УДК 621.39
А. К. Канаев, М. А. Камынина, Е. В. Опарин
СПОСОБЫ ОБНАРУЖЕНИЯ ОТКЛОНЕНИЙ В ФУНКЦИОНИРОВАНИИ ЭЛЕМЕНТОВ СЕТИ ПЕРЕДАчИ ДАННЫХ В ИНТЕРЕСАХ СИСТЕМЫ УПРАВЛЕНИЯ
Рассматриваются задачи администратора сети по управлению СПД и основные способы обнаружения отклонений. Предложена классификация аномалий в функционировании СПД, представлены основные способы их обнаружения при определенных условиях. Разработана модель системы управления СПД, учитывающая тип входного потока событий и различные методы обнаружения аномалий.
сеть передачи данных, система управления сетью, нейронные сети, аномалия.
Введение
Современная сеть передачи данных представляет собой сложную систему с распределенным «интеллектом» и функционирует в соответствии с правилами, определяющими взаимодействие между ее элементами, каждый из которых тоже является сложной системой. Таким образом, сеть передачи данных является большой системой и обладает следующими свойствами: требует сложного программного обеспечения, имеет разветвленную структуру, покрывает значительную территорию, обслуживает большое количество пользователей.
Сети передачи данных (СПД), особенно сети масштаба MAN (Metropolitan Area Network) и WAN (Wide Area Network), обладают всеми перечисленными свойствами, поэтому их можно рассматривать как большую и сложную систему. Можно утверждать, что с ростом сложности и масштаба сети количество сбоев и отказов будет расти.
В связи с этим в статье рассматриваются задачи администратора сети по управлению СПД и основные способы обнаружения отклонений, направленные на повышение обоснованности и своевременности принимаемых решений обслуживающего персонала и надежности сети.
1 Управление сетью передачи данных
Современные сети передачи данных включают большое количество разнородного оборудования и выполняют множество задач. Поэтому для
137
устойчивого функционирования сети требуется наличие системы управления (СУ) сетью. В работе [1] определены основные задачи СУ, а именно: своевременное обнаружение неисправностей, сбоев и отказов в оборудовании и программном обеспечении; управление конфигурациями сетевых узлов; резервное копирование и восстановление элементов сети; управление сетевым трафиком и безопасностью.
Система управления должна обеспечивать бесперебойную работу всех элементов сети.
Система управления сетью состоит из совокупности аппаратных и программных средств и информационных ресурсов, размещенных во всех элементах сети.
Стандартом ISO 7498-4 определены задачи, которые должна выполнять система управления СПД (рис. 1).
Для выполнения процессов управления в сети осуществляется сбор, хранение, передача, обработка информации.
Наиболее важными задачами для обеспечения нормального функционирования сети, требующими оперативного реагирования работника центра технического обслуживания, являются задачи по обнаружению сбоев, отказов, ошибок в работе программных и аппаратных средств, а также выявление причин их появления.
Рис. 1. Задачи системы управления сетью передачи данных
138
Все отклонения от нормального функционирования в сети назовем аномалиями [2].
На первом этапе работник центра технического обслуживания должен определить наличие аномалии. Следующий этап - при определении аномального состояния необходимо провести диагностику сети, определить состояние элементов и установить причину появления аномалии.
2 Классификация аномалий в СПД
На сегодняшний день не существует стандартизированной классификации аномалий. Однако в [3] дано определение: аномалия - отклонение действительного значения какой-либо характеристики контролируемого объекта от требуемого значения этой характеристики в соответствии с руководящими документами.
Если рассматривать сущность аномалий со стороны администратора, то можно выделить две группы [2]:
- программно-аппаратные;
- нарушения политики безопасности.
Укрупненно под программно-аппаратными аномалиями понимают неисправности и сбои элементов СПД, ошибки программного обеспечения, ошибки в конфигурации сети и многие другие.
К нарушениям политики безопасности можно отнести [4]: кражу резервных копий данных; комбинированные атаки; компьютерные вирусы; наблюдение инфраструктуры; переполнение буфера при входе; обман регистрации; атаки на сетевые службы; угадывание (подбор) пароля и др.
3 Основные способы обнаружения аномалий
На основе ряда работ [2], [4], [5]-[7] был проведен анализ существующих способов обнаружения аномалий и предложена классификация основных способов обнаружения аномалий при определенных условиях (рис. 2).
Основным достоинством сигнатурного метода является то, что отклонение в работе сети можно достаточно быстро проследить до физического узла. В результате легко выявить неисправный элемент СПД.
Подходы к обнаружению сигнатур [2], [4]:
1) совпадение с шаблоном;
2) совпадение с шаблоном состояния;
3) анализ на основе шаблона используемого протокола;
4) контроль частоты событий или превышение пороговой величины.
139
Совпадение с шаблоном предполагает обнаружение, которое базируется на поиске фиксированной последовательности байтов в рассматриваемом элементе СПД.
Совпадение с шаблоном состояния по одному пакету устанавливает состояние потока данных, а появление другого пакета (или пакетов), который находится в другом состоянии, считается аномалией.
Анализ на основе шаблона используемого протокола применяется для оценки состояния, использующего анализ различных позиций сетевого протокола.
Контроль частоты событий или превышение пороговой величины предполагает, что сигнатуры описывают ситуации, когда в течение некоторого интервала времени происходят события, число которых превышает заданные заранее показатели.
140
В таблице 1 приведены достоинства и недостатки каждого подхода при обнаружении сигнатур.
ТАБлИЦА 1. Сравнение подходов к обнаружению сигнатур
Подход к обнаружению сигнатур Достоинства Недостатки
Совпадение с шаблоном Простота задания правил обнаружения Прямая связь с аномалией Применим для всех протоколов Возможность ложного срабатывания системы Наличие множества шаблонов для каждой аномалии Ограниченность применения подхода Наличие условий, при которых аномалии не будут выявлены
Совпадение с шаблоном состояния большая эффективность Прямая связь с аномалией Высокая надежность Применим для всех протоколов Наличие множества шаблонов для каждой аномалии Модификация аномалии Может привести к пропуску обнаружения
анализ на основе шаблона используемого протокола Прямая связь с аномалией Средняя надежность Выявление крупных аномалий большое число пропусков Сложность формирования сигнатур
Контроль частоты событий или превышение пороговой величины Сигнатуры могут отражать Сложные взаимосвязи Возможность обнаружения новых видов аномалий Сложность реализации анализатора Сложность приспособления к соответствующему трафику
Основными методами при отсутствии информации о видах аномалий и статистике работы системы являются: метод среднего значения и среднеквадратичного отклонения (вычисление текущих характеристик трафика сети, вычисление статистических характеристик потока пакетов СПД, определение критериев аномального поведения сетевого трафика), модели многомерного статистического анализа (факторный анализ, кластерный анализ, корреляционный анализ), модель марковского процесса и модель статистического анализа временных рядов.
При отсутствии информации о видах аномалий при наличии экспертов в программном обеспечении используют экспертные системы, генетические алгоритмы, фреймовые модели, нейронные сети и др.
В таблице 2 приведен сравнительный анализ способов обнаружения аномалий.
141
ТАБЛИЦА 2. Сравнительный анализ способов обнаружения аномалий
Способ обнаружения аномалий Преимущества Недостатки
Обнаружение сигнатур Поиск неисправности занимает мало времени Высокая достоверность Сигнатуры отражают сложные взаимосвязи Сложность построения программы сигнатурного анализатора Проверка контрольных сигнатур
Обнаружение аномалий Позволяют определять распределенные воздействия Определяют взаимосвязи между различными событиями Корреляция событий позволяет определить значимые события Чувствительность зависит от заданной величины отклонений и точности модели информационной системы
Экспертные системы Устойчивы к помехам Сравнительно недорогие Устойчивость и воспроизводимость результатов Сложность формализации знаний Только описывают последовательность шагов Не способны к самообучению
Генетические алгоритмы большое число учитываемых параметров Эффективны при работе с небольшими сетями Плохо масштабируемы под сложность решаемой задачи Требуют много времени при работе
Фреймовые модели Значения слотов представляются в системе в единственном экземпляре Экономное размещение базы знаний в памяти компьютера Значение любого слота при необходимости может быть вычислено с помощью соответствующих процедур или найдено эвристическими методами Сложно сформировать процедуры логического вывода
Нейронные сети Решение задач при неизвестных закономерностях Устойчивы к шумам во входных данных адаптируемы к изменениям окружающей среды Способны быстро принимать решение Отказоустойчивы Способны к самообучению Мало изучены
142
Экспертные системы (ЭС) обладают рядом преимуществ, таких как постоянная работа системы (в отличие от деятельности человека; передача информации состоит в копировании программы или файла данных), обладают устойчивостью к «помехам», а также сравнительно недорогие по сравнению с высококвалифицированными экспертами. Однако имеют много существенных недостатков: сложность при передаче знаний ЭС, неспособность предоставить осмысленные объяснения рассуждений, сложность проверки, неспособность к самообучению.
Для создания системы управления необходимы два важных компонента: база знаний и система логического вывода. Человеческий мозг является как носителем базы знаний, так и средством логического вывода на ее основе независимо от того, по какой парадигме организовано мышление. Данный переход обусловлен функцией обучения мозга.
Часто используются фреймовые модели, входящие в состав эмпирических моделей и представляющие собой систематизированную психологическую модель памяти человека и его сознания. Данные модели наиболее полно удовлетворяют основным требованиям к представлению знаний: внутренней интерпретируемости, структурируемости, связности и активности. Однако во фреймовых моделях достаточно сложно сформировать процедуры логического вывода.
В группу эмпирических моделей можно включить нейронные сети [8], [9], которые основаны на попытках воспроизвести нервную систему человека. А именно: способность нервной системы обучаться и исправлять ошибки, что должно позволить смоделировать работу человеческого мозга.
Некоторые преимущества нейронных сетей перед традиционными вычислительными системами:
- решение задач при неизвестных закономерностях;
- устойчивость к шумам во входных данных;
- адаптирование к изменениям окружающей среды;
- потенциальное сверхвысокое быстродействие;
- отказоустойчивость при аппаратной реализации нейронной сети.
4 Основные характеристики методов поиска отклонений в СПД
В условиях наличия априорной информации о видах аномалий и их проявлении применяется метод обнаружения сигнатур. Принцип работы данного метода можем рассмотреть на следующем примере [2].
1. Примем сетевой трафик как поток пакетов в виде множества K = {£.}”, где n - количество пакетов.
2. Базу сигнатур представим в виде множества S, объединяющего кластеры типов сигнатур Sj, j = 1, m :
143
(4.1)
m
S = Si JS2 j...jSm = U Sj,
j=1
где m - количество кластеров сигнатур; Sj - j-й кластер, являющийся множеством однотипных сигнатур.
3. Аномалия считается найденной, если выполняется условие K с S.
При отсутствии информации о видах аномалий и статистики работы системы наиболее легко организуется на практике метод применения аппарата математической статистики, который основан на сравнении текущих характеристик потока пакетов с усредненными за определенный промежуток времени.
Основными характеристиками величины X для выявления аномалий в СПД используются:
выборочное среднее числовой характеристики X
5
I
b=1
' Xb-1 + xb Л
2 J
Y
b
выборочная дисперсия
d2 = Е( Xb -A Yb;
b=1
статистика
X 2
n Е
b=1
(Yb - Уь)
2
Уь
(4.2)
(4.3)
(4.4)
Для оценки появления аномалий в СПД производится сравнение текущих характеристик сети с характеристиками сети, находящейся в работоспособном состоянии, с применением методов робастной статистики (М-оценки).
Для обеспечения эффективности работы системы управления в условиях сетей различного масштаба, различных потоков отказов и видов внешних воздействий необходимо применять комплексный подход к поиску аномалий путем комбинированного применения различных методов. К описанным ранее подходам следует добавить метод поиска аномалий с применением аппарата нейронечетких сетей [5]. По аналогии с обычной нейронной сетью межэлементным связям в нечеткой нейронной сети также присваиваются определенные весовые коэффициенты, которые являются переменными параметрами модели. Нечеткие нейронные сети используют нечеткое описание
144
управляемого процесса и системы его управления в виде нечеткой базы знаний, а также преобразуют нечеткое описание в последовательность команд для формирования управляющих воздействий.
В целом весь процесс управления СПД можно разбить на несколько шагов [5], [8], [10]: фаззификация (переход к нечеткости), разработка нечетких правил и дефаззификация (переход к четкости). На рисунке 3 приведена система управления СПД.
Рис. 3. Система управления СПД
Процесс передачи информации от подсистемы сбора информации к блоку выбора метода оценки ситуации может проходить с использованием процедуры фаззификации и без неё, поскольку каждый из рассмотренных выше методов предполагает различные типы входных данных.
На основе алгоритма нечеткого вывода [11], [12] формируются наборы правил для различных типов трафика (речь, видео, данные), протоколов (TCP, UDP, RTP) и различных приоритетов с учетом состояния информационных направлений для более точного описания поведения системы в определенные моменты времени.
Входящая информация о состоянии СПД может быть представлена в виде [5], [10]:
da,, = f (d)„, df„,..., di„ )
(4.5)
где daut - выходная переменная; (d^, d 2 ...,d”) - входные переменные, которые могут быть как количественными, так и качественными.
Количественные переменные характеризуются известными областями определения:
N, =
di > di
i = 1, n;
(4.6)
145
(4.7)
где d. ,d. - нижнее и верхнее значения входной переменной, i = 1,n; daut, daut -нижнее и верхнее значения выходной переменной daut.
Качественные переменные d1 ...dn и d характеризуются множеством
А in in aut А А J
всех возможных значений:
где vf(vq) - балльная оценка, которая соответствует минимальному (максимальному) значению входной переменной; d Yd qm) - балльная оценка, которая соответствует минимальному (максимальному) значению выходной переменной.
Определение лингвистических переменных и необходимых для их формализации функций принадлежности является первым этапом построения нечёткой модели управляемого объекта - фаззификация переменных.
Следующим этапом является разработка нечёткой базы знаний, так называемой матрицы знаний.
Для оценки лингвистических переменных d1... dп и d используются качественные термы следующих терм-множеств: A - терм-множество переменной; D - терм-множество выходной переменной.
Матрица знаний определяет систему логических высказываний типа «Если - то, иначе», которые связывают значения входных переменных d dn с одним из значений выхода dj, j = 1,m, где aj - лингвистическая оценка входной переменной в p-й строке j-дизъюнкции, которая выбирается из со-
ответствующего терм-множества A. (i = 1, n, j = 1, m, p = 1, kj); к - количество
правил, которые определяют значения выходной переменной; dj (j = 1, m) -лингвистическая оценка выходной переменной, которая определяется из терм-множества D.
Система логических высказываний представляет собой нечёткую базу знаний [5], [10].
Если в данную систему ввести операции U (ИЛИ) и П (И), это даст возможность записать её более компактно:
Ni={
.,vqi}, i = 1, n;
(4.8)
146
Для определения чёткого интервала daut, daut необходимо применить операцию дефаззификации.
Использование данной системы позволит описать количественно и качественно выраженную информацию об объектах, мультипликативное влияние факторов неопределенности, влияние рисков и субъективных решений и ряд других моментов, повышающих адекватность получаемых решений по управлению СПД.
Заключение
Сети передачи данных масштаба MAN и WAN требуют сложного программного обеспечения, имеют сложную разветвленную структуру, покрывают значительную территорию, обслуживают большое количество пользователей. Таким образом, СПД можно рассматривать как большую и сложную систему. В связи с постоянным ростом и развитием СПД наблюдается рост аномалий в работе сети.
В статье предложена классификация аномалий в функционировании СПД и представлены основные способы их обнаружения при определенных условиях. Обоснован выбор комбинированного подхода к обнаружению аномалий в СПД на основе методов обнаружения сигнатур, статистического анализа потока событий и аппарата нейронечетких сетей.
Разработана модель системы управления СПД, учитывающая тип входного потока событий и различные методы обнаружения аномалий.
Это позволит обеспечить своевременность обнаружения аномалий и повысить оперативность принимаемых решений по их устранению в условиях внешних воздействий и больших масштабов сетей.
Библиографический список
1. Формирование элементов системы управления сетью передачи данных с применением аппарата нейронных сетей / А. К. Канаев, М. А. Камынина, Е. В. Опарин // Бюллетень результатов научных исследований. - Вып. 3 (2). - 2012. - С. 47-55 [Электронный ресурс]. - Режим доступа: http://e-result.m/?page_id=252 (Дата обращения 04.09.12). С 01.12.2012: www.research-bulletin.org.
2. Интеллектуальная система поддержки принятия решения на основе нечеткой логики для диагностики состояния сети передачи данных : автореф. дис. ... канд. техн. наук / А. В. Кучер. - Краснодар, 2007. - 24 с.
3. Сети передачи пакетных данных / Г. Ф. Коханович, В. М. Чуприн. - Киев : МК-Пресс, 2006. - 272 с.
147
4. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей : учеб. пособие / В. А. Платонов. - М. : Изд. центр «Академия», 2006. - 240 с.
5. Нейронные сети и их применение в системах управления и связи / В. И. Комашинский, Д. А. Смирнов. - М. : Горячая линия - Телеком, 2003. - 94 с.
6. Статистические методы обнаружения нарушений безопасности в сети / В. А. Нестеренко // Информационные процессы. - Том 6, № 3. - Ростов-на-Дону : РГУ, 2006. -С. 208-217.
7. Нейронные сети, генетические алгоритмы и нечеткие системы / Д. Рутковская, М. Пилиньский, Л. Рутковский ; пер. с польск. - М. : Горячая линия - Телеком, 2004. - 452 с.
8. Нейронные сети: распознавание, управление, принятие решений (Прикладные информационные технологии) / А. Б. Барский. - М. : Финансы и статистика, 2004. - 176 с.
9. Искусственный интеллект / И. А. Бессмертный. - СПб. : СПбГУ ИТМО, 2010. -
132 с.
10. Научно-методическое обеспечение построения интеллектуальных систем поддержки принятия решений для реализации адаптивной автоматизированной системы управления тактическим воинским формированием / М. А. Гудков, С. А. Комиссаров // Труды 66-й научно-технической конференции, посвященной дню радио. - СПб. : ВАС, 2011. -С. 168-169.
11. Нечеткое моделирование в среде MatLab и fuzzy TECH / А. В. Леоненков. -СПб. : БХВ-Петербург, 2005. - 736 с.
12. Нечеткие модели и сети / В. В. Борисов, В. В. Круглов, А. С. Федулов. - М. : Горячая Линия - Телеком, 2007. - 284 с.
© Канаев А. К., Камынина М. А., Опарин Е. В., 2012
148