Каталог / ТЕХНИЧЕСКИЕ НАУКИ / Математическое и программное обеспечение вычислительных систем, комплексов и компьютерных сетей
скачать файл:
- Название:
- Дружинин Евгений Леонидович. Разработка методов и программных средств выявления аномальных состояний компьютерной сети
- Альтернативное название:
- Druzhinin Evgeny Leonidovich. Development of methods and software tools for detecting abnormal computer network conditions
- ВУЗ:
- МОСКОВСКИЙ ИНЖЕНЕРНО-ФИЗИЧЕСКИЙ ИНСТИТУТ (ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ)
- Краткое описание:
- Дружинин Евгений Леонидович. Разработка методов и программных средств выявления аномальных состояний компьютерной сети : Дис. ... канд. техн. наук : 05.13.13, 05.13.11 Москва, 2005 202 с. РГБ ОД, 61:05-5/2558
МОСКОВСКИЙ ИНЖЕНЕРНО-ФИЗИЧЕСКИЙ ИНСТИТУТ
(ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ)
На правах рукописи
ДРУЖИНИН ЕВГЕНИИ ЛЕОНИДОВИЧ
Разработка методов и программных средств выявления аномальных
состояний компьютерной сети
Специальности: 05.13.13 - телекоммуникационные системы и компьютерные сети 05.13.11 - математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
ДИССЕРТАЦИЯ на соискание ученой степени кандидата технических наук
Научный руководитель: д.т.н., профессор, Чернышев Ю.А.
Москва - 2005
{Ь СОДЕРЖАНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 5
ГЛАВА 1. КЛАССИФИКАЦИЯ СЕТЕВЫХ АНОМАЛИЙ И АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ ИХ ОБНАРУЖЕНИЯ із
1.1 КЛАССИФИКАЦИЯ СЕТЕВЫХ АНОМАЛИЙ і з
1.1.1 Удаленное сканирование сетевых ресурсов 14
1.1.2 «Отказ в обслуживании» 15
1.1.3 Удаленное «переполнение буфера» 15
1.1.4 Аппаратные сбои сетевых устройств 16
1.1.5 Программные сбои сетевых приложений 16
1.1.6 Вирусы, сетевые черви 17
, 1.1.7 Скрытые люки 17
Ф і .2 ОСОБЕННОСТИ АНОМАЛИЙ, РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ 18
1.3 ОБЗОР СУЩЕСТВУЮЩИХ МЕТОДОВ ОБНАРУЖЕНИЯ АНОМАЛИЙ 21
1.3.1 Методы выявления аномалий, реализованные в современных системах. 22
1.3.2 Обзор результатов исследований, проводимых в зарубежных научно-
исследовательских центрах 29
1.4 ТРЕБОВАНИЯ К СОЗДАВАЕМОЙ МЕТОДИКЕ И ЕЕ ПРОГРАММНОЙ РЕАЛИЗАЦИИ 42
1.4.1 Требования к методу обнаружения аномалий 42
1.4.2 Требования к технической реализации. 43
1.4.3 Пользовательские требования 44
ВЫВОДЫ 45
ГЛАВА 2. РАЗРАБОТКА МЕТОДИКИ ОБНАРУЖЕНИЯ АНОМАЛИЙ 47
2.1 СХЕМА ОБРАБОТКИ СЕТЕВОГО ТРАФИКА 48
^ 2.2 ВЫБОР ОБЪЕКТА АНАЛИЗА 49
2.3 МОДЕЛЬ СЕТЕВОГО УСТРОЙСТВА 54
2.4 СТРУКТУРИЗАЦИЯ СЕТЕВОГО ТРАФИКА б 1
2.5 ФОРМИРОВАНИЕ ШАБЛОНА НОРМАЛЬНОГО ПОВЕДЕНИЯ СЕТЕВОГО УСТРОЙСТВА 63
2.6 МЕТОДИКА ВЫЯВЛЕНИЯ РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ АНОМАЛИЙ 67
Выводы 72
ГЛАВА 3. РАЗРАБОТКА СИСТЕМЫ ПРИНЯТИЯ РЕШЕНИЙ ПО ВЫЯВЛЕНИЮ АНОМАЛИЙ, РАСПРЕДЕЛЕННЫХ ВО ВРЕМЕНИ
73
3.1. ИССЛЕДОВАНИЕ МАТЕМАТИЧЕСКИХ СВОЙСТВ ХАРАКТЕРИСТИК СЕТЕВЫХ УСТРОЙСТВ 73
3.1.1 Описание тестовой среды 73
3.1.2 Анализируемые массивы данных 75
3.1.3 Результаты анализа математических свойств отдельных характеристик
* (одномерный анализ) 77
з
ч'т 3.1.4 Результаты анализа математических свойств совокупности
характеристик (многомерный анализ) 82
3.2 СИСТЕМА ПРИНЯТИЯ РЕШЕНИЙ ДЛЯ ВЫЯВЛЕНИЯ АНОМАЛИЙ 88
3.2.1 Основные принципы, лежащие в основе системы принятия решений 88
3.2.2 Построение системы принятия решений, оценивающей степень
аномальности отдельных событий 90
3.2.3 Построение системы принятия решений, оценивающей степень
аномальности множества событий 98
3.3 ВОПРОСЫ АВТОМАТИЗАЦИИ СИСТЕМЫ ПРИНЯТИЯ РЕШЕНИЙ И АНАЛИЗА ЕЕ
ЭФФЕКТИВНОСТИ 104
Выводы 116
ГЛАВА 4. РАЗРАБОТКА ПРОГРАММНОЙ СИСТЕМЫ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ П8
4.1 АРХИТЕКТУРА САВС 119
4.1.1 Принципы функционирования 119
4.1.2. Соотнесение принципов архитектуры САВС с требованиями к методике выявления аномалий 120
4.1.3 Вопросы повышения эффективности работы отдельных компонент 122
4.2 СТРУКТУРЫ ТАБЛИЦ БАЗЫ ДАННЫХ 124
4.3 СЕТЕВОЙ АГЕНТ 125
4.4 СИСТЕМА УПРАВЛЕНИЯ РЕСУРСАМИ 128
4.5 СИСТЕМА ОТОБРАЖЕНИЯ и АНАЛИЗА ДАННЫХ 142
4.6 ИНТЕГРАЦИЯ КОМПОНЕНТ САВС 150
ОПЫТНАЯ ЭКСПЛУАТАЦИЯ САВС 151
ВЫВОДЫ 152
ЗАКЛЮЧЕНИЕ 154
БИБЛИОГРАФИЯ 157
ПРИЛОЖЕНИЯ 165
- Список литературы:
- Заключение
В результате проведенных исследований решен ряд важных задач,
составляющих проблему выявления аномальных состояний в работе компьютерной
сети на основе анализа сетевого трафика.
Основные результаты работы заключаются в следующем:
1. Предложена методика выявления аномалий, распределенных во времени (АРВ), на основе формирования (и дальнейшей модификации) шаблона нормального поведения (ШНП) сетевого устройства (СУ) и выявления отклонений от него, указывающих на наличие АРВ.
2. Предложена новая формальная модель сетевого устройства (МСУ), представляющая собой способ формирования его нормированных интегральных показателей, являющихся входными данными для процессов выявления АРВ. Она обобщает и существенно расширяет известные на сегодняшний день модели. В рамках МСУ определены наиболее информативные наборы характеристик СУ, определяющие его взаимодействия по протоколам IP, TCP, UDP и ICMP.
3. Разработана система принятия решений (СПР), включающая в себя алгоритмы автоматизированного выявления АРВ в отношении СУ. На реальном сетевом трафике и имитационных примерах АРВ оценена ее эффективность по четырем критериям (точность, полнота, вероятности ошибок 1-го и 2-го рода). Так, полученные оценки точности находятся в пределах 0,54+0,72, полноты - 0,70+0,85, вероятности ложного срабатывания (1-го рода) - 0,08+0,17, вероятности пропуска АРВ (2-го рода) - 0,14+0,26. Полученные оценки достаточно хорошо согласуются с оценками методов зарубежных исследователей, направленных на выявление кратковременных аномалий, и по отдельным критериям превосходят их.
4. Выявлено, что современные методы обнаружения аномалий обладают принципиальными недостатками и на сегодняшний день не существует единой теории эффективного обнаружения АРВ.
5. Сформулированы основные требования к методике выявления АРВ и ее программной реализации, предусматривающие возможность выявления произвольных типов АРВ (в т.ч. неизвестных) и позволяющие сетевому
I*
администратору эффективно использовать соответствующий инструмент для решения вопросов диагностики и защиты информационных ресурсов компьютерной сети.
6. Предложены принципы структуризации сетевого трафика, позволяющие сохранять служебную информацию из заголовков сетевых пакетов без потери информативности с точки зрения выявления АРВ, и формировать на их основе интегральные показатели СУ. Предложенные принципы позволяют сохранять только 1ч-5% данных от первоначального объема сетевого трафика.
- Стоимость доставки:
- 200.00 руб