Вы находитесь на странице: 1из 12

УДК 621.

39

А. К. Канаев, М. А. Камынина, Е. В. Опарин

СПОСОБЫ ОБНАРУЖЕНИЯ ОТКЛОНЕНИЙ


В ФУНКЦИОНИРОВАНИИ ЭЛЕМЕНТОВ СЕТИ ПЕРЕДАЧИ
ДАННЫХ В ИНТЕРЕСАХ СИСТЕМЫ УПРАВЛЕНИЯ

Рассматриваются задачи администратора сети по управлению СПД и основные спо-


собы обнаружения отклонений. Предложена классификация аномалий в функционирова-
нии СПД, представлены основные способы их обнаружения при определенных условиях.
Разработана модель системы управления СПД, учитывающая тип входного потока событий
и различные методы обнаружения аномалий.

сеть передачи данных, система управления сетью, нейронные сети, аномалия.

Введение

Современная сеть передачи данных представляет собой сложную си-


стему с распределенным «интеллектом» и функционирует в соответствии
с правилами, определяющими взаимодействие между ее элементами, каждый
из которых тоже является сложной системой. Таким образом, сеть передачи
данных является большой системой и обладает следующими свойствами:
требует сложного программного обеспечения, имеет разветвленную структу-
ру, покрывает значительную территорию, обслуживает большое количество
пользователей.
Сети передачи данных (СПД), особенно сети масштаба MAN (Metro­
politan Area Network) и WAN (Wide Area Network), обладают всеми перечис-
ленными свойствами, поэтому их можно рассматривать как большую и слож-
ную систему. Можно утверждать, что с ростом сложности и масштаба сети
количество сбоев и отказов будет расти.
В связи с этим в статье рассматриваются задачи администратора сети
по управлению СПД и основные способы обнаружения отклонений, направ-
ленные на повышение обоснованности и своевременности принимаемых
решений обслуживающего персонала и надежности сети.

1 Управление сетью передачи данных

Современные сети передачи данных включают большое количество


разнородного оборудования и выполняют множество задач. Поэтому для

137
устойчивого функционирования сети требуется наличие системы управления
(СУ) сетью. В работе [1] определены основные задачи СУ, а именно: сво-
евременное обнаружение неисправностей, сбоев и отказов в оборудовании
и программном обеспечении; управление конфигурациями сетевых узлов;
резервное копирование и восстановление элементов сети; управление сете-
вым трафиком и безопасностью.
Система управления должна обеспечивать бесперебойную работу всех
элементов сети.
Система управления сетью состоит из совокупности аппаратных и про-
граммных средств и информационных ресурсов, размещенных во всех эле-
ментах сети.
Стандартом ISO 7498–4 определены задачи, которые должна выполнять
система управления СПД (рис. 1).
Для выполнения процессов управления в сети осуществляется сбор,
хранение, передача, обработка информации.
Наиболее важными задачами для обеспечения нормально­го функцио-
нирования сети, требующими оперативного реагирования работника центра
технического обслуживания, являются задачи по обнаружению сбоев, отка-
зов, ошибок в работе программных и аппаратных средств, а также выявление
причин их появления.

Управление Анализ производительности


конфигурацией Задачи СУ СПД и надежности
сети 1 3

Сбор статистической информации


Установка параметров, Анализ и обработка 3.1
управляющих стандартными ошибок
операциями открытой системы 2 Ведение и анализ журналов
1.1 регистрации ошибок
3.2
Ведение и анализ журналов
Логическая увязка имени
регистрации ошибок Определение эксплуатационных
с администрируемым объектом 2.1
(АО) и наборами АО характеристик системы в обычных
1.2 Прием уведомлений об обнаружении ошибок и искусственных условиях
3.3
и выполнение соответствующих действий
Получение извещений 2.2 Изменение режимов работы
о значительных событиях системы с целью выполнения
Отслеживание и идентификация
в окружающих условиях мероприятий по управлению
неисправностей
открытой системы 1.3 2.3 эксплуатационными
характеристиками 3.4
Сбор информации по требованию Выполнение последовательностей
о текущем состоянии диагностических тестов
Учет работы
открытой системы и устранение неисправностей
2.4 сети
1.4 5

Активизация и деактивизация АО Управление Информирование пользователей


безопасностью о начисленных стоимостях
1.5 4
или использованных ресурсах
5.1
Изменение конфигурации Создание, удаление и контроль за действиями
открытой системы услуг и механизмов защиты Установка предельных учетных
1.6 4.1 значений и распределение тарифов
за использование ресурсов
Распределение относящейся к защите 5.2
информации
4.2
Комбинирование стоимостей
Отчетность и событиях, при привлечении многих ресурсов
относящихся к защите информации для достижения поставленной
4.3 задачи обмена данными
5.3

Рис. 1. Задачи системы управления сетью передачи данных

138
Все отклонения от нормального функционирования в сети назовем ано-
малиями [2].
На первом этапе работник центра технического обслуживания должен
определить наличие аномалии. Следующий этап – при определении аномаль-
ного состояния необходимо провести диагностику сети, определить состоя-
ние элементов и установить причину появления аномалии.

2 Классификация аномалий в СПД

На сегодняшний день не существует стандартизированной классифи-


кации аномалий. Однако в [3] дано определение: аномалия – отклонение дей-
ствительного значения какой-либо характеристики контролируемого объекта
от требуемого значения этой характеристики в соответствии с руководящими
документами.
Если рассматривать сущность аномалий со стороны администратора,
то можно выделить две группы [2]:
– программно-аппаратные;
– нарушения политики безопасности.
Укрупненно под программно-аппаратными аномалиями понимают не-
исправности и сбои элементов СПД, ошибки программного обеспечения,
ошибки в конфигурации сети и многие другие.
К нарушениям политики безопасности можно отнести [4]: кражу ре-
зервных копий данных; комбинированные атаки; компьютерные вирусы; на-
блюдение инфраструктуры; переполнение буфера при входе; обман регистра-
ции; атаки на сетевые службы; угадывание (подбор) пароля и др.

3 Основные способы обнаружения аномалий

На основе ряда работ [2], [4], [5]–[7] был проведен анализ существую-
щих способов обнаружения аномалий и предложена классификация основных
способов обнаружения аномалий при определенных условиях (рис. 2).
Основным достоинством сигнатурного метода является то, что откло-
нение в работе сети можно достаточно быстро проследить до физического
узла. В результате легко выявить неисправный элемент СПД.
Подходы к обнаружению сигнатур [2], [4]:
1) совпадение с шаблоном;
2) совпадение с шаблоном состояния;
3) анализ на основе шаблона используемого протокола;
4) контроль частоты событий или превышение пороговой величины.

139
Способы обнаружения аномалий

В условиях наличия априорной информации Отсутствие информации о видах аномалий


о видах аномалий и проявлений и статистике работы системы
1 (обнаружение аномалий) 2

Обнаружение сигнатур Применение аппарата


математической статистики

Отсутствие информации о видах аномалий


при наличии экспертов в предметной области Вычисление текущих характеристик
3 трафика сети

Вычисление статистических
Экспертные системы характеристик потока пакетов СПД

Генетические алгоритмы Определение критериев аномального


поведения сетевого трафика

Фреймовые модели
Модели многомерного
Нейронные сети статистического анализа

Факторный анализ

Кластерный анализ

Корреляционный анализ

Модель марковского процесса

Модель статистического анализа


временных рядов
Рис. 2. Способы обнаружения аномалий

Совпадение с шаблоном предполагает обнаружение, которое базиру-


ется на поиске фиксированной последовательности байтов в рассматриваемом
элементе СПД.
Совпадение с шаблоном состояния по одному пакету устанавливает
состояние потока данных, а появление другого пакета (или пакетов), который на-
ходится в другом состоянии, считается аномалией.
Анализ на основе шаблона используемого протокола применяется для оцен-
ки состояния, использующего анализ различных позиций сетевого протокола.
Контроль частоты событий или превышение пороговой величины пред-
полагает, что сигнатуры описывают ситуации, когда в течение некоторого
интервала времени происходят события, число которых превышает заданные
заранее показатели.

140
В таблице 1 приведены достоинства и недостатки каждого подхода при
обнаружении сигнатур.

ТАБЛИЦА 1. Сравнение подходов к обнаружению сигнатур

Подход к обнаружению
Достоинства Недостатки
сигнатур
Возможность ложного
срабатывания системы
Простота задания правил Наличие множества шабло-
обнаружения нов для каждой аномалии
Совпадение с шаблоном Прямая связь с аномалией Ограниченность применения
Применим для всех подхода
протоколов Наличие условий, при
которых аномалии не будут
выявлены
Большая эффективность Наличие множества шабло-
Прямая связь с аномалией нов для каждой аномалии
Совпадение с шаблоном
Высокая надежность Модификация аномалии
состояния
Применим для всех про- Может привести к пропуску
токолов обнаружения
Прямая связь с аномалией
Анализ на основе Большое число пропусков
Средняя надежность
шаблона используемого Сложность формирования
Выявление крупных ано-
протокола сигнатур
малий
Сигнатуры могут отражать Сложность реализации
Контроль частоты собы­
Сложные взаимосвязи анализатора
тий или превышение
Возможность обнаружения Сложность приспособления
пороговой величины
новых видов аномалий к соответствующему трафику

Основными методами при отсутствии информации о видах аномалий


и статистике работы системы являются: метод среднего значения и среднеква-
дратичного отклонения (вычисление текущих характеристик трафика сети,
вычисление статистических характеристик потока пакетов СПД, определение
критериев аномального поведения сетевого трафика), модели многомерного
статистического анализа (факторный анализ, кластерный анализ, корреля-
ционный анализ), модель марковского процесса и модель статистического
анализа временных рядов.
При отсутствии информации о видах аномалий при наличии экспертов
в программном обеспечении используют экспертные системы, генетические
алгоритмы, фреймовые модели, нейронные сети и др.
В таблице 2 приведен сравнительный анализ способов обнаружения
аномалий.

141
ТАБЛИЦА 2. Сравнительный анализ способов обнаружения аномалий

Способ обнару-
Преимущества Недостатки
жения аномалий

Поиск неисправности занимает


Сложность построения
мало времени
Обнаружение программы сигнатурного
Высокая достоверность
сигнатур анализатора
Сигнатуры отражают сложные
Проверка контрольных сигнатур
взаимосвязи

Позволяют определять
распределенные воздействия Чувствительность зависит от
Обнаружение Определяют взаимосвязи между заданной величины отклонений
аномалий различными событиями и точности модели информаци-
Корреляция событий позволяет онной системы
определить значимые события

Сложность формализации
Устойчивы к помехам
знаний
Экспертные Сравнительно недорогие
Только описывают последова-
системы Устойчивость и воспроизводи-
тельность шагов
мость результатов
Не способны к самообучению

Большое число учитываемых Плохо масштабируемы под


Генетические параметров сложность решаемой задачи
алгоритмы Эффективны при работе Требуют много времени при
с небольшими сетями работе

Значения слотов представля-


ются в системе в единственном
экземпляре
Экономное размещение базы
Фреймовые знаний в памяти компьютера Сложно сформировать процеду-
модели Значение любого слота при ры логического вывода
необходимости может быть
вычислено с помощью соответ-
ствующих процедур или найде-
но эвристическими методами

Решение задач при неизвестных


закономерностях
Устойчивы к шумам во входных
данных
Адаптируемы к изменениям
Нейронные сети Мало изучены
окружающей среды
Способны быстро принимать
решение
Отказоустойчивы
Способны к самообучению

142
Экспертные системы (ЭС) обладают рядом преимуществ, таких как
постоянная работа системы (в отличие от деятельности человека; передача
информации состоит в копировании программы или файла данных), облада-
ют устойчивостью к «помехам», а также сравнительно недорогие по сравне-
нию с высококвалифицированными экспертами. Однако имеют много суще-
ственных недостатков: сложность при передаче знаний ЭС, неспособность
предоставить осмысленные объяснения рассуждений, сложность проверки,
неспособность к самообучению.
Для создания системы управления необходимы два важных компонен-
та: база знаний и система логического вывода. Человеческий мозг является
как носителем базы знаний, так и средством логического вывода на ее основе
независимо от того, по какой парадигме организовано мышление. Данный
переход обусловлен функцией обучения мозга.
Часто используются фреймовые модели, входящие в состав эмпириче-
ских моделей и представляющие собой систематизированную психологиче-
скую модель памяти человека и его сознания. Данные модели наиболее полно
удовлетворяют основным требованиям к представлению знаний: внутренней
интерпретируемости, структурируемости, связности и активности. Однако
во фреймовых моделях достаточно сложно сформировать процедуры логи-
ческого вывода.
В группу эмпирических моделей можно включить нейронные сети [8],
[9], которые основаны на попытках воспроизвести нервную систему челове-
ка. А именно: способность нервной системы обучаться и исправлять ошибки,
что должно позволить смоделировать работу человеческого мозга.
Некоторые преимущества нейронных сетей перед традиционными вы-
числительными системами:
– решение задач при неизвестных закономерностях;
– устойчивость к шумам во входных данных;
– адаптирование к изменениям окружающей среды;
– потенциальное сверхвысокое быстродействие;
– отказоустойчивость при аппаратной реализации нейронной сети.

4 Основные характеристики методов поиска отклонений в СПД

В условиях наличия априорной информации о видах аномалий и их


проявлении применяется метод обнаружения сигнатур. Принцип работы
данного метода можем рассмотреть на следующем примере [2].
1. Примем сетевой трафик как поток пакетов в виде множества K = {ki}1n,
где n – количество пакетов.
2. Базу сигнатур представим в виде множества S, объединяющего кла-
стеры типов сигнатур S j , j = 1, m :

143
m
S = S1 ∪ S2 ∪ ... ∪ Sm =  S j , (4.1)
j =1

где m – количество кластеров сигнатур; Sj – j-й кластер, являющийся множе-
ством однотипных сигнатур.
3. Аномалия считается найденной, если выполняется условие K ⊆ S.
При отсутствии информации о видах аномалий и статистики работы
системы наиболее легко организуется на практике метод применения аппа-
рата математической статистики, который основан на сравнении текущих
характеристик потока пакетов с усредненными за определенный промежуток
времени.
Основными характеристиками величины X для выявления аномалий
в СПД используются:
выборочное среднее числовой характеристики X

x +x 
B
ξ = ∑  b −1 b  Yb ; (4.2)
b =1  2 

выборочная дисперсия
B
∑ ( xb − ξ )
2 2
d
= Yb ; (4.3)
b =1

статистика

(Yb − yb )
2
B
X = n∑
2
. (4.4)
b =1 yb

Для оценки появления аномалий в СПД производится сравнение теку-


щих характеристик сети с характеристиками сети, находящейся в работоспо-
собном состоянии, с применением методов робастной статистики (М-оценки).
Для обеспечения эффективности работы системы управления в услови-
ях сетей различного масштаба, различных потоков отказов и видов внешних
воздействий необходимо применять комплексный подход к поиску аномалий
путем комбинированного применения различных методов. К описанным ра-
нее подходам следует добавить метод поиска аномалий с применением ап-
парата нейронечетких сетей [5]. По аналогии с обычной нейронной сетью
межэлементным связям в нечеткой нейронной сети также присваиваются
определенные весовые коэффициенты, которые являются переменными па-
раметрами модели. Нечеткие нейронные сети используют нечеткое описание

144
управляемого процесса и системы его управления в виде нечеткой базы зна-
ний, а также преобразуют нечеткое описание в последовательность команд
для формирования управляющих воздействий.
В целом весь процесс управления СПД можно разбить на несколько
шагов [5], [8], [10]: фаззификация (переход к нечеткости), разработка нечет-
ких правил и дефаззификация (переход к четкости). На рисунке 3 приведена
система управления СПД.

Система управления СПД


Подсистема принятия решений
Фаззифи- Выбор Обнаружение Реализация
Подсистема сигнатур Определе- Определе- План
Входные кация метода ние средств решения
переменные сбора Обнаружение ние целей Дефаззификация меро-
информации оценки аномалий
управления
достижения
приятий
ситуации Нейро-нечеткие цели
системы

Выходные
Методы переменные
управления
База данных
Обучение База
управления знаний

Сеть передачи данных

Рис. 3. Система управления СПД

Процесс передачи информации от подсистемы сбора информации


к блоку выбора метода оценки ситуации может проходить с использованием
процедуры фаззификации и без неё, поскольку каждый из рассмотренных
выше методов предполагает различные типы входных данных.
На основе алгоритма нечеткого вывода [11], [12] формируются наборы
правил для различных типов трафика (речь, видео, данные), протоколов (TCP,
UDP, RTP) и различных приоритетов с учетом состояния информационных
направлений для более точного описания поведения системы в определенные
моменты времени.
Входящая информация о состоянии СПД может быть представлена
в виде [5], [10]:

d aut = f (din1 , din2 ,..., dinn ), (4.5)


где daut – выходная переменная; (din1 , d in2 ,...,d inn ) – входные переменные, которые
могут быть как количественными, так и качественными.
Количественные переменные характеризуются известными областями
определения:

=N i =
di ,di  , i 1, n; (4.6)

145
Q =  d aut ,d aut  , (4.7)

где di ,di  – нижнее и верхнее значения входной переменной, i = 1, n; d aut , d aut –
нижнее и верхнее значения выходной переменной daut.
Качественные переменные d1in...d inn и daut характеризуются множеством
всех возможных значений:


=Ni {=
v , v ,..., v } , i
1
i
2
i
qi
i 1, n; (4.8)

(4.9)

где vi1(viqi) – балльная оценка, которая соответствует минимальному (мак-


симальному) значению входной переменной; daut1(dautqm) – балльная оценка,
которая соответствует минимальному (максимальному) значению выходной
переменной.
Определение лингвистических переменных и необходимых для их фор-
мализации функций принадлежности является первым этапом построения
нечёткой модели управляемого объекта – фаззификация переменных.
Следующим этапом является разработка нечёткой базы знаний, так
называемой матрицы знаний.
Для оценки лингвистических переменных din1 ...d inn и daut используются каче-
ственные термы следующих терм-множеств: A – терм-множество переменной;
D – терм-множество выходной переменной.
Матрица знаний определяет систему логических высказываний типа
«Если – то, иначе», которые связывают значения входных переменных din1 ...d inn
с одним из значений выхода d j , j = 1, m , где aijp – лингвистическая оценка
входной переменной в p-й строке j-дизъюнкции, которая выбирается из со-
ответствующего терм-множества = Ai i 1,=(
n , j 1, m
= )
, p 1, k j ; kj – количество
правил, которые определяют значения выходной переменной; d j j = 1, m  – ( )
лингвистическая оценка выходной переменной, которая определяется из
терм-множества D.
Система логических высказываний представляет собой нечёткую базу
знаний [5], [10].
Если в данную систему ввести операции  (ИЛИ) и   (И), это даст
возможность записать её более компактно:

kj
n 
i 1
(
  x=i aijp  → =

)
y d j,=
j 1, m. (4.10)
p 1=
=

146
Для определения чёткого интервала d aut , d aut необходимо применить
операцию дефаззификации.
Использование данной системы позволит описать количественно и ка-
чественно выраженную информацию об объектах, мультипликативное влия-
ние факторов неопределенности, влияние рисков и субъективных решений
и ряд других моментов, повышающих адекватность получаемых решений по
управлению СПД.

Заключение

Сети передачи данных масштаба MAN и WAN требуют сложного про-


граммного обеспечения, имеют сложную разветвленную структуру, покры-
вают значительную территорию, обслуживают большое количество пользо-
вателей. Таким образом, СПД можно рассматривать как большую и сложную
систему. В связи с постоянным ростом и развитием СПД наблюдается рост
аномалий в работе сети.
В статье предложена классификация аномалий в функционировании
СПД и представлены основные способы их обнаружения при определен-
ных условиях. Обоснован выбор комбинированного подхода к обнаружению
аномалий в СПД на основе методов обнаружения сигнатур, статистического
анализа потока событий и аппарата нейронечетких сетей.
Разработана модель системы управления СПД, учитывающая тип вход-
ного потока событий и различные методы обнаружения аномалий.
Это позволит обеспечить своевременность обнаружения аномалий
и повысить оперативность принимаемых решений по их устранению в усло-
виях внешних воздействий и больших масштабов сетей.

Библиографический список

1. Формирование элементов системы управления сетью передачи данных с при-


менением аппарата нейронных сетей / А. К. Канаев, М. А. Камынина, Е. В. Опарин //
Бюллетень результатов научных исследований. – Вып. 3 (2). – 2012. – С. 47–55 [Электрон-
ный ресурс]. – Режим доступа: http://e-result.ru/?page_id=252 (Дата обращения 04.09.12).
С 01.12.2012: www.research-bulletin.org.
2. Интеллектуальная система поддержки принятия решения на основе нечеткой
логики для диагностики состояния сети передачи данных : автореф. дис. ... канд. техн.
наук / А. В. Кучер. – Краснодар, 2007. – 24 с.
3. Сети передачи пакетных данных / Г. Ф. Коханович, В. М. Чуприн. – Киев : МК-
Пресс, 2006. – 272 с.

147
4. Программно-аппаратные средства обеспечения информационной безопасности
вычислительных сетей : учеб. пособие / В. А. Платонов. – М. : Изд. центр «Академия»,
2006. – 240 с.
5. Нейронные сети и их применение в системах управления и связи / В. И. Кома-
шинский, Д. А. Смирнов. – М. : Горячая линия – Телеком, 2003. – 94 с.
6. Статистические методы обнаружения нарушений безопасности в сети / В. А. Нес­
теренко // Информационные процессы. – Том 6, № 3. – Ростов-на-Дону : РГУ, 2006. –
С. 208–217.
7. Нейронные сети, генетиче­ские алгоритмы и нечеткие системы / Д. Рутковская,
М. Пилиньский, Л. Рутковский ; пер. с польск. – М. : Горячая линия – Телеком, 2004. – 452 с.
8. Нейронные сети: распознавание, управление, принятие решений (Прикладные
информационные технологии) / А. Б. Барский. – М. : Финансы и статистика, 2004. – 176 с.
9. Искусственный интеллект / И. А. Бессмертный. – СПб. : СПбГУ ИТМО, 2010. –
132 с.
10. Научно-методическое обеспечение построения интеллектуальных систем под-
держки принятия решений для реализации адаптивной автоматизированной системы управ-
ления тактическим воинским формированием / М. А. Гудков, С. А. Комиссаров // Труды
66-й научно-технической конференции, посвященной дню радио. – СПб. : ВАС, 2011. –
С. 168–169.
11. Нечеткое моделирование в среде MatLab и fuzzy TECH / А. В. Леоненков. –
СПб. : БХВ-Петербург, 2005. – 736 с.
12. Нечеткие модели и сети / В. В. Борисов, В. В. Круглов, А. С. Федулов. – М. :
Горячая Линия – Телеком, 2007. – 284 с.

© Канаев А. К., Камынина М. А., Опарин Е. В., 2012

148