Три основных параметра, которые напрямую влияют на эффективность работы такого одноклассового классификатора, это:
- h - количество нейронов скрытого слоя напрямую влияет на объем т.н. «памяти» нейросети;
- ^ - коэффициент скорости обучения (LR, learning rate), влияет как на скорость обучения, так и на эффективность «запоминания»;
- ß - коэффициент инерционности (LM, Learning Momentum), влияющий как на скорость обучения, так и на качество обучения.
Результаты проведенных экспериментальных исследований показали, что предложенная модель сетевой системы обнаружения вторжений с использованием одноклассового классификатора на базе искусственной нейронный сети является весьма конкурентоспособной не только на положительном, так и на смешанном трафике и после обучения, способна обнаруживать вторжения и нехарактерные явления в трафике сети.
Использованные источники: 1. Шыхалиев Р.Г. Институт Информационных Технологий НАНА, Баку, Азербайджан
УДК 681.324
Кувшинов Н.Е.
инженер научно-исслед. лаборатории «ФХПЭ» Казанский государственный энергетический университет
Галяутдинов А.А. студент ИКТЗИ
Казанский национальный исследовательский технический
университет имени А.Н. Туполева - КАИ
Россия, г. Казань
КОНТРОЛЬ СЕТЕВОГО ТРАФИКА С ПОМОЩЬЮ ГЛУБОКОГО
АНАЛИЗА ПАКЕТА
Аннотация. В работе рассмотрены вопросы контроля трафика и проблемы сетевых операторов, возникающие с особенностями мультимедийного трафика. Показано, что одним из решений данной задачи является управление трафиком клиентов на уровне приложений с использование технологии глубокой инспекции пакетов DPI, которая позволяет с помощью эвристического или сигнатурного анализа определять трафик различных приложения.
Ключевые слова : глубокий анализ пакета, классификация трафика, контроль трафика, защита трафика, сетевая безопасность.
Kuvshinov N.E., engineer laboratory "FHPE" Kazan State Power Engineering University
Russia, Kazan
MONITORING NETWORK TRAFFIC USING DEEP PACKET
ANALYSIS
Annotation In this paper, the issues of traffic control and the problems of network operators that arise with the peculiarities of multimedia traffic are considered.It is shown that one of the solutions of this task is the management of client traffic at the application level using the technology of deep inspection of DPI packets, which allows using heuristic or signature analysis to determine the traffic of various applications.
Keywords: deep packet analysis, traffic classification, traffic control, traffic protection, network security.
Телекоммуникационная отрасль по всему миру стремительно развивается и находится в процессе постоянной конвергенции наследованных и новых сетевых услуг к общей IP- нфраструктуре. И хотя глобальные IP-сети создали огромные возможности для пользователей, для роста и трансформации бизнеса, они также привели к возникновению новых проблем для поставщиков услуг, работающих с этими сетями. Одна из таких насущных проблем для поставщиков инфокоммуникационных услуг — умение контролировать трафик в своей сети.
Так, например, по прогнозам Cisco темпы роста сетевого трафика составляют 150% каждый год, при этом видео и Р2Р являются самыми быстро растущими сегментами. Причем по структуре самым объемным является Р2Р, то есть, трафик файлообменных сетей [1,2]. Как правило он не приносит дохода поставщикам услуг, но занимает немалую долю ресурсов сети. В результате неконтролируемый P2P-трафик повышает издержки и требует дополнительных усилий на выстраивание инфраструктуры сети. Более того, поставщики услуг могуттерпеть убытки, когда
неконтролируемость тех или иных сетевых приложений ведет к разрушению приносящих доход услуг (например, VoIP), приводя к нарушениям соглашения об уровне обслуживания (SLA). Нарушение SLA могут также вызвать распределенные атаки «отказа в обслуживании» — DDoS.
Решение этих и других подобных проблем находится за пределами возможностей стандартных коммутаторов, маршрутизаторов и межсетевых экранов, которые «заглядывают» в передаваемые пакеты, как правило, не далее TCP/UDP-портов. Соответственно такие устройства не умеют различать, например, приложения, передаваемые поверх протокола HTTP, где помимо Web-страниц могут передаваться голос, видео, мгновенные сообщения и тот же P2P-трафик. В эпоху YouTube, онлайнового радио, пиринговых сетей и других "тяжелых" сетевых приложений, приходится говорить о политике использования пропускной способности каналов связи, о том, какие принципы распределения "полосы" можно считать наиболее справедливыми, а также о том, кто именно должен устанавливать основные регулирующие правила. Наибольшую значимость эти вопросы представляют для поставщиков услуг и магистральных операторов, поскольку объемы трафика продолжают расти в головокружительном темпе
и, похоже, сокращаться уже не будут. Чтобы справиться с быстрорастущими объемами данных, операторы рассматривают или уже опробовали несколько методик. Ряд компаний ограничивали месячный объем общего используемого трафика абонента, но такой подход снижает привлекательность услуг и не пользуется популярностью у клиентов. Другие операторы ограничивают полосу пропускания всего трафика абонента, что также нельзя назвать оптимальным вариантом: резкое лимитирование не удовлетворяет потребности пользователей, а незначительное — не решают проблемы с ростом трафика. Как показывает опыт ведущих поставщиков услуг, наиболее оптимальным решением данной задачи является управление трафиком клиентов на уровне приложений. В основе методики лежит технология глубокой инспекции пакетов (Deep Packet Inspection, DPI), которая позволяет с помощью эвристического или сигнатурного анализа определять трафик различных приложения. Такой подход позволяет маркировать, применять ли политики QoS или ограничивать разные типы приложений. Эти инструменты позволяют создать прозрачный для управления поток данных, рост которого становится контролируемым [3,4].
Всем хорошо известно, что сетевой трафик можно онтролировать, т.е. применять к нему различные политики на 3-м и 4-м уровне модели OSI.
Обычно сетевое оборудование не имеет возможности работать с верхними уровнями модели OSI — уровнем Приложений, поскольку в заголовке IP пакета нет никаких данных о его содержимом. С развитием технологий сетевой безопасности произошел значительный прогресс в сигнатурном анализе трафика, то есть в определении типа трафика, атаки или вируса по определенным последовательностям прохождения пакетов в момент установления соединения или работы приложения. Именно развитие сигнатурного анализа стало началом развития технологии DPI, которая, ко всему прочему, использует еще и эвристический анализ, подразумевающий анализ поведения трафика в режиме реального времени. В целом, решение DPI — это анализ заголовка и данных пакета, корреляция данной информация и эвристический анализ для идентификации приложения. Если есть технология, которая позволяет определить различные приложения в общей структуре трафика, значит, появляется возможность управлять трафиком таких приложений — ограничивать, квотировать, назначать приоритеты, а также считать. Подобные возможности дают в руки операторам услуг инструмент не только по контролю трафиком приложений и оптимизации полосы пропускания, но и управлению абонентами, дифференциации услуг, внедрению новых сервисов и визуализации сети. Такие инструменты позволяют решать технологические задачи, например, ограничить «паразитирующий» трафик, и увеличить доходность бизнеса и лояльность абонентов. Среди задач, которые позволяет решить технология DPI, можно выделить следующие: контроль приложений; назначение политик для трафика приложений; оптимизация полосы пропускания; предоставление новых услуг; родительский контроль; защита от DDoS атак;
Анти-спам; Веб-фильтрация; Антивирусная защита; «Турбо-кнопка»; управление абонентами; управление квотами; уменьшение Р2Р; оптимизация видео потоков и http; визуализация сети; динамический просмотр загрузки сетевых ресурсов и построение отчетов по приложениям, абонентам, базовым станциям и т.д.
Технология DPI позволяет операторам расширить услуги не только на массовом рынке, но также построить взаимовыгодные отношения с бизнеспартнерами. Широкий инструментарий дает возможность обрабатывать трафик облачных сервисов, т.е. применить политики SLA и квотировать трафик популярных ресурсов — Amazon, eBay, Google или Skype.
Проще говоря, DPI позволяет системным службам контролировать потоки данных на всех уровнях стека протокола, включая прикладной уровень, используя наборы установленных правил. Кроме того, это помогает гарантировать, что существующая сетевая инфраструктура сама по себе не станет "узким местом" при увеличении скорости сетевых операций. Следует также отметить , что потребность иметь представление обо всех особенностях передаваемого трафика, присуща не только поставщикам услуг и магистральным операторам. Технологию DPI начинают успешно применять как государственные организации, так и просто крупные компании, чтобы полностью контролировать свои сети. Поскольку пропускная способность сети сейчас один из наиболее дефицитных товаров практически для всех. Хотя программные средства DPI использовались изначально магистральными операторами и поставщиками услуг для формирования трафика и поддержки должного уровня QoS, в дальнейшем их применение свелось, в основном, к осмысленному управлению потоками данных. Правда, любое манипулирование трафиком в любом случае требует некоторого справедливого отношения к разнотипным данным и поддержки определенного баланса при выделении полос пропускания. Но все чаще системные службы рассматривают технологию DPI, представленную уже в виде отдельного устройства, как один из основных инструментов решения трех основных бизнес-задач: уменьшение капитальных расходов, снижение эксплуатационных затрат, увеличение дохода со среднего клиента и ограничения рисков, связанных с атаками на безопасность ИТ-инфраструктуры. Достигается этот эффект разными путями. Например, изучая пакеты, провайдер может предотвратить сетевую атаку, отфильтровать потом спам и блокировать несанкционированные действия злоумышленников. Разгруженные и свободные от мусорного трафика каналы положительно сказываются на клиентском опыте, что находит, в свою очередь, отражение в количестве подписчиков. Кроме того, анализируя поведение пользователя при поиске данных, поставщик услуг может предлагать его вниманию соответствующее информационное наполнение и рекламные объявления.
На что будет похожа сеть будущего? Ответить на этот вопрос
достаточно сложно, но можно утверждать , что время неограниченного потребления трафика заканчивается и в идеальном мире у подписчика будет неограниченная пропускная способность при неограниченных возможностях потребления (т.е. он может скачать и закачать что угодно, и когда угодно) и за фиксированную цену. В реальном мире возможно одновременное исполнение только двух из этих условий. Первый вариант - это ограничение пропускной способности для каждого пользователя во время пиковой загрузки каналов. Второй - взимание дополнительной платы за излишнее потребление. В любом случае использование DPI будет вполне оправданным.
Фактически, DPI в настоящее время является доминирующей технологической тенденцией, формирующей архитектуру сетей следующего поколения. Ее использование становится нормой не только для магистральных операторов, но и для крупных предприятий, правительственных организаций и центров обработки данных. Вместе с ростом объемов трафика, применение DPI становится решающим фактором в борьбе за безопасность сетей и обеспечения экономии средств. DPI обеспечит лучшую в своем классе сетевую безопасность. Угрозы, включая такие, как DDoS-атаки, распространение червей, мошенничество с кредитными картами и др., продолжают расти количественно и качественно. Чтобы защитить сети от этих угроз, необходимо внедрять межсетевые экраны на уровне приложений, системы обнаружения и предотвращения вторжений, мониторинг, основанный на идентификации пользователя, услуг и, самое главное, необходимо уметь осуществлять контроль и мониторинг сетевого трафика на основе все более сложных стратегий (например, анализ поведения приложения и аномалий протокола). Таким образом для все более изощренных угроз важно иметь возможность добавлять новые функции обеспечения безопасности в сети по мере необходимости. Поэтому разработки отечественных сетевых устройств (коммутаторов, маршрутизаторов и межсетевых экранов) с использование технологий DPI позволят не только эффективно управлять трафиком в сетях, но и обеспечат защиту сети от новых угроз без замены оборудования и реорганизации сети.
Использованные источники:
1. Karagiannis T., Broido A., Brownlee N., et al. File-sharing in the Internet: A characterization of p2p traffic in the backbone: Tech. report. Riverside, 2004. [Electron. resource].http://www.cs.ucr.edu/>>tkarag/papers/tech.pdf
2. Kim M., Kang H., Hong J. Towards peer-to-peer traffic analysis using flows // Self-managing distributed systems: 14th IFIP/IEEE Intern. workshop on distributed systems: operations and management, Heidelberg (Germany), Oct. 20, 2003. Berlin: Springer LNCS, 2003. V. 2867. P. 55-67.