CC BY
27
А. Ю. Телков,
кандидат физико-математических наук, доцент, Воронежский государственный университет
О. Ю . Данилова,
кандидат физико-математических наук, доцент
С. А. Телкова,
кандидат педагогических наук, доцент
ОБНАРУЖЕНИЕ СЕТЕВЫХ АНОМАЛИЙ В ТРАФИКЕ БИОМЕТРИЧЕСКИХ СЧИТЫВАТЕЛЕЙ ОТПЕЧАТКОВ ПАЛЬЦЕВ
В ЧАСТОТНОЙ ОБЛАСТИ
DETECTION OF NETWORK ANOMALIES IN THE TRAFFIC OF BIOMETRIC READERS OF FINGER PRINTS IN THE FRAQUENCY DOMAIN
Рассмотрено использование частотного подхода в задаче обнаружения сетевых аномалий в IP трафике биометрических считывателей отпечатков пальцев, применяющихся в интересах контроля выхода охранников на посты охраны географически распределенной организации. Приведен алгоритм обнаружения сетевых аномалий, основанный на анализе среднесуточного значения объема трафика и поведения ограниченного числа его спектральных компонент.
The use of the frequency domain approach in the task ofdetecting network anomalies in the IP traffic of biometric fingerprint readers, which are used in the interests of monitoring the security guards access to security posts of a geographically distributed organization, is considered. An algorithm for detecting network anomalies based on the analysis of the average daily traffic volume and the behavior of a limited number of its spectral components is presented.
Введение. Аналитики компании Cisco считают период с 2008 по 2009 год «рождением Интернета вещей», так как количество устройств, подключённых к глобальной сети, превысило численность населения Земли, что можно рассматривать как переход от «Интернета людей» к «Интернету вещей» [1].
Одной из прикладных задач, связанных с Интернетом вещей, является задача контроля сотрудников территориально распределенных организаций. При этом сотрудники в заданные интервалы времени проходят процедуру идентификации и отмечания по месту своего нахождения на специальных устройствах, например биометрических считывателях отпечатков пальцев. Далее информация по каналам связи попадает на сервер учета рабочего времени. Затем полученные данные обрабатываются с целью получения требуемых отчетов, для формирования табелей рабочего времени и т.п.
С появлением детальной информации о характере обмена данными между сервером с программой учета рабочего времени и каждым из биометрических считывателей возникают объективные предпосылки к формулированию выводов о функционировании устройств более глубоких, чем выводы «о наличии устройств на связи», которые могут быть получены с помощью традиционных систем мониторинга — Zabbix, Naggios и т.д. [2].
Целью данной работы является анализ трафика биометрических считывателей отпечатков пальцев при работе в системе «сервер учета рабочего времени — считыватель» и создание методики обнаружения сетевых аномалий в трафике подобного рода.
Архитектура системы и подход к сбору информации. Типовую правильно функционирующую распределенную систему, решающую задачи контроля сотрудников территориально распределенной организации, можно описать следующим образом. Имеется программа-сервер учета рабочего времени, обеспечивающая, в конечном счете, хранение списка сотрудников, их принадлежности к структурным подразделениям, а также текущую привязку к территориям нахождения — работы, службы и т.п. На местах нахождения сотрудников имеются терминалы сбора данных в виде биометрического считывателя и узла связи (рис. 1.). Защищенная связь удаленных сетей со считывателями с сетью сервера учета рабочего времени и возможность маршрутизации должна обеспечиваться какой-либо технологией VPN [3]. Поступление новой информации о посещениях (отметках) сотрудников достигается за счет обращений по расписанию программы-сервера учета рабочего времени к биометрическим считывателям для получения данных или в результате процедур автоматической выгрузки данных, инициируемых считывателями. Правильное функционирование системы с точки зрения анализа трафика заключается в том, чтобы зависимости исходящего (входящего) со считывателей трафика были типовыми, соответствующими регламентам обмена данными сервер — считыватель.
Рис. 1. К пояснению архитектуры системы 110
С целью анализа трафика биометрических считывателей во временной области воспользуемся операторным представлением записи информации о трафике, проходящей через транзитный маршрутизатор [4].
В рассматриваемом случае сбор информации о трафике «сервер учета рабочего времени — биометрический считыватель» организовывался за счет размещения сенсора Cisco NetFlow (а именно IPCAD — эмулятор для Linux-систем) на сервере связи, а сбор информации был настроен для записи в базу данных (БД) PostgreSQL на удаленном сервере систем управления базами данных (СУБД) (Рис. 1). Структура основной таблицы о трафике в БД с указанием названий типов данных приведена в табл. 1.
Таблица 1
Имя поля Тип Номер поля
code bpchar(19) 1
sourceip bpchar(15) 2
sourceport bpchar(15) 3
destip bpchar(15) 4
destport bpchar(15) 5
packets int4 6
bytes int4 7
protocol bpchar(5) 8
interface bpchar(5) 9
info bpchar(16) 10
ipcdate date 11
ipctime Interval (2147418114) 12
Пример данных со значениями первых восьми полей основной таблицы о трафике приведен в табл. 2. Нетрудно заметить, что биометрические считыватели с IP адресами 172.18.10.253, 172.18.6.253 взаимодействуют с сервером учета рабочего времени с адресом 172.XX.YY.ZZ по транспортным протоколам TCP и UDP.
Таблица 2
1 2 3 4 5 6 7 8
2019070109003000001 172.18.10.253 4370 172.XX.YY.ZZ 64177 24 1406 17
2019070109003000003 172.18.10.253 4370 172.XX.YY.ZZ 61279 3 120 6
2019070109003000005 172.18.6.253 4370 172.XX.YY.ZZ 64174 32 2090 17
2019070109003000007 172.18.6.253 4370 172.XX.YY.ZZ 61275 3 120 6
2019070109010000002 172.18.6.253 4370 172.XX.YY.ZZ 64174 4 188 17
2019070109010000006 172.18.10.253 4370 172.XX.YY.ZZ 64177 10 778 17
2019070109013000003 172.18.6.253 4370 172.XX.YY.ZZ 64174 4 188 17
При выборе достаточно малых интервалов наблюдения можно получить суточные временные зависимости исходящего трафика с каждого биометрического считывателя, причем с уменьшением интервала между замерами гистограмма будет стремиться к кри-
вой реального трафика [4]. В рассматриваемой задаче был получен трафик десяти биометрических считывателей за 30 дней наблюдения (около трехсот зависимостей). В качестве примера некоторые кривые показаны на рис. 2.
считыватель 1---считыватель 2 — - считыватель 3
24000
20000
16000
га 12000 из
8000
4000
I
т
I
200 400
1200 1400 1600
-1-Г
600 800 1000 1, минуты
Рис. 2. Суточные зависимости исходящего трафика биометрических считывателей отпечатков пальцев при обмене с сервером учета рабочего времени
Результаты исследования трафика биометрических считывателей во временной области. В ходе исследования трафика между биометрическими считывателями и сервером учета рабочего времени установлено:
1. Среднее значение суточного трафика для различных считывателей составляет от 220 до 320 кБайт. Меньшие значения трафика соответствуют биометрическим считывателям, установленным на постах с меньшим числом отмечающихся сотрудников. В частности, на пост с 1Ру4 адресом 172.18.3.253 выходил ежесуточно 1 сотрудник (суточный трафик около 230 Кб); на пост 172.18.31.253 выходило ежесуточно 3 сотрудника (суточный трафик около 280 Кб); на пост 172.18.12.253 ежесуточно выходило 4 сотрудника (суточный трафик около 320 Кб).
2. У различных считывателей суточные зависимости трафика от времени (при работе в режиме без аномалий) имеют похожий вид. У каждого графика наблюдается по 4 характерных максимума в первой половине дня и 4 во второй половине дня. Это связано с особенностями работы программы чтения данных из биометрических считывателей. В частности, в первой половине дня в течение 60 минут с 15 -минутным интервалом про-
грамма учета рабочего времени запускает процессы чтения данных и затем останавливает их. Это происходит в интервалах 08.30...09.30 и во второй половине дня аналогичные процессы происходят в 20.30...21.30.
3. Некоторые графики имеют практически совпадающее положение на временной оси в различные дни работы системы. Это связано с тем, что программа чтения данных из биометрических считывателей обрабатывает устройства списком, устройства, находящиеся на каналах с устойчивой связью, с малым (1, 2) количеством отмечающихся сотрудников в начале списка имеют хорошую повторяемость графиков (например, 172.18.12.253 находится в начале списка и графики для различных дней практически сливаются в одну кривую). При большом числе отмечающихся сотрудников (4, 8 и более) экстремумы графиков могут сдвигаться на интервалы до 15 минут (например, 172.18.23.253 находится в конце списка и графики для различных дней местами сдвинуты на 15 мин.).
4. При отсутствии связи в один их двух периодов опроса (аномальный режим чтения данных из считывателя) объем суточного трафика уменьшается примерно вдвое (на 50%). В нормальном режиме работы отклонения суточного объема трафика составляло для разных считывателей 1-2, для некоторых порядка 6 процентов, но никогда не превышало 10%.
Результаты исследования трафика биометрических считывателей в частотной области. Исследования частотной области трафика показали, что в случае «нормального» функционирования системы амплитуды нулевой, ±1, ±2, ±3, ±4 частот (при 128 отсчетах и 20-минутном интервале измерений для получения одного отсчета) отличаются для одного устройства в различные дни не более чем на 10%. Если имеют место сетевые аномалии в виде потери связи или несанкционированного трафика, амплитуды при этих частотных компонентах отличаются в меньшую или большую сторону на значение 30. ..50% (рис. 3).
2400
считыватель 1
2000
- считыватель 2
- считыватель 3
1600
1200
400
800
0 - ,
-60 -40 -20
0
20
40
60
Рис. 3. Спектр трафика
Причина, по которой девяти частот достаточно для определения факта аномалии, заключается в том, что обратное преобразование Фурье от ограниченного спектра указанных частот в достаточно полной мере для данной задачи характеризует тренд трафика: имеются два выраженных максимума в периоды опроса устройств с характерным объемом передаваемого трафика (рис. 4). Если бы количество обращений к устройствам в течение суток было больше, возможно, количество необходимых частот было бы другим.
^ 16000
I I I I I I
0 20 40 60 80 100 120
¡
Рис. 4. Исходный и восстановленный по девяти гармоникам трафик
Этапы алгоритма обнаружения сетевых аномалий, основанного на анализе среднесуточного значения объема трафика и поведения ограниченного числа спектральных компонент. С учетом установленных фактов по спектральному составу трафика, алгоритм обнаружения аномалий может содержать следующие этапы:
1. Этап обучения (для каждого считывателя) с целью формирования профиля работы в «нормальном» режиме.
1.1. Расчет среднесуточного объема исходящего трафика.
1.2. Расчет значений амплитуд спектра для частот с номерами 0; ±1, ±2, ±3, ±4. Этап работы (для каждого считывателя) с целью выявления аномалий.
2.1. Вычисление среднесуточного значения трафика (для каждого биометрического считывателя). Сравнение ежесуточного среднего значения трафика с значением из профиля нормальной работы. В случае, если объем трафика более чем на 10% отличается в меньшую сторону от эталонного значения, считаем, что имеет место аномалия в виде отсутствия связи. В случае, если объем трафика более чем на 10% отличается в большую
сторону от эталонного значения, считаем, что имеет место аномалия в виде несанкционированного (не обязательно, возможно, имели место работы по удаленному программированию устройства) доступа.
2.2. Вычисление спектра трафика (для каждого биометрического считывателя). Сравнение амплитуд для частот спектра 0; ±1; ±2; ±3; ±4 со значениями из профиля нормальной работы. В случае, если амплитуда какой-либо спектральной компоненты на 10% отличается в меньшую или большую сторону от эталонного значения, выносим решение, что имеет место аномалия. Меньшее значение амплитуды на нулевой частоте указывает на отсутствие связи в один из периодов работы, большее значение указывает на факты связи с устройством в периоды времени, отличные от периодов опроса устройства по расписанию.
На этапе работы алгоритма (после обучения) массивы измеряемых значений трафика могут до поступления данных заполняться значениями, полученными на этапе обучения, а в процессе поступления информации замещаться на получаемые значения. Это позволит запускать процедуру оценки возникновения аномальной ситуации сколь угодно часто (чаще одного раза в сутки).
С точки зрения теории обнаружения сетевых аномалий [5] алгоритм относится к классу алгоритмов с обучением, рассматривается обнаружение аномалий в частотной области, признаковое пространство нормального функционирования системы образовано значением среднесуточного трафика и значениями амплитуд девяти спектральных компонент (первых четырех положительных, первых четырех отрицательных и нулевой, при 128 отсчетах исходного сигнала). Для оценки отклонений с целью ответа на вопрос, является ли текущая ситуация аномальной, используется мера схожести Чебышева для набора признаков. Также можно говорить об обнаружении аномалий объема на малых временных интервалах, так как поставщиком данных о трафике выступает механизм, совместимый с Cisco NetFlow. Аномалии определяются не в групповом трафике, а в потоках, индивидуально соответствующих различным считывателям.
Заключение. Таким образом, рассмотрен сценарий применения частотного подхода c целью решения задачи обнаружения сетевых аномалий в трафике между биометрическими считывателями отпечатков пальцев, работающими в составе распределенной системы учета рабочего времени, и сервером учета рабочего времени. По сравнению с традиционными системами мониторинга предлагаемый алгоритм позволяет обнаружить не только сетевую доступность устройств, но и определить правильность их функционирования с позиций обмена данными в распределенной системе учета рабочего времени, а также обнаружить аномалии вида «потеря связи» и «несанкционированный доступ».
Состоятельность алгоритма подтверждена результатами расчетов по реальным данным, полученным в процессе функционирования реальной системы учета рабочего времени на базе программы ZKTIME производителя ZKTECO (Китай) [6], работающей со считывателями Smartec ST-FR020EM, ZKTECO MA-300, Falcon Eye FE-MA300 через каналы связи 3G/4G сотовых операторов ТЕЛЕ-2, МТС, Мегафон, Билайн на территории Воронежской области.
ЛИТЕРАТУРА
1. Грингард С. Интернет вещей: будущее уже здесь : пер. с англ. — М. : Точка; Альпина Паблишер, 2017. — 224 с.
2. Шардаков К. С. Сравнительный анализ популярных систем мониторинга сетевого оборудования, распространяемых по лицензии GPL // Интеллектуальные технологии на транспорте. — 2018. — № 1. — С. 44—48.
3. Запечников С. В., Милославская Н. Г., Толстой А. И. Основы построения виртуальных частных сетей : учеб. пособие для вузов. — М. : Горячая линия — Телеком, 2003. — 249 с.
4. Телков А. Ю., Крохин Е.А. Операторное представление процедуры извлечения данных о сессиях трафика по данным сервера удаленного взаимодействия (RSH) и симулятора счетчика пакетов IP ACCOUNTING (IPCAD) на транзитном LINUX маршрутизаторе // Вестник ВГУ. Серия: Системный анализ и информационные технологии.
— 2017. — № 2. — С. 54—56.
5. Шелухин О. И. Сетевые аномалии. Обнаружение, локализация, прогнозирование. — М. : Горячая линия — Телеком, 2019. — 448 С.
REFERENCES
1. Gringard S. Internet veschey: buduschee uzhe zdes : per. s angl. — M. : Tochka, Alpina Pablisher, 2017. — 224 s.
2. Shardakov K. S. Sravnitelnyiy analiz populyarnyih sistem monitoringa setevogo obo-rudovaniya, rasprostranyaemyih po litsenzii GPL // Intellektualnyie tehnologii na transporte.
— 2018. — # 1. — S. 44—48.
3. Zapechnikov S. V., Miloslavskaya N. G., Tolstoy A. I. Osnovyi postroeniya virtual-nyih chastnyih setey : ucheb. posobie dlya vuzov. — M. : Goryachaya liniya — Telekom, 2003.
— 249 s.
4. Telkov A. Yu., Krohin E.A. Operatornoe predstavlenie protseduryi izvlecheniya dannyih o sessiyah trafika po dannyim servera udalennogo vzaimodeystviya (RSH) i simulya-tora schetchika paketov IP ACCOUNTING (IPCAD) na tranzitnom LINUX marshrutizatore // Vestnik VGU. Seriya: Sistemnyiy analiz i informatsionnyie tehnologii. — 2017. — # 2. — S. 54—56.
5. Sheluhin O. I. Setevyie anomalii. Obnaruzhenie, lokalizatsiya, prognozirovanie. — M. : Goryachaya liniya — Telekom, 2019. — 448 S.
СВЕДЕНИЯ ОБ АВТОРАХ
Телков Александр Юрьевич. Доцент кафедры электроники. Кандидат физико-математических наук, доцент.
Воронежский государственный университет.
E-mail: telkov@dpo-it.ru
Россия, 394006, Воронеж, Университетская пл., 1. Тел. (473) 220-82-84.
Данилова Ольга Юрьевна. Доцент кафедры математики и моделирования систем. Кандидат физико-математических наук, доцент.
Воронежский институт МВД России
E-mail: danilova_olga@hotmail.com.
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-13.
Телкова Светлана Анатольевна. Доцент кафедры математики и моделирования систем. Кандидат педагогических наук, доцент.
Воронежский институт МВД России.
E-mail: tsa76@inbox.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-13.
Telkov Aleksandr Yurievich. Assistant Professor of the chair of Electronics. Candidate of Physical and Mathematical Sciences, Assistant Professor. Voronezh State University. E-mail: telkov@dpo-it.ru
Work address: Russia, 394006, Voronezh, University Square, 1. Tel. (473) 200-52-13.
Danilova Olga Yurievna. Assistant Professor of the chair of Mathematics and Systems Modeling. Candidate of Physical and Mathematical Sciences, Assistant Professor.
Voronezh Institute of the Ministry of the Interior of Russia. E-mail: danilova_olga@hotmail.com
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-13.
Telkova Svetlana Anatolievna. Assistant Professor of the chair of Mathematics and Systems Modeling. Candidate of Pedagogics Sciences, Assistant Professor.
Voronezh Institute of the Ministry of the Interior of Russia. E-mail: tsa76@inbox.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-13. Ключевые слова: обнаружение сетевых аномалий; алгоритм обнаружения; частотная область. Key words: network anomaly detection; detection algorithm. frequency domain. УДК 621.391.01
ИЗДАНИЯ ВОРОНЕЖСКОГО ИНСТИТУТА МВД РОССИИ
Рыдченко К.Д. Типовые ошибки сотрудников полиции при составлении адми-нистра-тивно-процессуальных документов: учебно-методическое пособие / К.Д. Рыдченко, Р.В. Никулин, О.А. Федотова. — Воронеж: Воронежский институт МВД России, 2017. — 99 с.
В пособии рассматриваются лексико-юри-дические и тактические ошибки, допускаемые сотрудниками полиции при составлении оперативно-служебной и административно-процессуальной документации, даются рекомендации по её правильному оформлению. Особое внимание уделяется вопросам составления рапорта о выявленном правонарушении, заявления и объяснения, заполнения протокола об административном правонарушении. Предназначено для курсантов и слушателей образовательных организаций МВД России, сотрудников подразделений службы охраны общественного порядка.
