своими достоинствами и недостатками и применяются в зависимости от целей и возможностей компаний. Рассмотрим каждый метод отдельно.
Программы-анализаторы. Самым простым и доступным способом анализа сетевого трафика являются программы-анализаторы [1]. Программа-анализатор или сниффер — это программа или программно-аппаратное устройство, которое применяется для захвата и последующего анализа захваченного трафика или отдельного сегмента сети. В процессе захватывания всех потоков, анализатор захватывает и записывает все пакеты, полученные из интернет-трафика. В случае подробного и информативного анализа происходит декодирование пакетов из зашифрованной формы представления, в читаемую.
Существует множество программ, как платных, так и бесплатных, для реализации данного функционала.
Одной из самых известных, гибких и удобных программ является Wireshark. На рисунке 1 представлен интерфейс программы с захваченным трафиком.
é w¡ reshark File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 0 — 1 -a- 64 %Ш
а □ S © le ft ft É j q О О a Ö £ P — tj,
No. 77,37.252,17 I Time I Source I Destination | Protocol | Length| Info
28846 23 884948 77.37.252 17 192.168.10 117 TLSvl— 1514 Application Data [TCP segment of a re assembled PDU
28848 23 885289 77.37.252 17 192.168.10 117 TLSvl— 1514 Application Data [TCP segment of a re assembled POU
28856 23 885622 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28851 23 886039 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled POU
28853 23 888978 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28855 23 889264 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28856 23 889595 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28858 23 889886 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data Application Data
28860 23 890318 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28861 23 890555 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28863 23 890885 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a reassembled PDU
28866 23 891736 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a reassembled PDU
28868 23 892029 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28870 23 892389 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28871 23 906515 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28873 23 906873 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
28875 23 907620 77.37.252 17 192.168.10 117 TLSvl- 1514 Application Data [TCP segment of a re assembled PDU
Рис.1. Интерфейс программы Wireshark
Бесплатный open-source анализатор трафика Wireshark предоставляет своим пользователям возможность захватить трафик, отфильтровать пакеты, посмотреть их содержимое, нарисовать диаграммы TCP ошибок. Кроме того, в нем есть функции для перехвата и анализа голосового трафика (VoIP).
К плюсам можно отнести то, что данная программа абсолютна бесплатна, имеет гибкий интерфейс и проста в использовании. Кроме того, можно с ее помощью собрать трафик для последующего анализа трафика другими методами.
К недостаткам же относится то, что для анализа трафика больших компаний данное ПО не подойдет.
Статистические методы. Существует несколько методов для анализа трафика с помощью различных математических моделей [2]. Среди них:
— моделирование трафика фрактальным броуновским движением;
— анализ с помощью Марковской модели;
— моделирование временных рядов.
Рассмотрим более подробно моделирование временных рядов.
При построении модели временных рядов используется экспериментальная информация (полученная в реально функционирующей сети), требуется меньше допущений и, следовательно, более адекватно отражается реальный объект, т. е. телекоммуникационная сеть [3]. Данный метод наиболее точен, так как в основе лежит множество экспериментальных данных.
Математическая модель описывает поток информации в зависимости от момента 1 При статистическом анализе временных потоков информации необходимо осуществить выделение тренда, выделение периодических составляющих — колебаний относительно тренда с некоторой регулярностью, анализ случайного компонента.
Математическое описание обычно включает в себя одну из подобных составляющих или сумму нескольких из них.
Для такого показателя, как загрузка каналов, предложена следующая модель, включающая в себя три составляющие:
где ОД — тренд, медленно меняющаяся во времени функция, описывающая изменения среднесуточных (средне недельных) загрузок за интервалы времени большие, чем суточная периодичность; g(T) — периодическая составляющая, которая может быть описана конечным рядом Фурье, построенным по экспериментальным данным величин загрузок телекоммуникационного канала; е^)- случайная последовательность, относительно которой делается предположение о равенстве нулю ее математического ожидания М[е() = 0.
Моделирование тренда может проводиться с помощью хорошо разработанных методов регрессионного анализа. Свойства и характеристики случайной последовательности е(^) изучаются с помощью классических методов
математической статистики и методов анализа случайных последовательно стей.
Методы на основе нейронных сетей. Искусственная нейронная сеть (ИНС) является одним из подходов технологии создания интеллектуальных систем, основанных на имитации поведения человеческого мозга. Существует большое количество разных конфигураций нейронных сетей с различными принципами функционирования. Для того, чтобы реализовать систему, которая сможет обнаружить атаки и аномалии трафика, необходимо использовать полно связанную нейронную сеть. Такая нейронная сеть включает в себя несколько слоев, где каждый нейрон произвольного слоя связан со всеми нейронами предыдущего слоя [4]. На рисунке 2 представлена структура многослойного персептрона.
Рис .2.Структура многослойного персептрона
Многослойный персептрон содержит три типа слоев нейронов: входной, скрытый и выходной. Каждый нейрон сети имеет гладкую нелинейную функцию активации. Многослойные нелинейные нейронные сети позволяют формировать более сложные связи между входами и
выходами, чем однослойные линейные. Доказано, что трехслойная нейронная сеть с одним скрытым слоем может быть обучена аппроксимировать с произвольной точностью любую непрерывную функцию.
Выводы. Выбирая метод для анализа, важно основываться на таких факторах, как объем анализируемого трафика, надежность и информативность выбираемого метода, доступность. Все методы, описанные в данной статье, являются надежными и информативными. Однако если необходимо проанализировать небольшой трафик, то для этого будет и достаточно бесплатных программ-снифферов. Если же речь идет о больших данных, то логичнее всего здесь будет применить статистические методы или нейронную сеть. Кроме того, анализ с помощью нейронных сетей — довольно перспективное и развивающееся направление, которое на сегодняшний день себя довольно хорошо зарекомендовало.
1. Костромицкий А.И., Волотка В.С. Обзор программ анализа и мониторинга сетевого трафика.
2. Скуратов А.К. Статистический анализ телекоммуникационных сетей на основе исследования информационных потоков, представленных в виде временных рядов // Вестник Самарского государственного аэрокосмического университета. № 1, 2006. С. 259-262.
3. Высочина О.С., Шматков С.И., Салман Амер Мухсин. Анализ систем мониторинга телекоммуникационных сетей // Радюелектрошка, шформатика, управлшня, 2010. № 2. С. 139-142.