В.В. Меньших, А.Ю. Телков,
доктор физико-математических наук, кандидат физико-математических наук,
профессор доцент, Воронежский государственный
университет
ИСПОЛЬЗОВАНИЕ СЕТЕВОГО СЕНСОРА IPCAD ДЛЯ ПОЛУЧЕНИЯ ИСХОДНЫХ ДАННЫХ В СИСТЕМАХ ОБНАРУЖЕНИЯ АНОМАЛИЙ IP ТРАФИКА
UTILIZING NETWORK SENSOR IPCAD FOR GETTING SOURCE DATA IN SYSTEMS OF ANOMALY DETECTION
OF IP TRAFFIC
Рассматривается возможность использования сетевого сенсора IPCAD для получения исходной информации с целью обработки в системах обнаружения аномалий IP трафика. Обосновываются требования к детальности получения информации. Разрабатывается методика имитационного моделирования, проводится эксперимент, обсуждаются его результаты.
Possibility of utilizing network sensor IPCAD for getting source information for processing in systems of IP traffic anomaly detection is considered. Requirements for details of information getting are founded. The methodic of imitation modelling is proposed, experiment is carry out, the results of experiment are discussed.
Введение
В настоящее время одной из глобальных проблем функционирования распределенных сетевых защищенных систем, образованных набором взаимодействующих между собой по некоторым правилам удаленных IP сетей, является проблема обнаружения аномалий сетевого трафика [1]. В качестве примеров можно рассматривать взаимодействующие между собой части корпоративных или ведомственных сетей, причем в первом случае, как правило, кроме внутреннего трафика между удаленными сетями существует еще и трафик между локальными сетями и сетью Интернет и т.д.
В общем виде под аномалией сетевого трафика понимают отклонение поведения сетевого трафика от «нормального» в некотором признаковом пространстве. При обнаружении аномалий применяют различные методы, которые, в значительной степени отличаясь по существу, основаны на обработке данных о сетевом трафике [2, 3, 4]. В качестве сетевого трафика в задачах обнаружения сетевых аномалий рассматриваются данные о прошедшем через транзитный узел объеме информации в единицу времени. Для получения таких данных применяют зеркалирование трафика на сетевые сенсоры. Наиболее часто в качестве механизма, собирающего информацию о прошедшем через сетевой узел трафике, используют Cisco NetFlow [5].
Современные исследования позволяют утверждать [6], что значительная часть проблем, связанная с аномальной загрузкой магистральных каналов передачи данных, обусловлена аномальной активностью хостов конечных пользователей. Речь здесь может идти о работе на конечных узлах программ-участников пиринговых сетей, программ туннелирования трафика, программ-сетевых вирусов, вызывающих аномальную сетевую активность. По этой причине в указанных случаях сбор информации о трафике
оправданно вести как можно ближе к конечным хостам. Сетевой сенсор может быть организован на маршрутизаторе, отделяющем сегмент локальной сети с конечными узлами от сетей более высокого ранга. В последнее время значительную долю таких маршрутизаторов составляют многофункциональные ЭВМ с операционной системой Linux. Возросший интерес к использованию подобных систем обусловлен невероятной гибкостью и широкими возможностями одновременной реализации различных сетевых ролей (сервер удаленного доступа, сервер или клиент виртуальной частной сети, маршрутизатор, телефонная станция — IP АТС и т.д.) на одном устройстве. В отмеченных случаях информация об IP трафике, собираемая с таких систем, дает полную картину сетевого поведения всех устройств в сегменте локальной сети, к которым они подключены.
Целью данной работы является исследование возможностей использования сенсора IPCAD, эмулирующего работу механизма Cisco NetFlow на маршрутизаторе в виде многофункциональной ЭВМ с операционной системой Linux, в качестве поставщика исходной информации для обработки в системах обнаружения сетевых аномалий IP трафика.
Подход к моделированию системы сбора информации о сетевом трафике
Известны случаи применения сенсора IPCAD в задачах подсчета трафика за большие периоды времени (часы, дни, месяцы) [7]. В то же время задачи обнаружения сетевых аномалий приводят к необходимости анализа детальной информации о трафике в некотором временном окне, которое у различных исследователей составляет от нескольких секунд до нескольких часов. Поскольку существует положительный опыт применения сенсора IPCAD на больших временных интервалах, представляет интерес исследование точности сенсора на малых временных интервалах — минута и менее.
С другой стороны, современные скорости каналов, обеспечивающие подключение сегментов локальных сетей к сетям более высокого ранга, например к сети Интернет, составляют единицы мегабит в секунду. И здесь представляет интерес исследование точности сенсора на скоростях от сотен килобит в секунду до десяти мегабит в секунду.
Прикладной протокол передачи данных, использующийся для тестирования, должен обладать возможностью передачи информации с заданной скоростью. Такая возможность удовлетворит потребности передачи данных на различных заданных скоростях.
Сетевая топология, применяемая дли исследования, должна включать узел-источник информации, узел-приемник информации и транзитный узел, собирающий статистику о прошедшем трафике.
С учетом приведенных соображений моделирование процесса обмена информацией проведем на скоростях передачи 100; 200; 300; 500; 800; 1300; 2100; 3400; 5500; 8900 Кбит/с. В качестве прикладного протокола будем использовать ftp - file transfer protocol (протокол передачи данных). Сетевую топологию, на которой будем проводить исследования, покажем на рис. 1. В данной топологии для моделирования трафика используется процесс передачи данных с источника данных (ftp клиент) на приемник данных (ftp сервер) через транзитный маршрутизатор. Маршрутизатор представляет собой многофункциональную ЭВМ с двумя сетевыми интерфейсами Ethernet и установленным программным сенсором IPCAD. Информация о прошедшем сетевом трафике обрабатывается на станции сбора данных. Интервалы измерения объема трафика, прошедшего через маршрутизатор, сделаем равными 60; 30; 20; 10; 6; 3 и 2 с.
Коммутатор Ethernet
Источник данных (ftp клиент)
Приемник данных (ftp сервер)
Станция сбора данных Рис.1. Сетевая топология для моделирования
Перед выбором критерия для анализа корректности работы сетевого сенсора рассмотрим некоторые конкретные кривые, иллюстрирующие результаты имитационного моделирования процесса передачи данных и сбора сетевой статистики. На рис. 2 показаны зависимости от времени объема переданной информации при передаче файла объемом 59,25 Мегабайт на выбранной сетке скоростей при интервале между соседними точками измерения количества переданной информации 10 с. Рисунок иллюстрирует тот факт, что повышение скорости передачи в некоторое количество раз снижает в то же самое количество раз время передачи. Небольшие колебания скорости передачи обусловлены спецификой транспортного протокола TCP (Transmission Control Protocol), пытающегося поднять скорость передачи информации и затем опускающего эту скорость в соответствии с прикладным протоколом передачи данных ftp, зафиксировавшего эту скорость согласно требованию приложения-клиента.
10000000 —
8000000
6000000
4000000
2000000 —
200
400
600
800
Рис. 2. Зависимости переданного объема данных от времени на различных скоростях передачи при интервале подсчета прошедшего трафика, равном 10 с
Кривые на рис. 2 будем интерпретировать как одномерные изображения. С точки зрения теории обработки изображений характеристикой сравнения некоторой оценки изображения с эталонным изображением служит нормированная среднеквадратичная ошибка X, вычисленная по правилу [8]:
N 0 2 X (I, -10)2
X
і =1
N 0 2 X (I0)2
(1)
, =1
где I = 1..N, N — количество точек, в которых известны изображения; = 1..К —
некоторая оценка изображения; I0, / = 1..N — эталонное изображение. В нашем случае ситуация осложняется тем, что исходное изображение неизвестно, однако известен объем передаваемой информации. И по этой причине в качестве интегрального показателя качества работы сетевого сенсора будем использовать величину
(Z V - V0)2
% = (v ° )2 ' (2)
где i = 1..N, N — число точек, в которых сетевым сенсором произведены измерения; Vi
— объем прошедшего трафика между i-м и i — 1-м измерением; V0 — известный объем передаваемой информации. Такая величина имеет смысл нормированной ошибки измерения с помощью сетевого сенсора объема передаваемой информации. Для определения качества работы сетевого сенсора исследуем зависимости % на выбранной сетке скоростей передачи.
Результаты моделирования показывают, что значение % для различных скоростей передачи не превышает 0,00055 при величине интервала измерений не менее 3 с, что соответствует ошибке измерения объема переданного трафика не более 3%. Значения % имеют аналогичные зависимости от скоростей передачи при различных объемах передаваемой информации. При интервале измерений 2 с и менее значение % резко возрастает, при этом ошибка измерения объема переданного трафика превышает 10%. Указанное явление происходит по причине пропуска сетевым сенсором значительного числа пакетов при выполнении процедуры очистки счетчика трафика через короткие интервалы времени.
Реализация имитационной модели
Для проведения моделирования реализовывалась сетевая топология, показанная на рис. 1.
Источник данных и Linux маршрутизатор реализовывались в виде виртуальных машин с помощью средства виртуализации Oracle Virtual Box 4.1.8 с операционными системами Microsoft Windows XP SP3 и Linux CentOS 6.2 в родительской операционной системе Microsoft Windows Server 2008 R2. В качестве коммутатора Ethernet между ЭВМ-источником и Linux маршрутизатором использовался виртуальный коммутатор Microsoft.
Приемник данных представлял собой отдельный ftp-сервер на базе Microsoft Windows Server 2008 R2, который подключался к Linux маршрутизатору через коммутатор Ethernet со скоростью портов 100 Мбит/с. Механизм записи данных о прошедшем трафике реализовывался в Linux системе с помощью планировщика заданий cron, при этом информация о прошедшем трафике записывалась в файлы, которые затем обрабатывались на станции сбора данных.
При максимальной скорости передачи 8900 Кбит/с загрузка процессора виртуальной машины с маршрутизатором, под который отводилось одно ядро процессора и 512 Мбайт оперативной памяти, не превышала 15%. Это позволяет утверждать, что на практике на реальных ЭВМ с числом ядер процессора не менее двух показатели качества работы сенсора будут не хуже показателей, которые наблюдались в моделируемой сетевой топологии .
Заключение
Показана возможность использования сенсора IPCAD, эмулирующего работу механизма Cisco NetFlow на маршрутизаторе в виде многофункциональной ЭВМ с операционной системой Linux, в качестве поставщика исходной информации для обработки в системах обнаружения сетевых аномалий IP трафика. Установлено, что ошибка измерения объема переданного трафика составляет не более 3 % при значении интервалов измерения от 3 с до 1 мин на скоростях передачи данных от сотен килобит в секунду до десяти мегабит в секунду.
ЛИТЕРАТУРА
1. Обнаружение закономерностей и распознавание аномальных событий в потоке данных сетевого трафика / Е. Е. Витяев [и др.]. — Вестник НГУ. Серия: Информационные технологии. — 2008. — Том 6. — Вып. 2. — С. 57—68.
2. P. Abry and D. Veitch, “Wavelet analysis of long range dependent traffic,” IEEE Transactions on Information Theory, vol. 44, no. 1, 1998.
3. P. Barford and D. Plonka, “Characteristics of network traffic flow anomalies,” in Proceedings of ACM SIGCOMM Internet Measurement Workshop, San Francisco, CA, November 2001.
4. Петров В.В. Статистический анализ сетевого трафика. — М., 2003.
5. Introduction to Cisco IOS NetFlow — A Technical Overview. — Режим доступа: http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps6601/prod_white_pap er0900aecd80406232.html (дата обращения 04.03.2012).
6. О влиянии трафика хостов с клиентами пиринговых сетей на загрузку магистральных каналов. Крюков, Ю. А. Исследование влияния P2P потоков на производительность магистрального канала сети «ЛАНПОЛИС» / Ю. А. Крюков, Д. В. Чернягин http://sanse.ru: сайт электронного журнала [Электронный ресурс]. — Режим доступа: http://sanse.ru/download/33 (дата обращения 04.03.2012).
7. Кузнецов А.В. Учет трафика в Linux с помощью ipcad. — Режим доступа: http://www.nixp.ru/articles/Учет-трафика- в-Linux- с-помощью-ipcad.html (дата обращения 04.03.2012).
8. Прэтт У. Цифровая обработка изображений: в 2 т: пер. с англ. — М.: Мир, 1982. — Т.1.