ОСНОВНЫЕ МЕТОДЫ АНАЛИЗА СЕТЕВОГО
ТРАФИКА Гладких А.М.
Гладких Анна Михайловна - магистрант, кафедра информационных систем и телекоммуникаций,
факультет информатики и управления, Московский государственный технический университет им. Н.Э. Баумана, г. Москва
Аннотация: так как продолжают расти частные внутренние сети компаний, чрезвычайно важно, чтобы сетевые администраторы знали и умели управлять вручную различными типами трафика, который проходит по сети. Этим и обусловлена актуальность темы анализа сетевого трафика. В статье рассматриваются основные из существующих на сегодняшний день методы анализа трафика и их сравнение.
Актуальность. Для эффективного управления сетью большое значение имеет её мониторинг. Он является источником информации о функционировании корпоративных приложений, которая учитывается при распределении средств, планировании вычислительных мощностей, определении и локализации отказов, решении вопросов безопасности.
Сетевой мониторинг — это сложная задача, требующая больших затрат сил, которая является очень важной частью работы сетевых администраторов. Администраторы постоянно стремятся поддержать бесперебойную работу своей сети. Если в сети произойдет сбой хотя бы на небольшой период времени, производительность в компании сократится, что может негативно отразиться на работе компании в целом.
Понятие анализа сети. Анализ сети — это процесс захвата трафика и его просмотра для определения наличия в нем проблем и аномалий.
Анализ сетевого трафика приобретает все большую актуальность в связи с развитием сетевых технологий, увеличением объема данных, передаваемых по сети, внедрением большого количества новых сетевых протоколов (в том числе закрытых). В качестве основных областей практического применения можно выделить следующие:
- выявление проблем в работе сети;
- тестирование (отладка) сетевых протоколов;
- предотвращение сетевых атак;
- классификация трафика.
Методы анализа сетевого трафика. На сегодняшний день существует несколько способов для мониторинга и анализа сетевого трафика. Рассмотрим основные из них:
- с помощью программ-анализаторов (в том числе с помощью специальных протоколов в маршрутизаторах);
- статистические методы;
- методы на основе нейронных сетей.
Все эти методы обладают своими достоинствами и недостатками и применяются в зависимости от целей и возможностей компаний. Рассмотрим каждый метод отдельно.
Программы-анализаторы. Самым простым и доступным способом анализа сетевого трафика являются программы-анализаторы [1]. Программа-анализатор или сниффер - это программа или программно-аппаратное устройство, которое применяется для захвата и последующего анализа захваченного трафика или отдельного сегмента сети. В процессе захватывания всех потоков, анализатор захватывает и записывает все пакеты, полученные из интернет-трафика. В случае подробного и информативного анализа происходит декодирование пакетов из зашифрованной формы представления, в читаемую.
Существует множество программ, как платных, так и бесплатных, для реализации данного функционала.
Одной из самых известных, гибких и удобных программ является Wireshark. На рисунке 1 представлен интерфейс программы с захваченным трафиком.
é w¡ reshark File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 0 - 1 -a- 64 %Ш
о • • Wi-Fi: enO
а □ S © le ft ft É j q О О a Ö £ P - tj, <a. in
No. 77,37.252,17 I Time I Source I Destination | Protocol | Length| Info
Рис.1. Интерфейс программы Wireshark
Бесплатный open-source анализатор трафика Wireshark предоставляет своим пользователям возможность захватить трафик, отфильтровать пакеты, посмотреть их содержимое, нарисовать диаграммы TCP ошибок. Кроме того, в нем есть функции для перехвата и анализа голосового трафика (VoIP).
К плюсам можно отнести то, что данная программа абсолютна бесплатна, имеет гибкий интерфейс и проста в использовании. Кроме того, можно с ее помощью собрать трафик для последующего анализа трафика другими методами.
К недостаткам же относится то, что для анализа трафика больших компаний данное ПО не подойдет.
Статистические методы. Существует несколько методов для анализа трафика с помощью различных математических моделей [2]. Среди них:
- моделирование трафика фрактальным броуновским движением;
- анализ с помощью Марковской модели;
- моделирование временных рядов.
Рассмотрим более подробно моделирование временных рядов.
При построении модели временных рядов используется экспериментальная информация (полученная в реально функционирующей сети), требуется меньше допущений и, следовательно, более адекватно отражается реальный объект, т. е. телекоммуникационная сеть [3]. Данный метод наиболее точен, так как в основе лежит множество экспериментальных данных.
Математическая модель описывает поток информации в зависимости от момента 1 При статистическом анализе временных потоков информации необходимо осуществить выделение тренда, выделение периодических составляющих - колебаний относительно тренда с некоторой регулярностью, анализ случайного компонента.
Математическое описание обычно включает в себя одну из подобных составляющих или сумму нескольких из них.
Для такого показателя, как загрузка каналов, предложена следующая модель, включающая в себя три составляющие:
где ОД - тренд, медленно меняющаяся во времени функция, описывающая изменения среднесуточных (средне недельных) загрузок за интервалы времени большие, чем суточная периодичность; g(T) - периодическая составляющая, которая может быть описана конечным рядом Фурье, построенным по экспериментальным данным величин загрузок телекоммуникационного канала; е^)- случайная последовательность, относительно которой делается предположение о равенстве нулю ее математического ожидания М[е() = 0.
Моделирование тренда может проводиться с помощью хорошо разработанных методов регрессионного анализа. Свойства и характеристики случайной последовательности е(^) изучаются с помощью классических методов
математической статистики и методов анализа случайных последовательно стей.
Методы на основе нейронных сетей. Искусственная нейронная сеть (ИНС) является одним из подходов технологии создания интеллектуальных систем, основанных на имитации поведения человеческого мозга. Существует большое количество разных конфигураций нейронных сетей с различными принципами функционирования. Для того, чтобы реализовать систему, которая сможет обнаружить атаки и аномалии трафика, необходимо использовать полно связанную нейронную сеть. Такая нейронная сеть включает в себя несколько слоев, где каждый нейрон произвольного слоя связан со всеми нейронами предыдущего слоя [4]. На рисунке 2 представлена структура многослойного персептрона.
Рис .2.Структура многослойного персептрона
Многослойный персептрон содержит три типа слоев нейронов: входной, скрытый и выходной. Каждый нейрон сети имеет гладкую нелинейную функцию активации. Многослойные нелинейные нейронные сети позволяют формировать более сложные связи между входами и
выходами, чем однослойные линейные. Доказано, что трехслойная нейронная сеть с одним скрытым слоем может быть обучена аппроксимировать с произвольной точностью любую непрерывную функцию.
Выводы. Выбирая метод для анализа, важно основываться на таких факторах, как объем анализируемого трафика, надежность и информативность выбираемого метода, доступность. Все методы, описанные в данной статье, являются надежными и информативными. Однако если необходимо проанализировать небольшой трафик, то для этого будет и достаточно бесплатных программ-снифферов. Если же речь идет о больших данных, то логичнее всего здесь будет применить статистические методы или нейронную сеть. Кроме того, анализ с помощью нейронных сетей - довольно перспективное и развивающееся направление, которое на сегодняшний день себя довольно хорошо зарекомендовало.
Список литературы