Прогнозирование в системе мониторинга локальных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.732

С.Ю. Исхаков, А.А. Шелупанов, С.В. Тимченко

Прогнозирование в системе мониторинга локальных сетей

Описывается использование метода краткосрочного прогнозирования для решения проблемы идентификации сбоев в работе локально'-вычислительных сетей (ЛВС). Приведено описание реализации метода Хольта-Винтерса в одном из компонентов разрабатываемой системы мониторинга ЛВС и предложены рекомендации по выбору коэффициентов, влияющих на точность прогнозирования сбоев системы.

Ключевые слова: ЛВС, мониторинг, прогнозирование, тренд, аберрация.

Задача идентификации сбоев в работе локальных сетей

Постоянное развитие информационных технологий влечет за собой увеличение размеров локальных сетей предприятий. В связи с этим оперативное управление сетевой инфраструктурой ЛВС становится нетривиальной задачей. Каждую минуту в сети генерируется огромное количество гетерогенных данных. Во-первых, сетевая инфраструктура состоит из множества различных устройств (коммутаторы, маршрутизаторы, компьютеры и т.д.). Во-вторых, на каждом из этих устройств функционирует большое количество прикладных программ, также являющихся источниками данных.

Изменение значений любого из параметров с течением времени образует временной ряд. Каждый из таких временных рядов отражает определенную составляющую общего состояния локальной сети. Примером могут служить объем трафика, проходящий через порт коммутатора, или состояние загрузки центрального процессора компьютера в течение суток.

Первая задача состоит в том, чтобы обеспечить сбор, хранение и возможность доступа в реальном времени к такому обширному набору гетерогенных разнородных данных. Данная задача была решена в ходе проводимого автором исследования в области автоматизации мониторинга и управления локальными сетями в виде разработанной системы мониторинга «SOWA» [1], предназначенной для контроля функционирования локально-вычислительных сетей.

Так как параметры ЛВС динамически изменяются во времени, то вероятны отклонения в значениях исследуемых параметров. Отклонения в поведении временных рядов могут свидетельствовать о наличии проблем с производительностью сети, сбоях в работе аппаратного или программного обеспечения.

Вторая задача состоит в том, чтобы автоматически идентифицировать отклоняющееся поведение посреди множества временных рядов. Как только такое поведение идентифицировано, необходимо сгенерировать оповещение, чтобы привлечь внимание администратора к потенциальной проблеме.

Один из способов идентификации потенциальных сбоев системы основан на задании критериев в виде минимальных или максимальных пороговых значений определенных исследуемых показателей. Данный способ был реализован в одной из версий системы мониторинга «SOWA» [6].

Но использование такого способа не позволяет обнаружить изменения поведения системы в течение времени и, как следствие, обеспечивает низкую вероятность определения сбоя системы. В данной ситуации возникает проблема задания критериев определения сбоя в работе системы, что влечет за собой повышение вероятности ложных срабатываний.

Альтернативным способом является использование методов прогнозирования. Причем с точки зрения управления локальными сетями долгосрочные прогнозы (на несколько недель или месяцев) не представляют практического интереса. Наибольшую практическую ценность представляют краткосрочные прогнозы, учитывающие текущее состояние сети.

Алгоритм прогнозирования Хольта-Винтерса

Метод Хольта-Винтерса является усовершенствованием метода экспоненциального сглаживания временного ряда. Экспоненциальное сглаживание обеспечивает наглядное представление о тренде и позволяет делать краткосрочные прогнозы.

Отличие от экспоненциального сглаживания заключается в способности метода обнаруживать тренды, относящиеся к коротким периодам в моменты времени, непосредственно предшествующие прогнозным, и экстраполировать эти тренды на будущее. Несмотря на то, что в методе используется линейная экстраполяция, для большинства показателей текущего состояния локальной сети ее оказывается достаточно.

Метод Хольта-Винтерса основан на том, что исследуемый временной ряд может быть представлен в виде трех компонент: базовой компоненты, линии тренда и сезонного эффекта. Алгоритм предполагает, что каждая из этих компонент изменяется во времени. К изменяющимся значениям каждой из компонент применяется экспоненциальное сглаживание.

Как и в методе экспоненциального сглаживания, прогноз на следующий период вычисляется применением к текущему значению прогноза коэффициентов а , в, у . Данные коэффициенты определяются параметрами модели и могут принимать значения в пределах от 0 до 1. При более высоких значениях коэффициентов прошлые значения компоненты учитываются в большей степени, чем текущие, а при более низких наибольшее влияние на прогноз оказывают текущие значения компонент.

Прогноз есть сумма всех трех компонент:

Л

yt+1 = ai + bi + ct+1-т , (!)

где at - базовая компонента; bt - линия тренда; ct - сезонный эффект; m - период сезона (цикл).

Новая оценка базовой компоненты есть ее текущее значение, скорректированное с учетом значения сезонного коэффициента. Так как новое значение базовой компоненты зависит от изменений линии тренда, прогноз тренда прибавляется к коэффициенту базовой линии:

a1 =а(У1 - ct-m) + (1 -a)(at-1 + bt-1) . (2)

Новая оценка тренда есть разность между новым и старым значением базовой компоненты:

b = P(at -at-1) + (1-P)bt-1. (3)

Новая оценка сезонного компонента есть разность между его текущим значением и соответствующей базовой компонентой:

c1 = Y(yt - at) + (1 - Y)ct-m . (4)

Формулы (2)-(4) используются только для получения текущих значений компонент на один временной интервал, так как эти сохраненные значения пересчитываются в каждой итерации.

В первой точке ряда значения базовой компоненты и тренда не рассчитываются, так как для их расчета не существует предшествующих экспериментальных значений. Во второй точке ряда сглаженное значение базовой компоненты принимается равным ее наблюдаемому значению, а микротренд за этот период считается линейным и рассчитывается как разность между текущим и прошлым значениями отклика.

Начиная с третьей точки, используются формулы (2)-(4): рассчитывается сглаженное значение базовой компоненты по сглаженному значению и микротренду для прошлой точки ряда и отклику для текущей точки, а затем рассчитывается новый микротренд по своему предшествующему значению и разности между прошлым и только что оцененным сглаженным значением. Затем описанная процедура повторяется по всем последующим точкам временного ряда.

Так как описываемый метод использует краткосрочное прогнозирование, то при каждом изменении величины строится прогноз ее следующего значения, исходя из истории предыдущих измерений и последнего значения. С помощью коэффициентов можно варьировать количество предыдущих значений измеряемой величины, используемых для прогноза. Тем самым можно достигать необходимого уровня выявления аберраций.

Прогнозирование в системе мониторинга

В зависимости от размеров ЛВС анализу могут подвергаться десятки и сотни параметров различных устройств. Задача формирования критериев определения потенциального сбоя по каждому показателю отдельно требует много временных ресурсов персонала, обслуживающего данную сеть. Альтернативным решением данной задачи является использование методов прогнозирования.

В разрабатываемой автором системе мониторинга для сбора текущих значений параметров моделируемых объектов используется Simple Network Management Protocol (SNMP) [5].

В состав входит утилита RRDTool [3], распространяемая по лицензии GPL [4] и необходимая для построения графиков зависимостей отслеживаемых показателей от времени. Характерной особенностью данного инструмента является реализованная функция описанного выше метода прогнозирования Хольта-Винтерса, а также механизм обнаружения аберраций (отклонений) [3,4] измеряемой величины по отношению к спрогнозированным величинам.

Для каждого параметра, подвергающегося мониторингу, на основе имеющихся шаблонов формируется унифицированный скрипт на языке Perl. Множество таких скриптов образуют модуль обработки запросов, управляемый планировщиком задач. Данный модуль собирает данные с сетевых

объектов и помещает их в базы данных (по каждому объекту ведется свой файл). Сбор информации производится по протоколу SNMP.

Характерной особенностью данного инструмента является способ хранения данных «Round Robin» [3]. Это метод работы с конечным числом данных, где присутствует указатель на текущий элемент; после того, как все возможные ячейки базы будут заполнены, указатель автоматически вернется в первоначальное положение и начнется запись данных поверх старых записей.

Файл базы данных RRDTool содержит в себе несколько архивов данных, каждый из которых определен функцией консолидации и хранит значения данных в основных точках и консолидированные в соответствии с заданной функцией значения.

Согласно алгоритму, описанному в методе Хольта-Винтерса, для формирования прогноза необходимо не менее двух массивов. Базовая компонента и тренд изменяются при каждом обновлении архива и уникальны для каждого набора данных. Параметры адаптации алгоритма одинаковы в пределах одного архива.

Для работы механизма определения аббераций в RRDTool необходимо задать значения пяти дополнительных функций консолидации:

1) HWPREDICT: массив прогнозов, вычисляемых по алгоритму Хольта-Винтерса, один для каждой основной точки данных.

2) SEASONAL: массив сезонных компонентов с длиной, равной сезонному периоду. Для каждой основной точки данных сезонный коэффициент обновляется и соответствует индексу в данном сезоне.

3) DEVPREDICT: массив прогнозов отклонений. Данный массив копирует данные из массива DEVSEASONAL для хранения истории, никаких вычислений не выполняется.

4) DEVSEASONAL: массив сезонных отклонений. Для каждой основной точки данных сезонное отклонение обновляется и соответствует индексу в данном сезоне.

5) FAILURES: массив булевых переменных. В случае отказа переменная принимает значение единицы.

Аберрация выявляется на основании нескольких измерений, при этом используется плавающее окно. Тот факт, что текущее значение показателя не входит в интервал допустимых значений, не всегда приводит к появлению аберрации. По умолчанию аберрация возникает, когда семь из последних девяти измерений выбиваются из прогнозированного коридора допустимых значений. Используя описанные выше переменные, пользователь может варьировать параметры и регулировать длину окна и допустимое количество выхода показателя из интервала допустимых значений.

В буфере консолидированных данных содержится количество значений, определяемое примерами окна. При каждом обновлении из буфера удаляется самое старое значение и записывается текущее. Максимальный размер окна определен 28 значениями.

На основе этих данных формируются зависимости показателей от времени и строятся прогнозы на будущие значения показателей. Графики хранятся в отдельных файлах, которые формируются

при каждом обращении пользователя к соответствующему модулю системы.

В случае обнаружения отклонения модулю оповещения передается управляющее воздействие, и администратор системы получает уведомление с краткой характеристикой сбоя системы. Также отклонение отражается на графике с сохранением истории (рис. 1). Заключение

Мониторинг является одной из важнейших составляющих в процессе управления локальными сетями. Огромное количество параметров, подлежащих исследованию, является причиной необходимости использования методов прогнозирования в процессе управления ЛВС. В данной статье описано применение инструментария, позволяющего осуществлять краткосрочное прогнозирование методом Хольта-Винтерса в системах мониторинга локальных сетей.

Недостатками данного метода являются длительный промежуток времени, необходимый для реакции системы на начальном этапе эксплуатации, а также необходимость большого объема дан-

□ "Failures"

□ "Yesterday:"

■ "Value :"

■ "Upper Bound"

"Total: 162009"

"Total: 15d4Q7"

□ "Foгесаэт"

"Max: 1908"

"Max: 1908"

■ "Deviation"

"Average: 593"

"Average: 573"

■ "Lower Bound"

Рис. 1. Пример прогнозирования аномального поведения трафика в сети

ных для построения прогнозов. Данные обстоятельства могут послужить причиной неверного определения сбоев системы. Для снижения вероятности ложных прогнозов в разрабатываемой автором системе мониторинга ЛВС планируется расширение функционала для детального анализа типов трафика и различных форм оповещений операторов системы.

К преимуществам данного подхода можно отнести отсутствие требований системы по четкому определению критериев для определения внештатных ситуаций и снижение времени, затрачиваемого обслуживающим персоналом на формирование и задание данных критериев [7].

Мониторинг методом прогнозирования можно использовать для различных величин, которые изменяются во времени с некой прогнозируемой цикличностью. Это обеспечивает возможность внедрения данного метода не только в системы мониторинга, но и в системы обеспечения безопасности корпоративных сетей.

Работа выполнена в рамках проекта 7.701.2011 (проект 1/12) при поддержке Министерства образования и науки Российской Федерации.

Литература

1. Исхаков С.Ю. Разработка структуры системы управления сетью / С.Ю. Исхаков, А. А. Шелупанов // Доклады ТУСУРа. - 2011. - № 2 (24), ч. 2. - С. 259-262.

2. Aberrant Behavior Detection in Time Series for Network Monitoring [Электронный ресурс]. -Режим доступа: http://www.usenix.org/events/lisa00/full_papers/brutlag/brutlag_html, свободный (дата обращения: 10.04.2012).

3. Bogaerdt A. van den. RRDtool tutorial [Электронный ресурс]. - Режим доступа: http://www.mrtg.org/rrdtool/tut/rrdtutorial.en.html, свободный (дата обращения: 11.04.2012).

4. Мониторинг прогнозированием с помощью RRDTool [Электронный ресурс]. - Режим доступа: http://habrahabr.ru/post/132599, свободный (дата обращения: 15.04.2012).

5. Архитектуры систем управления сетями. Протокол управления сетью SNMP [Электронный ресурс]. - Режим доступа: http://kunegin.narod.ru/ref3/snmp/file0.htm, свободный (дата обращения: 10.04.2012).

6. Исхаков С.Ю. Получение данных с устройств сети, их обработка и представление / С.Ю. Исхаков, Н.С. Козыренко, А.О. Шумская // Матер. Всерос. науч.-техн. конф. студентов, аспирантов и молодых ученых «Научная сессия ТУСУР-2011», Томск, 4-6 мая 2011 г. - Томск: В-Спектр, 2011. - Ч. 3. - С. 37-39.

7. Ходашинский И.А. Методы нечеткого извлечения знаний в задачах обнаружения вторжений / И. А. Ходашинский, И.В. Горбунов, РВ. Мещеряков // Вопросы защиты информации. - 2002. - № 1. -С. 45-50.

Исхаков Сергей Юнусович

Аспирант каф. КИБЭВС ТУСУРа

Тел.: 8 (382-2) 41-34-26

Эл. почта: iskhakovsy@oez.tomsk.ru

Шелупанов Александр Александрович

Д-р техн. наук, проф., проректор по научной работе ТУСУРа Тел. : 8 (382-2) 41-34-26 Эл. почта: saa@tusur.ru

Тимченко Сергей Викторович

Д-р техн. наук, проф., зав. каф. ПМИ ТУСУРа Тел. : 8 (382-2) 41-34-26 Эл. почта: tsv@tcde.ru

Iskhakov S.Y., Shelupanov A.A., Timchenko S.V.

Forecasting in the system of LAN monitoring

Article describes use of a method of short-term forecasting for a solution of the problem of identification of failures in local computer networks (LAN). The description of realization of a Holt-Winters method is provided in one of components of developed system of monitoring of a LAN and recommendations about a choice of the factors influencing accuracy of forecasting of failures of system are offered.

Keywords: LAN, monitoring, forecasting, trend, aberration.