Разработка системы выявления аномальных состояний

УДК 001(06) Телекоммуникации и новые информационные технологии…
С.В. ПЕРЫШКИН1, М.С. ЖДАНОВА
Московский инженерно-физический институт (государственный университет),
1ООО «Лаборатория сетевых технологий»
РАЗРАБОТКА СИСТЕМЫ ВЫЯВЛЕНИЯ АНОМАЛЬНЫХ
СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ
В Лаборатории сетевых технологий ЦНИТ МИФИ в сотрудничестве с ООО
«ЛСТ» ведется разработка Системы выявления аномальных состояний компьютерной сети (ПО «Локатор безопасности»). Разработана методика выявления аномальных состояний сетевых устройств, завершено создание прототипов агента
сбора данных, подсистемы отображения данных и управления и подсистемы анализа. В статье рассказано о текущем состоянии реализации Системы, проблемах и
перспективах разработки.
Разрабатываемое программное обеспечение «Локатор Безопасности» это инструмент накопления и анализа информации о функционировании
сетей Ethernet, обеспечивающий мониторинг и обнаружение событий,
приводящих к полной или частичной потере работоспособности сети
вследствие сбоев в работе программно-аппаратного обеспечения, несанкционированного доступа злоумышленников к ресурсам сети, проникновения сетевых червей и реализации других угроз безопасности. «Локатор
Безопасности» сохраняет структурированную информацию о сетевых взаимодействиях и предоставляет возможность анализа характеристик работы сетевых сегментов [1]. Он реализует методику выявления аномальных
состояний сетевых устройств на основе многомерных методов анализа
сетевого трафика, разработанную в лаборатории [2]. В процессе разработки и тестирования ПО, были обнаружены ограничения применимости
этой методики, связанные с постоянством значений некоторых характеристик работы сетевых устройств и наличием линейных зависимостей, имеющих неустойчивый характер, что не позволяет автоматически определять аномальность состояний таких сетевых устройств [3].
Схематично архитектуру «Локатора безопасности» можно изобразить
следующим образом:
Данные
Агент
БД
Подсистема
анализа
Подсистема визуализации и управления
Интерфейс сбора данных здесь представлен Сетевым агентом, производящим захват и структуризацию трафика, и базы данных, используемой
для хранения накопленной информации.
________________________________________________________________________
ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10
22
УДК 001(06) Телекоммуникации и новые информационные технологии…
Интерфейс обработки информации – это подсистема визуализации и
управления, в составе которой работает подсистема анализа данных,
отображающая статистическую информацию о сетевых взаимодействиях,
накопленную агентом, данные анализа и состояние процессов, а также
управляющая работой Системы.
Существующий интерфейс сбора данных позволяет решить широкий
спектр задач, связанных с контролем состояния компьютерной сети, посредством реализации различных интерфейсов обработки информации.
Основные направления разработки на текущий момент это:
1. Мониторинг состояния ИВС:
 учёт сетевого трафика;
 контроль использования ресурсов сети;
 построение матриц взаимодействия;
 мониторинг деятельности пользователей.
2. Выявление аномалий сетевых взаимодействий:
 реализация методики с названными усовершенствованиями;
 использование других статистических методов;
 использование иммунного подхода;
 использование нейронных сетей.
Таким образом, меняется концепция программного комплекса «Локатор безопасности». На месте инструмента появляется целая линейка продуктов с единой архитектурой, интерфейсом и принципами построения и
развёртывания, использующих одно хранилище данных и механизм их
накопления. В связи с появлением таких задач, можно сформулировать
новые требования к Системе:
1. Модульность, отсутствие взаимоисключающих модулей.
2. Функциональная целостность модулей.
3. Единая архитектура, унифицированная реализация.
4. Масштабируемость, горизонтальная и вертикальная.
5. Детализированная журнализация действий по модулям.
6. Мультиязычность и настраиваемость, обеспечивамые централизованно.
Список литературы
1. Дружинин Е.Л., Самохин А.М., Чернышев Ю.А. Разработка системы аудита вычислительных сетей.
2. Дружинин Е.Л., Самохин А.М., Чернышев Ю.А.. Методика адаптивного выявления
аномальных состояний компьютерной сети
3. Жданова М.С., Перышкин С.В., Гученко А.П., Чернышев Ю.А. Совершенствование
методики выявления аномальных состояний сетевых устройств.
________________________________________________________________________
ISBN 5-7262-0710-6. НАУЧНАЯ СЕССИЯ МИФИ-2007. Том 10
23