Проблема обнаружения аномалий в сетях. Характеристика различных этапов проектирования архитектуры систем обнаружения и противодействия сетевым аномалиям. Исследование основ технологии для построения архитектуры систем обнаружения и устранения аномалий.
Аннотация к работе
УДК 004.652.4 05.00.00 Технические науки UDC 004.652.4 Technical sciences СИСТЕМЫ УСТРАНЕНИЯ СЕТЕВЫХ АНОМАЛИЙ И МЕТОДИКИ ПОСТРОЕНИЯ ИХ АРХИТЕКТУРЫ SYSTEMS OF REMOVING NETWORK ANOMALIES AND METHODS OF CREATION THEIR ARCHITECTURE В статье анализируются различные этапы проектирования архитектуры систем обнаружения и противодействия сетевым аномалиям. Предлагаются основы технологий для построения архитектуры систем обнаружения и устранения аномалий Different stages of designing architecture of detection systems and opposition to network anomalies are analyzed in this article. Ключевые слова: СЕТЕВЫЕ АНОМАЛИИ, БАЗА ДАННЫХ, СОСТОЯНИЕ СЕТИ, УСТРАНЕНИЕ АНОМАЛИЙ Keywords: NETWORK ANOMALIES, DATA BASES, STATE OF NETWORK, REMOVING ANOMALIESОднако, до сих пор при разработке стандартов, практик и рекомендаций по управлению и обеспечению эффективности функционирования сетей недостаточное внимание уделяется принципам, алгоритмам и единым методологическим основам построения архитектуры системы обнаружения и противодействия СА (особо отметим стандарты сетевой безопасности CISCO и линейку архитектур, начиная с CISCO NGN, где эти вопросы вообще начали рассматриваться с практической точки зрения). Эти методики и модели должны охватывать все этапы проектирования, развертывания и поддержания функционирования сетей с учетом их архитектуры, режимов работы и используемых видов обеспечения. Разрабатываемый в данной работе подход основывается на методологии ситуационного моделирования и управления, что позволяет повысить уровень формализации процедур принятия решений за счет классификации возникающих ситуаций и выбора способов их обработки на основе экспертных знаний и применения формальных методов. Применение алгоритмических и математических моделей в системе ситуационного управления повышает точность распознавания текущих ситуаций в сети, оценки времени на их обработку в соответствии с нормативными данными по выполнению операций, формирование решений по выполнению нового технологического цикла работ на основе базы знаний. Для формального описания системы управления сетью используем кортеж, описывающий подсистему, характеризующую сеть как объект управления (рисунок 1): S ={It, Im, Ic, Ix}; Z; K; W; R; U >, (1) где It - массив используемой технологической (протоколы, технологии) информации о сети, Im - управленческая информация, набор сетевых политик, Ic - коммуникационная (топология, инфраструктура) информации, Ix - информация о внешних и управляющих воздействиях, Z - формальное описание целей управления, K-набор характеристик информационных ресурсов сети, W - возмущающие воздействия (внешние), R-множество отношений между элементами сети (схемы и реализации политик), U - управляющие воздействия.В заключении отметим, что практическое применение описанных технологий, построенных на алгоритмах ситуационного анализа и моделирования, "эвристического" обнаружения аномалий и использовании баз данных и знаний (классификационные признаки, ретроспективный анализ, БД/БЗ ситуаций и моделей и т.д.) совместно с экспертными знаниями позволяет существенно повысить качество процессов выявления и управления уязвимостями в распределенных сетях и, следовательно, предлагаемые технологии могут являться основой построения архитектуры системы обнаружения и устранения аномалий.