Методика адаптивного выявления аномальных состояний

УДК 001(06) Телекоммуникации и новые информационные технологии…
Е.Л. ДРУЖИНИН1, А.М. САМОХИН1, Ю.А. ЧЕРНЫШЕВ
Московский инженерно-физический институт (государственный университет),
1ЗАО «КОНТУР Софт», Москва
МЕТОДИКА АДАПТИВНОГО ВЫЯВЛЕНИЯ
АНОМАЛЬНЫХ СОСТОЯНИЙ КОМПЬЮТЕРНОЙ СЕТИ
Рассматриваются основные принципы работы методики адаптивного
выявления аномальных состояний компьютерной сети. Приводятся идеи, лежащие
в основе ее практической реализации в виде системы отображения и анализа
данных (СОАД) для Системы Аудита Вычислительной Сети, разрабатываемой в
Лаборатории Сетевых Технологий ЦНИТ МИФИ.
На сегодняшний день в области управления сетями и их защиты
важнейшей проблемой является обнаружение атак хакеров и сбоев в
работе сетевого оборудования и программного обеспечения.
Наиболее универсальным способом решения этой проблемы является
выявление аномальных состояний в работе сети, то есть таких состояний,
которые указывают на отклонение от «нормального» поведения сетевых
устройств. Его универсальность состоит в возможности выявлять ранее
неизвестные аномалии.
В Лаборатории Сетевых Технологий ЦНИТ МИФИ разработана
методика адаптивного выявления аномальных состояний компьютерной
сети.
Ее создание было основано на результатах анализа структурированных
данных, характеризующих реальный сетевой трафик, циркулирующий в
сети МИФИ. Сетевой трафик включал в себя следы «нормального»
функционирования сетевого устройства и проявления случайных и
специально эмулируемых распределенных во времени аномалий.
В результате проведенных исследований были выявлены критерии,
позволяющие обнаружить в сетевом трафике наличие следов
распределенных во времени аномалий.
Методика включает в себя модель поведения сетевого устройства,
систему принятия решения о наличии аномалии и принципы
создания/модификации шаблона «нормального» поведения устройства.
Она реализуется в виде программного компонента САВС [1]: системы
отображения и анализа данных (СОАД).
Использование СОАД предполагает выполнение следующих действий:
 Установку САВС в сети и накопление сетевого трафика (этап
обучения);
______________________________________________________________________
ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10
54
УДК 001(06) Телекоммуникации и новые информационные технологии…

Построение шаблонов «нормального» поведения контролируемых
сетевых устройств на основе обработки сетевого трафика,
захваченного на этапе обучения;
 Запуск процессов анализа для выявления аномалий сетевых
устройств во вновь поступающих событиях;
 Реагирование на сигналы о выявленных аномалиях.
Работа администратора по работе с системой заключается в
управлении описанным выше процессом.
Наиболее важными задачами, которые должен решать администратор
в процессе использования системы, являются:
 Контроль за созданием и модификацией шаблона;
 Анализ результатов работы системы по выявлению степени
аномальности устройств.
 Визуальный анализ истории сетевых взаимодействий с целью
уточнения причин возникновения аномалий.
В настоящий момент реализован прототип СОАД, проходящий
опытное тестирование в Лаборатории Сетевых Технологий ЦНИТ МИФИ.
Список литературы
1. Дружинин Е.Л., Самохин А.М., Чернышев Ю.А. Разработка системы аудита
вычислительных сетей. // Научная сессия МИФИ-2002. Сб. науч. тр. В 14 т. Т.10. С. 37-38.
______________________________________________________________________
ISBN 5-7262-0555-3. НАУЧНАЯ СЕССИЯ МИФИ-2005. Том 10
55