R. N. Shulgin Методика обнаружения нарушений в информационной среде газотранспортного предприятия на основе обработки данных сетевого трафика

УДК 004.732 Р.Н. Шульгин R.N. Shulgin Методика обнаружения нарушений в информационной среде газотранспортного предприятия на основе обработки данных сетевого трафика TECHNIQUE OF DETECTION OF VIOLATIONS IN THE INFORMATION ENVIRONMENT OF GAS TRANSMISSION COMPANY ON THE BASIS OF DATA PROCESSING OF THE NETWORK TRAFFIC В статье рассматривается методика выявления нарушений в информационной среде газотранспортного предприятия, базирующаяся на обработке данных сетевого трафика и анализе информации из полей сетевых пакетов. Ключевые слова: нарушения, сетевой трафик, процесс информационного обмена, газотранспортное предприятие. In article the technique of identification of violations in the information environment of the gas transmission company, based on data processing of a network traffic and information analysis from fields of network packages is considered Keywords: violations, network traffic, process of information exchange, gas transmission company. Введение Современное газотранспортное предприятие – объект со сложной инфраструктурой, как в части функционального назначения структурных подразделений, так и в части их географической распределенности. Эти факторы оказывают существенное влияние на экономическую эффективность производственной деятельности, повышение которой – приоритетная задача любого крупного предприятия. Газотранспортные предприятия отличает четкое разделение функций административного аппарата и функций структурных подразделений (филиалов). Административный аппарат осуществляет управление финансово-хозяйственной деятельностью предприятия и координацию работы его филиалов, распределенных на значительной территории. На филиалы возложены функции исполнения производственных планов и экономических показателей. Каждый филиал имеет, в свою очередь, и административную и цеховую структуру. Зачастую, количество уровней управления, разделяющих администрацию предприятия и производственные подразделения, различается для определенных географических зон. Речь идет о региональных управлениях, объединяющих подразделения одного функционального назначения в пределах региона. Причина возникновения множества уровней управления состоит все в той же географической распределенности, затрудняющей коммуникации, и, как следствие, оперативное управление подразделениями [1]. Основными видами деятельности газотранспортного предприятия являются: обеспечение надежной поставки (транспортировки) газа до конечных потребителей или до границ балансовой принадлежности с другим газотранспортным предприятием; предотвращение аварий и аварийных ситуаций на газопроводах; обеспечение технического и финансового учета поставляемого газа, уменьшение технических потерь газа и борьба с коммерческими потерями (с воровством газа путём несанкционированных врезок); защита газопроводов от коррозии и осуществление мониторинга коррозионного состояния газопроводов; осуществление диагностики, ремонта  и реконструкции линейной части газопроводов, конструктивных элементов, обвязки, и оборудования компрессорных станций. В настоящее время в рамках Отраслевой системы оперативно-диспетчерского управления (ОСОДУ) Единой системы газоснабжения (ЕСГ) России заканчивается внедрение унифицированной интегрированной АСУ ("ГОФО-2") газотранспортным предприятиям с отработкой технических решений на основе современных информационных технологий и программно-технических средств. Интеграция осуществляется по следующим направлениям: по этапам технологических цепей управления, программно-технических средств и организационно-экономических подсистем. Она обеспечит комплексное использование на газотранспортном предприятии локальных автоматизированных и информационных систем, баз данных (БД), разнотипных средств автоматизации компрессорных станций (КС) и систем передачи данных, локальных вычислительных сетей (ЛВС), персональных электронно-вычислительных машин (ПЭВМ) для повышения эффективности системы управления в целом. ИАСУ - важный фактор ускорения оперативности, экономичности и надежности управления, прежде всего основным технологическим процессом дальнего транспорта газа в целях бесперебойного снабжения потребителей [2]. Диагностика состояний и защита сетевых ресурсов в компонентах вычислительной сети газотранспортного предприятия требует оперативного выявления состояний компонентов, приводящих к потере ее работоспособности, являющихся следствием отказов оборудования, сбоев программного обеспечения и приложений, случайного характера или результатом попыток получения несанкционированного доступа к сетевым ресурсам, проникновения вирусов. Обнаружение таких состояний позволяет своевременно устранить их причину, а также предотвратит возможные последствия. Проблемам информационного обмена в интегрированной информационной среде промышленных предприятий посвящен целый ряд работ [3-12]. Однако за рамками их рассмотрения остаются вопросы критериев оценки нарушений функционирования и своевременности их обнаружения. Постановка задачи Обнаружение нарушений функционирования вычислительной сети должно осуществляться лицом, принимающим решения (ЛПР) на основе анализа степени близости текущих значений характеристик состояния компонентов вычислительной сети по отношению к профилю эталонного поведения (ПЭП) в соответствующем пространстве метрик. Входными данными для построения ПЭП являются структурированные данные о сетевом трафике, накопленные на этапе обучения. Обучение связано с накоплением информации о функционировании компонентов ВС и ее преобразованием в ПЭП. От адекватности и корректности описания ПЭП компонентов ВС (КВС) зависит эффективность методики выявления нарушений функционирования вычислительной сети в целом. Одной из основных проблем построения ПЭП является получение данных для обучения, не содержащих следов нарушений. На этапе исследований шаблонные данные профиля можно получить при помощи эксперта, который тщательно проанализирует трафик и отсеет все нарушения. Точность при этом будет сильно зависеть от квалификации эксперта. Но реально применить такой подход сложно, т.к. в любой, даже небольшой сети, трафик будет огромен и проанализировать его визуально человеку не под силу. В настоящее время не найдено методов автоматической разделения данных и нарушений. Другой важной проблемой является потребность корректировки ПЭП. Корректировка необходима для учета объективных изменений в конфигурации программного или аппаратного наполнения КВС и окружающих его устройств. Так, настройка всего одного дополнительного сетевого сервиса у устройства может существенно изменить его ПЭП. Вторая проблема явно указывает на то, что ПЭП, в принципе, не может быть статическим (как пока еще предполагают многие исследователи). Он должен динамически меняться. Третьей особенностью, которую надо учитывать при построении ПЭП является наличие периодичности в сетевой активности отдельных КВС и сети в целом. Периодичность обусловлена естественной рабочей активностью людей. Методика сбора и обработки данных о нарушениях функционирования в вычислительных сетях При возникновении нарушений функционирования ВС характерно наличие признаков в разные моменты времени (от нескольких секунд до нескольких минут и даже часов), которые сами по себе не могут служить указанием на нарушение, но при объединении с аналогичными вызывают ее проявление. Поэтому, особенностью обнаружения нарушений функционирования ВС является необходимость совместного анализа данных, полученных на разных временных интервалах. Рассмотрим два определения. Окно анализа - интервал времени от текущего момента до некоторого момента в прошлом, на котором оцениваются значения характеристик компонентов ВС с целью определения степени отклонения от эталона его поведения. Длительность временного окна анализа принята равной 1 сутки. Это значение носит рекомендательный характер и обусловлено результатом практического опыта по обнаружению нарушений ВС в сетевом трафике. В программном комплексе, реализующем предлагаемую методику, данное значение является инициализационным параметром и может быть изменено администратором при необходимости. Шаг анализа - интервал времени, на который происходит смещение окна анализа. Примем, что длительность шага анализа равна длине шага структуризации трафика и составляет 5 минут. Методика выявления нарушений ВС может быть представлена в виде циклического процесса, реализуемого автоматизированной системой и действий администратора по работе с ней. Общие подход к построению методики иллюстрирует рисунок 1. Рис. 1. Общий подход к способам и приемам выявления нарушений. Методика включает в себя следующие шаги: В инфраструктуру компьютерной сети внедряется система, реализующая данную методику, которая в течение месяца работает в режиме накопления структурированных данных о сетевом трафике; Через определенный временной интервал запускается процесс обучения. В ходе его работы для интересующих компонентов ВС строятся ПЭП; После того как ПЭП построены, запускается множество параллельных процессов анализа для конкретных компонентов; В течение шага процесса анализа происходит захват трафика, его структуризация, сохранение в базе данных и извлечение характеристик интересующего компонента; Полученный на текущем шаге вектор характеристик стыкуется с векторами, полученными на предыдущих шагах и входящими во временное окно анализа; На данных, входящих в окно анализа, запускается процесс выявления нарушения. Информация о выявленной степени отклонения от эталона в текущих данных заносится в базу данных; В зависимости от результатов анализа происходит корректировка ПД (на данные, имеющие допустимый уровень отклонения от эталона ставится метка о включении в ПД, а с данных, имеющих недопустимый уровень отклонения от эталона, аналогичная метка снимается); Окно процесса анализа сдвигается на шаг анализа. При этом из рассмотрения удаляются данные самого старого шага анализа и добавляются данные за последний шаг; В случае перехода начала окна анализа через середину следующего часа, происходит актуализация текущих эталонных параметров (из ПЭП компонентов выбираются профильные значения следующего часа). Далее процесс повторяется (переход на пункт 4); По запросу администратора предоставляется информация о тенденциях изменения степени отклонения от эталона компонентов ВС. Основные шаги методики проиллюстрированы на рисунке 2. Работа администратора по работе с системой заключается в управлении описанным выше процессом. Наиболее важными задачами, которые должен решать администратор в процессе использования системы, являются: Анализ результатов работы системы по выявлению степени отклонения от эталона компонента ВС; Контроль за модификацией ПЭП. Рис. 2. Временные параметры обучения интеллектуальной информационной системы. Анализ результатов применения методики Анализ результатов работы системы заключается в визуальной оценке предоставляемых данных о степени отклонения от эталона компонента. Эти данные могут быть представлены в виде таблиц и графиков. В таблицах и графиках отображаются результаты анализа в метриках СПР. Поскольку метрики СПР не могут однозначно указывать на причину увеличения степени отклонения от эталона, администратор должен самостоятельно проводить анализ каждой такой ситуации. Для этого он должен обращаться к истории сетевых взаимодействий компонентов, демонстрирующего признаки наличия нарушений функционирования на определенном временном диапазоне. Анализ истории взаимодействий должен однозначно указать на причину повышения степени отклонения от эталона. Если анализ истории подтвердит наличие нарушений администратор должен будет принять меры по ее устранению. Принимаемые меры в каждом конкретном случае могут быть разными, т.к. зависят от типа нарушений и существующей сетевой конфигурации. Рекомендации по устранению нарушений функционирования могут заключаться в: изменении правил настройки межсетевого экрана (например, запрет прохождения трафика на определенный TCP порт по которому размножается новый сетевой червь, для которого разработчики антивирусов еще не выпустили сигнатур); обновлении уязвимого ПО (например, в случае идентификации наличия сетевого трояна на сервере, установленного благодаря уязвимости установленного сетевого ПО); обновлении антивирусных баз (в том случае, если не настроено автоматическое обновление антивирусных баз или период их обновления слишком большой и появившийся вирус уже ведет интенсивное размножение, что фиксируется в виде нарушений); проверке компонентов ВС на наличие программ класса spyware и adware, и их удалении; изменении настроек сетевых сервисов (например, настройка запрета на почтовом сервере ошибочно разрешенной пересылки почты многим серверам и т.п.); временной остановке сетевой службы (например, если происходит распространение нового вируса и против него еще не существует сигнатур обнаружения или при взломе службы и интерактивном взаимодействии с ней злоумышленника). Контроль за модификацией ПЭП заключается в самостоятельном принятии решения о включении данных в ПЭП. Эта функция должна быть реализована в системе. Ее работа заключается в предоставлении администратору списка событий из временного диапазона, ограниченного профильным окном. Каждое событие выводится с параметром, указывающим на то, включается ли данное событие в ПЭП или нет. При этом у администратора есть возможность принудительно изменить данный параметр. Принятие им такого решения должно быть основано на анализе величины степени отклонения от эталона отдельного события или множества событий и истории сетевых взаимодействий, соответствующих этим событиям. Самостоятельно переопределив ПД администратор должен запустить процесс перестроения ПЭП. Заключение Предложенная методика выявления нарушений функционирования компонентов ВС упорядочивает и конкретизирует идеи, связанные с современным представлением о технологии обнаружения состояний нарушений анализируемых объектов по отклонению их поведения от ПЭП. Это позволит проанализировать возможные варианты объектов анализа с целью выявления нарушений функционирования компонентов ВС. Обоснован выбор отдельного компонента ВС, исходя из специфики решаемой задачи и особенностей сетевых протоколов. Определены наиболее информативные наборы характеристик сетевого устройства, определяющие его взаимодействия по протоколам IP, TCP, UDP и ICMP. Это вызывает необходимость разработки новой формальной модели компонента ВС, представляющей собой формальное его описание с помощью интегральных показателей, являющихся входными данными для процессов выявления нарушений функционирования ВС. Это позволит существенно расширить известные на сегодняшний день модели. Необходимо разработать способы и приемы структуризации сетевого трафика, позволяющие сохранять служебную информацию из заголовков сетевых пакетов без потери информативности с точки зрения возможности выявления нарушений функционирования ВС. Предложен метод создания и актуализации ПЭП, который позволит реализовать принцип адаптивности методики к объективно нормальным изменениям в сети. Это удалось достичь на основе модифицирования ПЭП в соответствии с результатами анализа. СПИСОК ЛИТЕРАТУРЫ Якименко А. А. Особенности совершенствования системы управления газотранспортным предприятием [Электронный ресурс] – http://do.gendocs.ru/docs/index-380553.html Автоматизация диспетчерского управления газотранспортным предприятием [Электронный ресурс] – http://www. http://informtransgas.ru/acstp-gofo-2.html Еременко, В.Т. Синтез сетей передачи данных автоматизированных систем управления на основе критерия неблокируемой маршрутизации / С. И. Афонин, В. Т. Еременко, А. И. Офицеров, О. О. Басов // НАУЧНЫЕ ВЕДОМОСТИ Белгородского государственного университета. Серия «История. Политология. Экономика. Информатика». – 2011. – № 7 (102). Выпуск 18/1. – С. 168 – 176. Еременко, В.Т. Оптимизация ресурсов и управление процессами информационного обмена в сетях Асутп на основе полевых шин / С. И. Афонин, В. Т. Еременко, С. А. Максаков, А. И. Куленич // Вестник компьютерных и информационных технологий. – 2011. – № 9. – С. 46 – 49. Моделирование информационных потоков в сетях передачи данных интегрированных АСУ / С.И. Афонин, В. Т. Еременко, Т. М. Парамохина, Л.В. Кузьмина, Д. А. Плащенков // Информационные системы и технологии. – 2011, № 6 – С. 35 – 42. Еременко, В.Т. Моделирование взаимодействия протокольных реализаций TCP RENO и TCP VEGAS в сети с ограниченной производительностью./ В.Т. Еременко, // Информационные системы и технологии. – 2010, №1– С. 109-114. Еременко, В.Т. Методы решения задач распределения информационных потоков в сетях передачи данных предприятия на основе резервирования ресурсов. / С.И. Афонин, В. Т. Еременко, Л.В. Кузьмина, и др. // Информационные системы и технологии. – 2012, № 1 – С.78 – 84. Еременко, В.Т. Создание теоретических основ автоматизации и построения технологической составляющей АСУ территориально распределенных предприятий С.И. Афонин, В. Т. Еременко. // Информационные системы и технологии. – 2012, № 2 – С.99 – 105. Еременко, В.Т. Рекурсивный алгоритм оценки минимальной величины канального ресурса в сети передачи данных. / В. Т. Еременко, Л.В. Кузьмина, Д. А. Плащенков, Д. А. Краснов // Информационные системы и технологии. – 2012, № 4 – С. 97 – 102. Еременко, В.Т. Метод проектирования сетей передачи данных совместимых с неблокируемой маршрутизацией. / В. Т. Еременко, А.И. Офицеров, С. А. Черепков // Вестник компьютерных и информационных технологий. – 2012, № 4. – С. 38 – 46. Еременко, В.Т. Решение задач управления сетевыми ресурсами в условиях динамического изменения конфигурации беспроводной сети АСУП. / В.Т. Еременко, Д.В. Анисимов, Д.А. Плащенков, Д.А. Краснов, С.А. Черепков, А.Е. Георгиевский // Информационные системы и технологии. –2012. – № 6. – С. 114-119. Еременко, В.Т. Анализ моделей управления трафиком в сетях АСУП на основе технологии MPLS. / В.Т. Еременко, С.В. Еременко, Д.В. Анисимов, С.А. Черепков, А.А. Лякишев // Информационные системы и технологии. –2013. – № 1. – С. 106-112. Шульгин Роман Николаевич Академия ФСО России Преподаватель Тел.: +7(953) 612-03-11 E-mail: romanspartak1977@mail.ru

Похожие:

	Реферат По предмету: «Технические средства контроля диагностики и... В связи с увеличением потребления трафика в локальных сетях встречаются ситуации, когда одни приложения монополизируют весь сетевой...		Отчет о научно-исследовательской работе «Разработка методов и средств... «Разработка методов и средств информационной поддержки образовательных процессов с применением перспективных технологий передачи...
	Секция №8, устный Выделены специфические технические характеристики частотных аэроэлектроразведочных систем с нежесткой базой. На практических данных...		Понятие информационной образовательной среды в условиях модернизации педагогического образования «письменных» домашних заданий, чтения текста на иностранном языке, отснятый им видеофильм, таблицу экспериментальных данных и т д.,...
	Система хранения данных о студенческих научных достижениях База данных о студенческих научных достижениях предназначена для хранения и обработки данных о научно-исследовательских работах студентов...		Методика по организации и проведению дистанционного обучения учащихся... Методика по организации и проведению дистанционного обучения учащихся 5-9 классов на основе сетевого образовательного ресурса нп...
	Доклад ронжина Андрея Леонидовича по диссертационной работе «Разработка... «Разработка адаптивного метода робастного понимания слитной речи на основе интегральной обработки данных», представленной на соискание...		Темы вашего учебного проекта ИБ; программно-технические способы и средства обеспечения информационной безопасности; экономические угрозы или риск принятия решений...
	«Информационные технологии управления» Знать: основные технологические приемы и способы создания моделей и сценариев обработки информации при формировании управляющих решений,...		Программа по формированию навыков безопасного поведения на дорогах... Методика по организации и проведению дистанционного обучения учащихся 1-4 классов на основе сетевого образовательного ресурса нп...
	Вопросы: любите ли вы, хотели бы вы, нравится ли вам? Методика проводится в стандартных условиях учебных заведений (возможна групповая и индивидуальная формы тестирования). Интерпретация...		Курсовойпроек т тема: "Создание информациннной системы предприятия " Анализ топологий и сетевых операционных систем для создания информационной системы предприятия
	Проекта Подход к построению ip-сети для передачи телефонного трафика на безе распределенной сети агу. Механизмы управления и решения проблем...		Лист бронирования (Шенген + Англия) Туроператору ООО «Балт Тур» в целях исполнения Договора для обработки различным способом, трансграничной передачи или передачи третьим...
	Реферат «Информационная безопасность. Её сущность и роль в экономике» Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности...		Базы данных ...