Скачать 117.8 Kb.
|
УДК 004.732 Р.Н. Шульгин R.N. Shulgin Методика обнаружения нарушений в информационной среде газотранспортного предприятия на основе обработки данных сетевого трафика TECHNIQUE OF DETECTION OF VIOLATIONS IN THE INFORMATION ENVIRONMENT OF GAS TRANSMISSION COMPANY ON THE BASIS OF DATA PROCESSING OF THE NETWORK TRAFFIC В статье рассматривается методика выявления нарушений в информационной среде газотранспортного предприятия, базирующаяся на обработке данных сетевого трафика и анализе информации из полей сетевых пакетов. Ключевые слова: нарушения, сетевой трафик, процесс информационного обмена, газотранспортное предприятие. In article the technique of identification of violations in the information environment of the gas transmission company, based on data processing of a network traffic and information analysis from fields of network packages is considered Keywords: violations, network traffic, process of information exchange, gas transmission company. Введение Современное газотранспортное предприятие – объект со сложной инфраструктурой, как в части функционального назначения структурных подразделений, так и в части их географической распределенности. Эти факторы оказывают существенное влияние на экономическую эффективность производственной деятельности, повышение которой – приоритетная задача любого крупного предприятия. Газотранспортные предприятия отличает четкое разделение функций административного аппарата и функций структурных подразделений (филиалов). Административный аппарат осуществляет управление финансово-хозяйственной деятельностью предприятия и координацию работы его филиалов, распределенных на значительной территории. На филиалы возложены функции исполнения производственных планов и экономических показателей. Каждый филиал имеет, в свою очередь, и административную и цеховую структуру. Зачастую, количество уровней управления, разделяющих администрацию предприятия и производственные подразделения, различается для определенных географических зон. Речь идет о региональных управлениях, объединяющих подразделения одного функционального назначения в пределах региона. Причина возникновения множества уровней управления состоит все в той же географической распределенности, затрудняющей коммуникации, и, как следствие, оперативное управление подразделениями [1]. Основными видами деятельности газотранспортного предприятия являются: обеспечение надежной поставки (транспортировки) газа до конечных потребителей или до границ балансовой принадлежности с другим газотранспортным предприятием; предотвращение аварий и аварийных ситуаций на газопроводах; обеспечение технического и финансового учета поставляемого газа, уменьшение технических потерь газа и борьба с коммерческими потерями (с воровством газа путём несанкционированных врезок); защита газопроводов от коррозии и осуществление мониторинга коррозионного состояния газопроводов; осуществление диагностики, ремонта и реконструкции линейной части газопроводов, конструктивных элементов, обвязки, и оборудования компрессорных станций. В настоящее время в рамках Отраслевой системы оперативно-диспетчерского управления (ОСОДУ) Единой системы газоснабжения (ЕСГ) России заканчивается внедрение унифицированной интегрированной АСУ ("ГОФО-2") газотранспортным предприятиям с отработкой технических решений на основе современных информационных технологий и программно-технических средств. Интеграция осуществляется по следующим направлениям: по этапам технологических цепей управления, программно-технических средств и организационно-экономических подсистем. Она обеспечит комплексное использование на газотранспортном предприятии локальных автоматизированных и информационных систем, баз данных (БД), разнотипных средств автоматизации компрессорных станций (КС) и систем передачи данных, локальных вычислительных сетей (ЛВС), персональных электронно-вычислительных машин (ПЭВМ) для повышения эффективности системы управления в целом. ИАСУ - важный фактор ускорения оперативности, экономичности и надежности управления, прежде всего основным технологическим процессом дальнего транспорта газа в целях бесперебойного снабжения потребителей [2]. Диагностика состояний и защита сетевых ресурсов в компонентах вычислительной сети газотранспортного предприятия требует оперативного выявления состояний компонентов, приводящих к потере ее работоспособности, являющихся следствием отказов оборудования, сбоев программного обеспечения и приложений, случайного характера или результатом попыток получения несанкционированного доступа к сетевым ресурсам, проникновения вирусов. Обнаружение таких состояний позволяет своевременно устранить их причину, а также предотвратит возможные последствия. Проблемам информационного обмена в интегрированной информационной среде промышленных предприятий посвящен целый ряд работ [3-12]. Однако за рамками их рассмотрения остаются вопросы критериев оценки нарушений функционирования и своевременности их обнаружения. Постановка задачи Обнаружение нарушений функционирования вычислительной сети должно осуществляться лицом, принимающим решения (ЛПР) на основе анализа степени близости текущих значений характеристик состояния компонентов вычислительной сети по отношению к профилю эталонного поведения (ПЭП) в соответствующем пространстве метрик. Входными данными для построения ПЭП являются структурированные данные о сетевом трафике, накопленные на этапе обучения. Обучение связано с накоплением информации о функционировании компонентов ВС и ее преобразованием в ПЭП. От адекватности и корректности описания ПЭП компонентов ВС (КВС) зависит эффективность методики выявления нарушений функционирования вычислительной сети в целом. Одной из основных проблем построения ПЭП является получение данных для обучения, не содержащих следов нарушений. На этапе исследований шаблонные данные профиля можно получить при помощи эксперта, который тщательно проанализирует трафик и отсеет все нарушения. Точность при этом будет сильно зависеть от квалификации эксперта. Но реально применить такой подход сложно, т.к. в любой, даже небольшой сети, трафик будет огромен и проанализировать его визуально человеку не под силу. В настоящее время не найдено методов автоматической разделения данных и нарушений. Другой важной проблемой является потребность корректировки ПЭП. Корректировка необходима для учета объективных изменений в конфигурации программного или аппаратного наполнения КВС и окружающих его устройств. Так, настройка всего одного дополнительного сетевого сервиса у устройства может существенно изменить его ПЭП. Вторая проблема явно указывает на то, что ПЭП, в принципе, не может быть статическим (как пока еще предполагают многие исследователи). Он должен динамически меняться. Третьей особенностью, которую надо учитывать при построении ПЭП является наличие периодичности в сетевой активности отдельных КВС и сети в целом. Периодичность обусловлена естественной рабочей активностью людей. Методика сбора и обработки данных о нарушениях функционирования в вычислительных сетях При возникновении нарушений функционирования ВС характерно наличие признаков в разные моменты времени (от нескольких секунд до нескольких минут и даже часов), которые сами по себе не могут служить указанием на нарушение, но при объединении с аналогичными вызывают ее проявление. Поэтому, особенностью обнаружения нарушений функционирования ВС является необходимость совместного анализа данных, полученных на разных временных интервалах. Рассмотрим два определения. Окно анализа - интервал времени от текущего момента до некоторого момента в прошлом, на котором оцениваются значения характеристик компонентов ВС с целью определения степени отклонения от эталона его поведения. Длительность временного окна анализа принята равной 1 сутки. Это значение носит рекомендательный характер и обусловлено результатом практического опыта по обнаружению нарушений ВС в сетевом трафике. В программном комплексе, реализующем предлагаемую методику, данное значение является инициализационным параметром и может быть изменено администратором при необходимости. Шаг анализа - интервал времени, на который происходит смещение окна анализа. Примем, что длительность шага анализа равна длине шага структуризации трафика и составляет 5 минут. Методика выявления нарушений ВС может быть представлена в виде циклического процесса, реализуемого автоматизированной системой и действий администратора по работе с ней. Общие подход к построению методики иллюстрирует рисунок 1. Рис. 1. Общий подход к способам и приемам выявления нарушений. Методика включает в себя следующие шаги:
Основные шаги методики проиллюстрированы на рисунке 2. Работа администратора по работе с системой заключается в управлении описанным выше процессом. Наиболее важными задачами, которые должен решать администратор в процессе использования системы, являются:
Рис. 2. Временные параметры обучения интеллектуальной информационной системы. Анализ результатов применения методики Анализ результатов работы системы заключается в визуальной оценке предоставляемых данных о степени отклонения от эталона компонента. Эти данные могут быть представлены в виде таблиц и графиков. В таблицах и графиках отображаются результаты анализа в метриках СПР. Поскольку метрики СПР не могут однозначно указывать на причину увеличения степени отклонения от эталона, администратор должен самостоятельно проводить анализ каждой такой ситуации. Для этого он должен обращаться к истории сетевых взаимодействий компонентов, демонстрирующего признаки наличия нарушений функционирования на определенном временном диапазоне. Анализ истории взаимодействий должен однозначно указать на причину повышения степени отклонения от эталона. Если анализ истории подтвердит наличие нарушений администратор должен будет принять меры по ее устранению. Принимаемые меры в каждом конкретном случае могут быть разными, т.к. зависят от типа нарушений и существующей сетевой конфигурации. Рекомендации по устранению нарушений функционирования могут заключаться в: изменении правил настройки межсетевого экрана (например, запрет прохождения трафика на определенный TCP порт по которому размножается новый сетевой червь, для которого разработчики антивирусов еще не выпустили сигнатур); обновлении уязвимого ПО (например, в случае идентификации наличия сетевого трояна на сервере, установленного благодаря уязвимости установленного сетевого ПО); обновлении антивирусных баз (в том случае, если не настроено автоматическое обновление антивирусных баз или период их обновления слишком большой и появившийся вирус уже ведет интенсивное размножение, что фиксируется в виде нарушений); проверке компонентов ВС на наличие программ класса spyware и adware, и их удалении; изменении настроек сетевых сервисов (например, настройка запрета на почтовом сервере ошибочно разрешенной пересылки почты многим серверам и т.п.); временной остановке сетевой службы (например, если происходит распространение нового вируса и против него еще не существует сигнатур обнаружения или при взломе службы и интерактивном взаимодействии с ней злоумышленника). Контроль за модификацией ПЭП заключается в самостоятельном принятии решения о включении данных в ПЭП. Эта функция должна быть реализована в системе. Ее работа заключается в предоставлении администратору списка событий из временного диапазона, ограниченного профильным окном. Каждое событие выводится с параметром, указывающим на то, включается ли данное событие в ПЭП или нет. При этом у администратора есть возможность принудительно изменить данный параметр. Принятие им такого решения должно быть основано на анализе величины степени отклонения от эталона отдельного события или множества событий и истории сетевых взаимодействий, соответствующих этим событиям. Самостоятельно переопределив ПД администратор должен запустить процесс перестроения ПЭП. Заключение Предложенная методика выявления нарушений функционирования компонентов ВС упорядочивает и конкретизирует идеи, связанные с современным представлением о технологии обнаружения состояний нарушений анализируемых объектов по отклонению их поведения от ПЭП. Это позволит проанализировать возможные варианты объектов анализа с целью выявления нарушений функционирования компонентов ВС. Обоснован выбор отдельного компонента ВС, исходя из специфики решаемой задачи и особенностей сетевых протоколов. Определены наиболее информативные наборы характеристик сетевого устройства, определяющие его взаимодействия по протоколам IP, TCP, UDP и ICMP. Это вызывает необходимость разработки новой формальной модели компонента ВС, представляющей собой формальное его описание с помощью интегральных показателей, являющихся входными данными для процессов выявления нарушений функционирования ВС. Это позволит существенно расширить известные на сегодняшний день модели. Необходимо разработать способы и приемы структуризации сетевого трафика, позволяющие сохранять служебную информацию из заголовков сетевых пакетов без потери информативности с точки зрения возможности выявления нарушений функционирования ВС. Предложен метод создания и актуализации ПЭП, который позволит реализовать принцип адаптивности методики к объективно нормальным изменениям в сети. Это удалось достичь на основе модифицирования ПЭП в соответствии с результатами анализа. СПИСОК ЛИТЕРАТУРЫ
Шульгин Роман Николаевич Академия ФСО России Преподаватель Тел.: +7(953) 612-03-11 E-mail: romanspartak1977@mail.ru |
Реферат По предмету: «Технические средства контроля диагностики и... В связи с увеличением потребления трафика в локальных сетях встречаются ситуации, когда одни приложения монополизируют весь сетевой... | Отчет о научно-исследовательской работе «Разработка методов и средств... «Разработка методов и средств информационной поддержки образовательных процессов с применением перспективных технологий передачи... | ||
Секция №8, устный Выделены специфические технические характеристики частотных аэроэлектроразведочных систем с нежесткой базой. На практических данных... | Понятие информационной образовательной среды в условиях модернизации педагогического образования «письменных» домашних заданий, чтения текста на иностранном языке, отснятый им видеофильм, таблицу экспериментальных данных и т д.,... | ||
Система хранения данных о студенческих научных достижениях База данных о студенческих научных достижениях предназначена для хранения и обработки данных о научно-исследовательских работах студентов... | Методика по организации и проведению дистанционного обучения учащихся... Методика по организации и проведению дистанционного обучения учащихся 5-9 классов на основе сетевого образовательного ресурса нп... | ||
Доклад ронжина Андрея Леонидовича по диссертационной работе «Разработка... «Разработка адаптивного метода робастного понимания слитной речи на основе интегральной обработки данных», представленной на соискание... | Темы вашего учебного проекта ИБ; программно-технические способы и средства обеспечения информационной безопасности; экономические угрозы или риск принятия решений... | ||
«Информационные технологии управления» Знать: основные технологические приемы и способы создания моделей и сценариев обработки информации при формировании управляющих решений,... | Программа по формированию навыков безопасного поведения на дорогах... Методика по организации и проведению дистанционного обучения учащихся 1-4 классов на основе сетевого образовательного ресурса нп... | ||
Вопросы: любите ли вы, хотели бы вы, нравится ли вам? Методика проводится в стандартных условиях учебных заведений (возможна групповая и индивидуальная формы тестирования). Интерпретация... | Курсовойпроек т тема: "Создание информациннной системы предприятия " Анализ топологий и сетевых операционных систем для создания информационной системы предприятия | ||
Проекта Подход к построению ip-сети для передачи телефонного трафика на безе распределенной сети агу. Механизмы управления и решения проблем... | Лист бронирования (Шенген + Англия) Туроператору ООО «Балт Тур» в целях исполнения Договора для обработки различным способом, трансграничной передачи или передачи третьим... | ||
Реферат «Информационная безопасность. Её сущность и роль в экономике» Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности... | Базы данных ... |