Add to collection(s) Add to saved
  1. No category

Методы обнаружения аномальных ситуаций в режимах загрузки

advertisement 
МЕТОДЫ ОБНАРУЖЕНИЯ АНОМАЛЬНЫХ
СИТУАЦИЙ В РЕЖИМАХ ЗАГРУЗКИ
КАНАЛОВ КОРПОРАТИВНЫХ
ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ
Березовский А.Н.
Южный федеральный университет
ОБЩЕЕ ОПИСАНИЕ РАЗРАБАТЫВАЕМОЙ
СИСТЕМЫ
1. Обнаружение аномалий в работе каналов сети с
помощью методов математического анализа.
2. Анализ характеристик работы каналов на
нескольких уровнях модели ISO/OSI:
канальном, сетевом, транспортном и
прикладном.
3. Анализ зависимостей между потенциально
аномальными характеристиками для
уменьшения кол-ва ложных срабатываний.
ПОЛУЧЕНИЕ НЕОБХОДИМОЙ СТАТИСТИЧЕСКОЙ
ИНФОРМАЦИИ
В настоящее время в опорной сети ЮФУ
используется оборудование фирмы Cisco;
 Для нужд ВЦ ЮФУ была создана система
сбора статистической информации
использующая для ее получения следующие
технологии:

 протокол
SNMP;
 протокол Netflow;
 технология Cisco NBAR;
ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ
значение параметра работы канала является
потенциально аномальным, если не попадает
в некоторый интервал разрешенных
значений;
 интервал разрешенных значений задается
либо вручную, либо вычисляется с помощью
методов математического анализа;

ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ (ЧАСТЬ 2)
Используется математическая модель нормальной работы
сети в которой значения параметров состоят из
следующих трех составляющих: Y(t) = f(t)+g(t)+(t),
где f(t) - тренд, медленно меняющаяся во времени функция,
характеризующая изменения, связанные с развитием
сетевой инфраструктуры;
g(t) - периодическая составляющая, которая может быть
описана конечным рядом Фурье и характеризующая
изменения, связанные с суточными и недельными
колебаниями пользовательской активности;
(t) - случайная последовательность, относительно которой
делается предположение о равенстве нулю ее
математического ожидания М[t]=0 и с дисперсией
2=2(t), посчитанной на основе предыдущих данных с
учетом времени суток и дня недели.
ОПРЕДЕЛЕНИЕ АНОМАЛЬНОСТИ ЗНАЧЕНИЙ
ПАРАМЕТРОВ (ЧАСТЬ 3)
Для практического использования этой
модели необходимо устранить
нестационарность системы;
 Необходимо учесть следующие
нестационарные компоненты:

тренд. связанный с развитием сети;
 сезонные циклы;
 недельные циклы (рабочие и праздничные дни);
 суточные циклы;

АНАЛИЗ ВЗАИМОСВЯЗИ МЕЖДУ
ПОТЕНЦИАЛЬНО АНОМАЛЬНЫМИ ЯВЛЕНИЯМИ

для уменьшения количества ложных срабатываний
анализируется взаимосвязь между выявленными
потенциально аномальными явлениями;
Пример:
в случае большого количества одновременных TCPсессий с одного компьютера большое значение имеет
программный протокол, используемый для этих
сессий. Если это протокол передачи почтовых
сообщений – возможно ведется массовая рассылка
спама.
Related documents
Анализ многомерных данных
Анализ многомерных данных
Старшему помощнику прокурора
Старшему помощнику прокурора
ЕН.В1 Математическое моделированиеx (новое окно)
ЕН.В1 Математическое моделированиеx (новое окно)
Новошахтинский филиал ЮФУ начинает новый набор студентов
Новошахтинский филиал ЮФУ начинает новый набор студентов
Исследовательская работа - Средняя школа № 22 г. Могилева
Исследовательская работа - Средняя школа № 22 г. Могилева
Инфекционная безопастность
Инфекционная безопастность
2012-2013
2012-2013
X - Высшая школа экономики
X - Высшая школа экономики
Download
advertisement