CC BY
49Решетневскуе чтения. 2013
Ввиду того, что данный программный продукт не может анализировать текстовые значения, в журнале операций была произведена замена текстовых значений на целочисленные коды. На основании данных журнала операций построены карты, приведенные на рисунке. Алгоритм разбил данные на три кластера. Наиболее интересными являются неоднородности карты, выделенные на рисунке. Неоднородность № 1 может показывать, что пользователи, которые относятся к этой области карты, выполняют действия, соответствующие роли, к которой они не относятся, неоднородность № 2 может показывать, что пользователи, обозначенные в этой области карты, выполняют действия, не только в общем не соответствующие роли, но и выполняющие несвойственные операции с документами.
Для подтверждения предположения о несоответствии пользователей роли были внесены изменения в журнал операций и изменены роли у пользователей, отнесенных алгоритмом к данной области, но изменение журнала операций, сгладив аномальные значения, обозначенные в областях № 1 и № 2, повлекло за собой появление аномалий в других областях. Анализ журнала операций вручную также не дал понимания причин возникновения аномальных значений.
Таким образом, применение самоорганизующихся карт Кохонена позволяет построить эталонную мо-
дель пользователя для корректного анализа действий пользователя и выявления таким образом потенциальных нарушителей правил безопасности.
Библиографические ссылки
1. Pannell G. & Ashman H. Anomaly Detection over User Profiles for Intrusion Detection // 8th Australian Information Security Mangement Conf. / Edith Cowan University, Perth Western, 2010. P. 94-117
2. Михайлов К. Д. О применении самоорганизующихся карт Кохонена для решения задачи обнаружения аномалий информационной безопасности в реляционных СУБД // Актуальные вопросы современной техники и технологии. Липецк : Изд-во «Де-факто», 2010. С. 64-67.
References
1. Pannell G. & Ashman H. Anomaly Detection over User Profiles for Intrusion Detection // 8th Australian Information Security Mangement Conference / Edith Cowan University, Perth Western, 2010, pp. 94-117.
2. Mihajlov K. D. O primenenii samoorganizujushhihsja kart Kohonena dlja reshenija zadachi obnaruzhenija anomalij informacionnoj bezopasnosti v reljacionnyh SUBD // Aktual'nye voprosy sovremennoj tehniki i tehnologii, Lipeck : izd-vo «De-fakto», 2010. S. 64-67.
© Михайлов К. Д. 2013
УДК 004.056
ОБ ОСОБЕННОСТЯХ ЗАДАЧИ АНАЛИЗА СЕТЕВОГО ТРАФИКА В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ПРОВАЙДЕРА
Е. Ю. Моисеев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: Ares_kr@mail.ru
Рассматриваются особенности задачи анализа сетевого трафика в вычислительных сетях провайдера для обнаружения информационных атак и аномалий.
Ключевые слова: компьютерные сети, анализ сетевого трафика.
SPECIAL TASKS OF TRAFFIC ANALYSIS IN THE COMPUTER NETWORK INTERNET SERVICE PROVIDER
E. Y. Moiseev
Siberian State Aerospace University named after academician M. F. Reshetnev 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russia. E-mail: Ares_kr@mail.ru
Special tasks of traffic analysis are considered for detection information attacks and anomalies in the computer network internet service provider.
Keywords: computer networks, network traffic analysis.
Развитие современных информационных систем в мире предъявляет высокие требования по надежности, пропускной способности и безопасности к глобальным вычислительным сетям. Так, по прогнозам
компании Cisco, объем мирового IP-трафика, генерируемого в среднем в месяц, может составить порядка 83,8 экзабайт к 2017 г. [1]. С увеличением объемов передаваемых данных увеличивается и число инфор-
Методы и средства защиты информации
мационных атак, реализуемых в вычислительных сетях. Примером могут служить атаки на отказ в обслуживании (DoS - Denial of Service) и распределенные атаки на отказ в обслуживании (DDoS - Distributed Denial of Service).
С точки зрения эффективности борьбы с распространением DDoS-трафика, наибольшим потенциалом обладают системы защиты, развернутые на уровни вычислительных площадок и узлов агрегации региональных провайдеров, так как обладают следующими преимуществами:
1) непосредственный, физический доступ клиентских хостов к глобальной сети, которые могут быть как непосредственными участниками бот-сетей, так и целью информационной атаки. Данное обстоятельство позволяет локализовать/отключить от сети провайдера только лишь инфицированный хост/сегмент сети как вредоносный или создать резервные маршруты в случае атаки на него;
2) провайдер регионального уровня имеет доступ, как правило, к нескольким магистральным линиям, что позволяет, используя средства маршрутизации трафика, достаточно эффективно локализовать и/или блокировать вредоносный трафик, идущий как в сеть провайдера, так и из нее;
3) имеется большое количество детальных данных о проходящем через сеть провайдера трафике для последующего анализа.
Главной особенностью анализа сетевого трафика в сети провайдера является большой объем обрабатываемых данных. Учитывая проведенные исследования и приведенные данные [2], было выявлено, что задача анализа и выявления аномального трафика обладает следующими специфическими особенностями:
1) отсутствует общепризнанная модель описания сетевого трафика;
2) информативность полученных данных при анализе зависит от загруженности исследуемых каналов связи: в слабо нагруженных каналах информативность падает из-за неустойчивого поведения трафика, в сильно нагруженных - из-за их максимальной загруженности;
3) наблюдается свойство «самоподобия» трафика вычислительной сети [3];
4) при анализе резких всплесков сетевого трафика следует учитывать сезонные колебания, а также другие нарушения стационарности.
Таким образом, для решения задачи выделения из общего трафика сети провайдера вредоносного, наиболее подходящим на первых шагах исследования является применение методов кластерного анализа, использование которых позволит выделить характеристические признаки и построить модель описания сетевого трафика в сетях провайдеров регионального уровня. Построенная модель может применяться для эффективной идентификации и последующей локализации и/или блокирования вредоносного трафика.
Библиографические ссылки
1. Cisco Visual Networking Index: Forecast and Methodology, 2012-2017 [Электронный ресурс]. URL: http://www.cisco.com/en/US/solutions/collateral/ns341/ns 525/ns537/ns705/ns827/white_paper_c11-481360_ ns827_ Networking_Solutions_White_Paper.html (дата обращения 09.09.2013).
2. Щербакова Н. Г. Анализ IP-трафика методами DATA MINING. Проблема классификации // Проблемы информатики. 2012. № 4. С. 30-46.
3. Федорова М. Л. Об исследовании свойства самоподобия трафика мультисервисной сети // Вестник ВГУ. Сер. Системный анализ и информационные технологии. 2010. С. 46-54.
References
1. Cisco Visual Networking Index: Forecast and Methodology, 2012-2017 [Jelektronnyj resurs]. URL: http://www.cisco.com/en/US/solutions/collateral/ns341/ns 525/ns537/ns705/ns827/white_paper_c11-481360_ ns827_Networking_Solutions_White_Paper.html(dataobr ashhenija 09.09.2013).
2. Shherbakova N. G. Analiz IP trafika metodami DATA MINING. Problema klassifikacii. // Problemy informatiki. 2012. № 4. S. 30-46.
3. Fedorova M. L., Ledeneva Ob issledovanii svojstva samopodobija trafika mul'tiservisnoj seti // Vestnik VGU, Serija Sistemnyj analiz i informacionnye tehnologii. 2010. S. 46-54.
© Моисеев Е. Ю., 2013
УДК 004.056
КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ С ИСПОЛЬЗОВАНИЕМ МЕТОДОВ КЛАСТЕРИЗАЦИИ
А. Ю. Перевалова
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Россия, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31 Е-шаП: anastasiya13_91@mail.ru
Для кластеризации электронных документов предлагается метод БТС, рассматриваются достоинства и недостатки данного метода, основные этапы кластеризации. Выдвинуто предложение по устранению недостатков.
Ключевые слова: классификация, кластеризация, суффиксное «дерево», латентно-семантический анализ.
