СИСТЕМА АНАЛИЗА СЕТЕВОГО ТРАФИКА Текст научной статьи по специальности «Техника и технологии»

УДК 004.8

Радковский С.А., Бибик Я.Н., Зинов Е.Р. СИСТЕМА АНАЛИЗА СЕТЕВОГО ТРАФИКА Radkovsky S.A., Bibik Ya.N., Zinov E.R. NETWORK TRAFFIC ANALYSIS SYSTEM

Введение

В условиях стремительного развития информационных технологий и увеличения объема сетевого трафика анализ сетевых данных становится важнейшей задачей для обеспечения безопасности, оптимизации работы сетей и повышения качества обслуживания пользователей. Система анализа сетевого трафика представляет собой комплекс программных и аппаратных средств, предназначенных для мониторинга, захвата и анализа данных, передаваемых по компьютерным сетям.

Современные сети, включая локальные, корпоративные и облачные, генерируют огромные объемы информации, что создает необходимость в эффективных инструментах для их обработки. Анализ сетевого трафика позволяет выявлять аномалии, предотвращать кибератаки,

оптимизировать пропускную

способность и обеспечивать соблюдение политик безопасности. Системы такого рода используют различные методы, включая глубокий анализ пакетов, машинное обучение и алгоритмы обработки данных, что позволяет не только отслеживать текущие события, но и предсказывать потенциальные угрозы.

Кроме того, с ростом популярности облачных технологий и Интернета вещей (IoT) возникают новые вызовы, связанные с безопасностью и

управлением сетевыми ресурсами. Эффективная система анализа сетевого трафика должна быть способна адаптироваться к изменяющимся условиям и требованиям, обеспечивая высокую степень защиты и надежности.

В данной статье рассматриваются ключевые компоненты систем анализа сетевого трафика, их архитектура, методы и алгоритмы, а также современные тенденции и вызовы, с которыми сталкиваются специалисты в этой области. Мы также обсудим примеры успешного применения таких систем в различных отраслях, что подчеркивает их значимость и актуальность в современном цифровом мире.

Анализ последних исследований и публикаций

В последние годы область анализа сетевого трафика претерпела значительные изменения благодаря стремительному развитию технологий и увеличению объемов данных,

передаваемых через сети. Исследования в этой сфере охватывают широкий спектр тем, включая методы обнаружения аномалий, применение машинного обучения и искусственного интеллекта, а также проблемы безопасности и конфиденциальности.

В статье [3] подчеркнута важность использования алгоритмов машинного

обучения для выявления аномалий в сетевом трафике. Например, работы, основанные на нейронных сетях и методах глубокого обучения, показывают высокую эффективность в обнаружении сложных атак, таких как DDoS и фишинг. Эти методы позволяют системам автоматически адаптироваться к изменяющимся паттернам трафика и выявлять новые угрозы. С увеличением популярности облачных вычислений автор акцентирует внимание на необходимости интеграции систем анализа сетевого трафика с облачными платформами. В публикации

описываются подходы к мониторингу и анализу трафика в облачных средах, что позволяет обеспечить безопасность данных и оптимизацию ресурсов.

В публикации [5] рассматриваются методы обеспечения безопасности и управления трафиком в условиях ограниченных ресурсов устройств, а также проблемы конфиденциальности данных. С ростом числа устройств, подключенных к Интернету,

исследования также фокусируются на специфике анализа трафика IoT. Системы анализа сетевого трафика сталкиваются с вызовами, связанными с обработкой больших объемов данных. Последние исследования предлагают новые подходы к распределенной обработке данных и использованию технологий, таких как Apache Kafka и Hadoop, для эффективного анализа в реальном времени.

Публикация [6] посвящена важности внедрения систем анализа трафика для обеспечения соответствия требованиям GDPR и других законодательных актов, касающихся защиты данных. Рассмотрены примеры успешного внедрения систем анализа сетевого трафика в различных отраслях, таких как финансовые услуги, здравоохранение и телекоммуникации.

Эти кейсы демонстрируют, как эффективный анализ сетевого трафика помогает в предотвращении атак, оптимизации работы сетей и улучшении качества обслуживания клиентов.

Таким образом, последние исследования и публикации в области анализа сетевого трафика подчеркивают его важность в современном цифровом мире. Они открывают новые горизонты для дальнейшего развития технологий и методов, направленных на обеспечение безопасности и эффективного управления сетевыми ресурсами.

Цель работы

Цель данной статьи заключается в исследовании и комплексном анализе современных методов и технологий систем анализа сетевого трафика, с акцентом на их эффективность в мониторинге, обнаружении угроз и оптимизации производительности сетей. А также влияния систем анализа трафика на безопасность информационных систем, включая корпоративные сети и облачные решения.

Основная часть

Системы обнаружения

аномального поведения (СОА) основываются на знании характеристик, которые определяют допустимое поведение наблюдаемого объекта. Под «нормальным» поведением

подразумеваются действия,

соответствующие установленным

правилам безопасности. В отличие от них, системы обнаружения

злоумышленных действий (СОЗ) опираются на заранее известные признаки, указывающие на поведение злоумышленника. Наиболее

распространенными примерами таких

систем являются экспертные решения, такие как Snort и RealSecure IDS.

Важно рассмотреть технологии, применяемые в этих системах. Датчики аномалий выявляют необычные действия в работе объектов. Основная сложность заключается в изменчивости как защищаемых объектов, так и внешних взаимодействий. Объектами наблюдения могут быть как целые сети, так и отдельные компьютеры, службы

или пользователи. Датчики реагируют на действия, которые отличаются от обычной, легитимной активности. Важно отметить, что в различных системах могут по-разному определяться допустимые отклонения от нормального поведения и пороги срабатывания.

Рассмотрим более подробно технологии, используемые в данных системах (рис. 1) [5].

Технология обнаружения злоумышленного поведения

полагается ни модель злонамеренно! о поведения сравнивает модели с потоком событий

полагается на модель нормального поведения

идентифицирует аномальные вхождения в поток событий

Техно.кн ни обнаружения аномального повеления

Рис. 1. Существующие технологии СОВ

Методы, используемые для обнаружения аномалий, включают:

- Пороговые значения: Наблюдения представляются в виде числовых интервалов, превышение которых считается аномальным. Например, это может быть количество файлов, к которым обращается пользователь, или число неудачных попыток входа в систему. Пороги могут быть как статическими, так и динамическими, подстраиваясь под систему.

- Параметрические методы: Создание профиля нормального

поведения системы на основе заранее определенных шаблонов.

- Непараметрические методы: Формирование профиля на основе наблюдений в период обучения.

- Статистические методы: Определение наличия атак на основе обработки большого объема данных.

- Правила (сигнатуры): Создание представлений о нормальном поведении в виде правил, что позволяет выявлять аномалии.

Системы обнаружения аномалий часто используют журналы и текущую активность пользователей как источники

данных для анализа [1]. К преимуществам таких систем можно отнести:

- Отсутствие необходимости в постоянном обновлении сигнатур.

- Способность выявлять новые типы атак, для которых еще нет сигнатур.

- Генерация информации, полезной для систем обнаружения злоумышленного поведения.

Однако у них есть и недостатки:

- Высокая вероятность ложных срабатываний.

- Необходимость длительного и качественного обучения.

- Часто низкая скорость работы и высокие требования к вычислительным ресурсам.

В качестве иллюстрации различных аспектов анализа сетевого трафика рассмотрим пример расчета нагрузки на сеть.

Допустим, у нас есть следующие данные:

- Объем переданных данных D=109 бит,

- Время передачи Т=50 с,

- Количество потерянных пакетов N1081=100,

- Общее количество переданных пакетов МО;а1=10000.

1. Пропускная способность:

В=109 бит/50 с=20*106 бит/с (или 20 Мбит/с)

2. Уровень потерь пакетов: Р1о88=100/10000*100%= 1%

3. Эффективная пропускная способность:

Teff=20*106бит/с*(1-0.01) =19.8*106 бит/с

4. Коэффициент загрузки сети:

и=(19.8*106 бит/с)/ (20*106 бит/с)=0.99 (или 99%)

Методы статистического анализа являются наиболее распространенными в реализации технологии обнаружения аномалий [2]. Статистические датчики формируют профиль типичного поведения объекта, который затем используется для сравнения с текущими действиями.

Эффективная пропускная

способность учитывает потери и задержки данных в сети (1):

Те;[[=В*(1-Р^) (1)

где Те?? - эффективная пропускная способность (бит/с),

В - пропускная способность (бит/с),

Ploss - уровень потерь пакетов.

Профили могут включать различные параметры, такие как имена файлов или загрузка процессора, и могут динамически изменяться для учета изменений в поведении объекта [3].

Системы, использующие

статистические методы, обладают рядом преимуществ, включая:

- Отсутствие необходимости в постоянном обновлении баз сигнатур.

- Адаптивность к изменениям в поведении пользователей.

- Способность обнаруживать неизвестные атаки.

Тем не менее, они также сталкиваются с проблемами:

- Высокая вероятность ложных срабатываний.

- Сложности в установлении пороговых значений.

- Низкая корректность обработки изменений в поведении пользователей.

Как правило, системы обнаружения аномальной активности (рис. 2) используют журналы регистрации и текущую деятельность пользователя в качестве источника данных для анализа [4]. К достоинствам систем обнаружения атак на основе технологии выявления аномального поведения можно отнести то, что они:

- не нуждаются в обновлении сигнатур и правил обнаружения атак;

- способны обнаруживать новые типы атак, сигнатуры для которых еще не разработаны;

- генерируют информацию, которая может быть использована в системах обнаружения злоумышленного поведения.

Рис. 2. Схема установки системы сбора информации

Рис. 3. Структурная схема системы анализа сетевого трафика

Тем не менее, существуют пути решения данных проблем, и их практическая реализация является лишь вопросом времени. Очевидно, что статистический метод является чистой

реализацией технологии аномального поведения. Статистический метод наследует у технологии обнаружения аномалий все так необходимые на практике достоинства [5].

Выводы

Системы обнаружения

аномального поведения играют ключевую роль в обеспечении информационной безопасности,

позволяя выявлять потенциальные угрозы и аномалии в поведении пользователей и систем. Их способность адаптироваться к изменениям и обнаруживать новые типы атак без необходимости постоянного обновления сигнатур делает их незаменимыми в современных условиях киберугроз.

Тем не менее, существующие проблемы, такие как высокая

Список литературы

1. Ажмухамедов И.М.

Обеспечение информационной

безопасности компьютерных сетей на основе анализа сетевого трафика / И.М. Ажмухамедов, А.Н. Марьенков // Вестник АГТУ. Серия: Управление, вычислительная техника и информатика. - 2011. - №1. - С. 137 - 141. -URL:https://cyberleninka.ru/article/n/obesp echenie-informatsionnoy-bezopasnosti-kompyuternyh-setey-na-osnove-analiza-setevogo-trafika (дата обращения: 23.02.2025). - ISSN 2072-9502.

2. Симаков Д.В. Управление трафиком в сети с высокой динамикой метрик сетевых маршрутов / Д.В. Симаков // Интернет-журнал «НАУКОВЕДЕНИЕ». - 2016. - Том 8 (№1). - С. 1 - 13. -URL: http://naukovedenie.ru/PDF/60TVN 11 6.pdf (дата обращения 22.02.2025). -D0I:10.15862/60TVN116.

3. Сидорова Н.В. Методы глубокого анализа пакетов: текущее состояние и перспективы. / Н.В. Сидорова // НАУЧНЫЕ ИССЛЕДОВАНИЯ СТУДЕНТОВ И

вероятность ложных срабатываний и сложность в установлении порогов, требуют дальнейших исследований и оптимизации. Эффективное

использование статистических методов и разработка более точных алгоритмов могут значительно повысить

эффективность систем обнаружения аномалий.

Таким образом, совершенствование методов и технологий в этой области будет способствовать созданию более надежных систем безопасности, что особенно важно в условиях постоянно меняющегося ландшафта киберугроз.

References

1. Azhmukhamedov I.M. Ensuring information security of computer networks based on network traffic analysis / I.M. Azhmukhamedov, A.N. Maryenkov // Bulletin of ASTU. Series: Management, computing engineering and informatics. -2011. - No. 1. - Pp. 137 - 141. -URL:https://cyberleninka.ru/article/n/obesp echenie-informatsionnoy-bezopasnosti-kompyuternyh-setey-na-osnove-analiza-setevogo-trafika (date of access: 23.02.2025). - ISSN 2072-9502.

2. Simakov D.V. Traffic management in a network with highly dynamic network route metrics / D.V. Simakov // Internet journal "NAUKOVEDENIE". - 2016. - Volume 8 (No. 1). - Pp. 1 - 13. -URL : http://naukovedenie.ru/PDF/60TVN 11 6.pdf (date of access 02/22/2025). -D0I:10.15862/60TVN116.

3. Sidorova N.V. Methods of deep packet analysis: current state and prospects. / N.V. Sidorova // SCIENTIFIC RESEARCH OF STUDENTS AND PUPILS: collection of articles from the

УЧАЩИХСЯ: сборник статей Международной научно-практической конференции. - Пенза: МЦНС «Наука и Просвещение». - 2021. - С. 59-61. -URL:https://naukaip.ru/wp-content/uploads/2021/07/%D0%9D%D0%9 A-1.pdf (дата обращения: 21.02.2025).

4. Гладких А.М. Основные методы анализа сетевого трафика / А.М. Гладких // Вопросы науки и образования. - 2020. - №19(103). - С. 2328. -URL: https://cyberleninka.ru/article/n/osnov nye-metody-analiza-setevogo-trafika (дата обращения: 20.02.2025).

5. Лоднева О.Н. Анализ трафика устройств Интернета вещей / О.Н. Лоднева, Е.П. Ромасевич // Современные информационные технологии и ИТ-образование. - 2018. -№1. - С. 149-169. -URL: https://cyberleninka.ru/article/n/analiz-trafika-ustroystv-interneta-veschey (дата обращения: 21.02.2025). -D0I:10.25559/SITIT0.14.201801.149-169.

6. Денисенко В.В. Применение искусственного интеллекта для анализа сетевого трафика / В.В. Денисенко, А.С. Ященко // Международный журнал гуманитарных и естественных наук. -2023. - №1-1 (76). - С. 19-22. -URL: https://cyberleninka.ru/article/n7prime nenie-iskusstvennogo-intellekta-dlya-analiza-setevogo-trafika (дата обращения: 24.02.2025). - D0I:10.24412/2500-1000-2023-1-1-19-22.

7. Хомякова Н.А. Анализ сетевого трафика с целью обеспечения информационной безопасности / Н.А. Хомякова // E-Scio. - 2023. -№ 3(78). - С. 419-424. -URL: https://cyberleninka.ru/article/n/analiz-setevogo-trafika-s-tselyu-obespecheniya-informatsionnoy-bezopasnosti (дата обращения: 24.02.2025).

International scientific and practical conference. - Penza: MCNS "Science and Education". - 2021. - Pp. 59 - 61. -URL :https://naukaip.ru/wp-content/uploads/2021/07/%D0%9D%D0%9 A-1.pdf (date of access: 02/21/2025)

4. Gladkikh A.M. Basic methods of network traffic analysis / A.M. Gladkikh // Issues of science and education. - 2020. -No. 19(103). - Pp. 23-28. -URL: https://cyberleninka.ru/article/n/osnov nye-metody-analiza-setevogo-trafika (date of access: 20.02.2025).

8. Lodneva O.N. Analysis of traffic of devices of the Internet of Things / O.N. Lodneva, E.P. Romasevich // Modern information technologies and IT education. - 2018. - No. 1. - Pp. 149-169. -URL: https://cyberleninka.ru/article/n/analiz -trafika-ustroystv-interneta-veschey (date of access: 21.02.2025). -

D0I:10.25559/SITIT0.14.201801.149-169.

5. Denisenko V.V. Application of artificial intelligence for network traffic analysis / V.V. Denisenko, A.S. Yashchenko // International Journal of Humanities and Natural Sciences. - 2023. -No. 1-1 (76). - Pp. 19-22. -URL: https://cyberleninka.ru/article/n7prime nenie-iskusstvennogo-intellekta-dlya-analiza-setevogo-trafika (date of access: 02/24/2025). - D0I:10.24412/2500-1000-2023-1-1-19-22.

6. Khomyakova N.A. Network traffic analysis for the purpose of ensuring information security / N.A. Khomyakova // E-Scio. - 2023. - No. 3(78). - Pp. 419-424.

URL: https://cyberleninka.ru/article/n/analiz -setevogo-trafika-s-tselyu-obespecheniya-informatsionnoy-bezopasnosti (date of access: 24.02.2025).

Аннотации:

В статье рассматривается система анализа сетевого трафика как ключевой элемент обеспечения безопасности информационных ресурсов и оптимизации работы компьютерных сетей. Основное внимание уделяется методам мониторинга, анализа и управления данными, проходящими через сеть, с целью выявления аномалий и угроз.

Ключевые слова: система анализа, сетевой трафик, безопасность информации, мониторинг, аномалии, угрозы, машинное обучение, статистический анализ, обработка данных.

Сведения об авторах

Радковский Сергей Александрович

Федеральное государственное

бюджетное образовательное учреждение высшего образования «Донецкий институт железнодорожного транспорта» (ДОНИЖТ),

кафедра «Автоматика, телемеханика, связь и вычислительная техника», кандидат технических наук, доцент, e-mail: [email protected]

Бибик Яна Никитична

Федеральное государственное

бюджетное образовательное учреждение высшего образования «Донецкий институт железнодорожного транспорта» (ДОНИЖТ),

кафедра «Автоматика, телемеханика, связь и вычислительная техника», старший преподаватель e-mail: [email protected]

Зинов Евгений Романович

Федеральное государственное

бюджетное образовательное учреждение высшего образования «Донецкий институт железнодорожного транспорта» (ДОНИЖТ), магистр по направлению «Информатика и вычислительная техника»

The article considers the network traffic analysis system as a key element of ensuring the security of information resources and optimizing the operation of computer networks. The focus is on methods for monitoring, analyzing, and managing data flowing through the network in order to identify anomalies and threats.

Keywords: analysis system, network traffic, information security, monitoring, anomalies, threats, machine learning, statistical analysis, data processing.

Information about the authors

Radkovsky Segrey Alexandrovich

Federal State-Funded Educational Institution of Higher Education "Donetsk Railway Transport Institute" (DRTI), Department 'Automation, Telemechanics, Communications and Computer Engineering',

Candidate of Technical Science, Associate Professor, e-mail: [email protected]

Bibik Yana Nikitichna

Federal State-Funded Educational Institution of Higher Education "Donetsk Railway Transport Institute" (DRTI), Department 'Automation, Telemechanics, Communications and Computer Engineering', Senior lecturer,

e-mail: [email protected]

Zinov Evgeniy Romanovich

Federal State-Funded Educational Institution of Higher Education "Donetsk Railway Transport Institute" (DRTI), Master's student in area of studies «Computer Science and Computer Engineering»