Системы устранения сетевых аномалий и методики построения их архитектуры

Задача обнаружения аномалий в современных распределенных, гетерогенных сетях требует для своего решения целого комплекса мер, организационных, технических и программных, а также разработки соответствующего алгоритмического обеспечения. В настоящее время на рынке представлен ряд решений и продуктов, позволяющих реализовать необходимый функционал алгоритмического, математического и программного обеспечения [3, 4, 6].

Разнообразие сетевых аномалий (СА), их природа и характеристические признаки подробно изучены и классифицированы как отечественными, так и зарубежными исследователями. Однако, до сих пор при разработке стандартов, практик и рекомендаций по управлению и обеспечению эффективности функционирования сетей недостаточное внимание уделяется принципам, алгоритмам и единым методологическим основам построения архитектуры системы обнаружения и противодействия СА (особо отметим стандарты сетевой безопасности CISCO и линейку архитектур, начиная с CISCO NGN, где эти вопросы вообще начали рассматриваться с практической точки зрения).

Укажем, что в качестве составных элементов разрабатываемая архитектура должна включать:

• — способы обработки исходных данных (наблюдений) — т. е. принципы организации и функционирования подсистем сетевого мониторинга — для разработки адекватных математических моделей и эффективной алгоритмизации;
• — методику выбора информативных показателей, характеризующих состояние сети;
• — методику оценки состояния сети и аналитической обработки результатов ее мониторинга;
• — модели оценки состояния, обнаружения и классификации выявляемых аномалий;
• — методику адаптивного управления и принятия решений по устранению выявленных аномалий;
• — модели и методы оценки эффективности предложенных решений.

Эти методики и модели должны охватывать все этапы проектирования, развертывания и поддержания функционирования сетей с учетом их архитектуры, режимов работы и используемых видов обеспечения.

Разрабатываемый в данной работе подход основывается на методологии ситуационного моделирования и управления, что позволяет повысить уровень формализации процедур принятия решений за счет классификации возникающих ситуаций и выбора способов их обработки на основе экспертных знаний и применения формальных методов. Применение алгоритмических и математических моделей в системе ситуационного управления повышает точность распознавания текущих ситуаций в сети, оценки времени на их обработку в соответствии с нормативными данными по выполнению операций, формирование решений по выполнению нового технологического цикла работ на основе базы знаний.

Использование в автоматизированной системе как формальных, так и эвристических, адаптивных методов и алгоритмов обнаружения создает предпосылки для повышения точности принимаемых решений в текущих ситуациях, что способствует снижению непроизводственных затрат на выполнение последующих циклов работ [2].

Для формального описания системы управления сетью используем кортеж, описывающий подсистему, характеризующую сеть как объект управления (рисунок 1):

S ={It, Im, Ic, Ix}; Z; K; W; R; U >, (1).

где It — массив используемой технологической (протоколы, технологии) информации о сети,.

Im — управленческая информация, набор сетевых политик,.

Ic — коммуникационная (топология, инфраструктура) информации,.

Ix — информация о внешних и управляющих воздействиях,.

Z — формальное описание целей управления,.

Kнабор характеристик информационных ресурсов сети,.

W — возмущающие воздействия (внешние),.

Rмножество отношений между элементами сети (схемы и реализации политик),.

U — управляющие воздействия.

Разнообразие архитектуры и режимов функционирования современных сетей (гетерогенность, распределенность и т. д.) обуславливают необходимость использования в системе обнаружения и устранения аномалий ряда математических моделей [3,5,6], позволяющих учесть имеющиеся неопределенности и неточности знаний относительно предполагаемых аномалий.

Рисунок 1 — Общая схема системы обнаружения и выявления аномалий в сети Высокую неоднородность информационных ресурсов сети также необходимо учитывать при выборе используемых в системе управления математических моделей, которые должны иметь универсальный характер, не зависящий от конкретных особенностей того или иного вида данных ресурсов.

Разработки математического и алгоритмического обеспечений такой системы обнаружения требует обращение внимания на следующие архитектурные особенности программно-аппаратной реализации решения в условиях разнородной и территориально распределенной сети:

• — множество источников и большой объем данных по мониторингу;
• — используются программируемые математические модели для оценки текущей ситуации, прогнозирования ее развития с учетом сделанных предположений, анализа «что, если…» (такой функционал, например, представляет платформа CISCO MARS и архитектуры TRUST SEC);
• — информация по мониторингу часто представляется в агрегированном виде, но необходимо иметь возможность детализации до требуемого уровня — т. е. знать о том, из каких источников и на основе каких преобразований она получена;
• — большой объем подготовительной работы с анализом всех доступных данных и моделированием ситуаций.

Система ситуационного управления обнаружения аномалий сети строится на основе набора математических моделей. Все множество ситуаций разбивается на иерархически вложенное множество классов ситуаций. Структура классификатора ситуаций соответствует уровням полномочий по принятию решений в структуре сети. Таким образом, например, для определенных ситуаций состояния сети возможна их обобщенно-признаковая классификация: «нормальные», «критические», «аварийные» [3,4].

В ситуациях класса «нормальные» управляющее воздействие определяется в соответствии с принятой схемой управления, являющейся неотъемлемой частью проектных данных сети. За реализацию управляющего воздействия в таком режиме отвечает контур программного управления.

В ситуациях класса «критические» и «аварийные» управляющее воздействие интерактивно определяется системным администратором сети или администратором безопасности. Для этого нештатная ситуация должна быть отнесена к определенному классу ситуаций, проанализированы рекомендации, при необходимости проведен сбор дополнительной информации и на основе полученных данных принята схема управляющего воздействия.

При отборе управляющего воздействия целесообразно использование формируемой и подключаемой базы знаний прецедентов, для оценки допустимости воздействия используется его экстраполяция на последующие фазы в соответствии с математической моделью объекта и проверкой соответствия системе ограничений. Эта процедура позволяет снизить количество неэффективных решений, выявляемых на заключительных этапах.

Разрабатываемая автоматизированная система обнаружения аномалий представляет собой интерактивный человеко-машинный программный комплекс, исходными моделями которого являются имитационные, структурно-функциональные, математические и иные модели сети. Свойства формальной ситуационной модели определяются функциональными свойствами механизмов преобразования в формальные математические модели (рисунок 2).

Рисунок 2 — Функциональная модель обнаружения аномалий на множестве классификационных признаков Внедрение на практике предлагаемых подходов к обнаружению и противодействию сетевым аномалиям подразумевает включение в состав системы баз данных и знаний, содержащих как характеристические описания прецедентов (аналог сигнатур), так и БД моделей и мониторинга состояния сети. Таким образом, контур адаптивного ситуационного управления на основе результатов мониторинга состояния сети в режиме реального времени определяет (формирует) и реализует механизмы и решения эффективного противодействия.

Отметим ещё раз, что в комплексе значительная роль отведена взаимодействию с экспертами (лицами, принимающими решения) о тех или иных мероприятиях и управляющих воздействиях в тех случаях, когда это невозможно или нецелесообразно автоматизировать.

Представляется необходимым использование методики формализации на основе вероятностного подхода, повышающая надежность и достоверность результатов математического моделирования. Учитывая модель (1) формального описания системы управления сетью, запишем интегральный показатель оценки эффективности обнаружения аномалии следующим образом:

J = F1(x, y, w, u), (2).

где — совокупность входных параметров,.

— совокупность выходных параметров,.

— совокупность неконтролируемых внешних воздействий,.

— совокупность управляющих воздействий, .

Задача выбора закона управления для противодействия обнаруженной и классифицированной аномалии заключается в определении, приводящего при существующих значениях к оптимальному значению J. При этом состояние сети (т.е. характеристика предполагаемой аномалии) характеризуется совокупностью контролируемых параметров х, где X — область возможных значений вектора x.

На этапе практической реализации (алгоритмизации) в сети математической модели закона управления модель интегрируется в сетевую политику (например, противодействия аномалиям) путем введения — конечной совокупность меток, индексирующих множество возможных методов противодействия.

В разработанном подходе обнаружения аномалий режимов работы сети, характеристики решаемых задач и выходные параметры, результаты могут быть описаны нечеткими переменными на множествах Необходимо выбрать управление, которое переводит процесс из заданного состояния в состояние, соответствующее требуемому выходному показателю .

При выборе стратегии противодействия аномалиям мы остановились на принципе ситуационного управления, который сводится к формированию однородных классов состояний (т.е. классов аномалий), требующих одного и того же метода противодействия. Таким образом, предлагаемая методика обнаружения и противодействия аномалиям в ходе своей практической реализации в рамках распределенной сети строится на двух группах алгоритмов:

• — сбора, обработки и анализа информации о состоянии сети, т. е. характеристик той или иной аномалии в моменты времени. Результаты мониторинга и анализа (выявленные аномалии) группируются оптимальным образом в классы исходных ситуаций. Формируется приближенное представление классификационной модели;
• — алгоритмы управления: ситуация, наблюдаемая в момент времени или относится к классу наиболее близких к ней ситуаций (для которых установлена стратегия управления с помощью отображения), или «дает начало» образованию нового класса ситуаций, стратегия управления для которых не совпадает ни с одной из стратегий, идентифицированных на предыдущем этапе.

Сравнительный анализ результатов практического использования при выявлении аномалий в разнородной сети, полученных на основе методик с применением аналитических и статистических моделей, показал эффективность предлагаемой методики даже в условиях недостаточной и нечеткой информации относительно классификационных признаков предполагаемых аномалий при работе в распределенных гетерогенных сетях.

В заключении отметим, что практическое применение описанных технологий, построенных на алгоритмах ситуационного анализа и моделирования, «эвристического» обнаружения аномалий и использовании баз данных и знаний (классификационные признаки, ретроспективный анализ, БД/БЗ ситуаций и моделей и т. д.) совместно с экспертными знаниями позволяет существенно повысить качество процессов выявления и управления уязвимостями в распределённых сетях и, следовательно, предлагаемые технологии могут являться основой построения архитектуры системы обнаружения и устранения аномалий.

• 1. Симанков В. С. Автоматизация системных исследований: Монография (научное издание). Кубанский государственный технологический университет. — Краснодар, 2002. — 376 с.
• 2. Симанков В. С., Шпехт И. А. Автоматизация системных исследований на основе неформальных процедур: Монография.-М.: БиномПресс, 2012. 358 с
• 3. A. Clemm: Network Management Fundamentals. CiscoPress, 2011
• 4. Д. Раттнер. «Анализ рисков в управлении сетевой безопасностью.». Northeastern University, 2010.
• 5. А. Ю. Гребешков. Стандарты и технологии управления сетями связи, Эко-Трендз, 2009
• 6. Я. С. Дымарский, Н. П. Крутякова, Г. Г. Яновский. Управление сетями связи: принципы, протоколы, прикладные задачи, Москва, 2010