|
Tarmoq trafigi anomaliyalarini aniqlash algoritmining ishlash prinsipi. Tarmoq anomaliyalarini aniqlash quyidagicha amalga oshiriladi.
Tarmoq anomaliyalarini aniqlash uchun dasturiy- apparat majmua (DAM) qurishni o'z ichiga oladi. Buning quyidagi qadamlar amalga oshiriladi:
-Qurilmani (DAM) korporativ tarmoqqa o'rnatish;
- algoritm yordamida abonentlarni tashish va qayta ishlashni to'xtatish;
- aniqlangan anomaliyaga reaktsiya (o'rnatish sxemasiga qarab).
2.12 – rasm. Anomaliyalarni aniqlash sxemasi.
Algoritmning qisqacha prinsipi. Anomaliyalarni aniqlash uchun, tarmoqdagi har bir abonent uchun mos yozuvlar qiymatlari jadvalidan foydalanish tavsiya etiladi. Algoritm ikki bosqichdan iborat: O'rganish bosqichi va Aniqlash bosqichi. Bundan tashqari, algoritm uchta asosiy komponent – kollektor, analizator va regulyator mavjudligini ta'minlaydi. Mos yozuvlar qiymatlari hisoblangan ob'ektlar ro'yxati muhokama qilinadigan mavzudir, ammo asosiy ob'ektlar trafik va tarmoq darajasidagi sarlavhalar qiymatlari ekanligi aniq. Oddiy sharhlashda, ta'lim bosqichida olingan ma'lumotlar aniqlash bosqichida olingan ma'lumotlar bilan yakunlanadi. Agar ta'lim bosqichi tugagan bo'lsa(abonentning tizim ko'rinishida paydo bo'lganidan boshlab 1 daqiqaga teng bo'lgan ta'lim bosqichini belgilansa), u holda aniqlash bosqichi yo'q va vaqtinchalik kuzatuv oynasi uchun qiymatlarni hisoblash va mos yozuvlar qiymatlari bilan taqqoslashning davriy takrorlanishini anglatadi. Raqamli qiymat sifatida Herst (H) parametridan foydalanish talab qilinadi. Bir qator nazorat o'lchovlarini amalga oshirib, abonent jadvalini to'ldirgandan so'ng, keyingi kuzatishlarda standart yoki anomallik haqida xulosalar chiqarish mumkin.
Herst parametri deb nomlangan parametr H o'ziga xos o'xshashlik yoki stokastik jarayonning uzoq muddatli bog'liqligining o'lchovidir. H = 0,5 qiymatida uzoq muddatli qaramlik yo'q. H ning 1 ga qanchalik yaqin bo'lsa, uzoq muddatli qaramlik barqarorligi darajasi shu qadar baland.
Herst parametrini aniqlash uchun bir qator usullar mavjud:
R / S-tahlil ( normallashtirilgan o'lchov usuli), yig'ilgan ketma-ketlikdagi Varyans vaqtida o'zgarish, Veyvlet-tahlil yordamida hisoblash va fraktal indeksini aniqlash. Ba’zi ehtiyojlarini inobatga olgan holda (ba'zi yakuniy qiymatni olish zarurati), vaqt seriyasining R / S tahlillari tanlangan. R / S tahlillari Herst indeksining taxminiy qiymati ga qaramasdan, hal qiluvchi omil hisoblarning soddaligi edi. Veyvlet-tahlil ham ko'rib chiqildi, lekin u hisob-kitoblarning murakkabligi va o'lchov koeffitsientlarini hisoblash uchun zarur bo'lgan namuna miqdori ushbu ishda taklif qilingan usul uchun ortiqcha ekanligini hisobga olib, orqaga tashlandi. Bu usulning yanada rivojlantirish, ayrim lahzalarni qayta ko'rib chiqish va Veyvlet-tahlil o'tish mumkin, deb taxmin qilish mumkin.
Qiymatlarni olgandan va ularni jadvalga yozgandan so'ng, tizim har bir qiymat guruhi uchun o'rtacha qiymatni intervalgacha, shuningdek standart og'ish (S) bilan hisoblab chiqadi.
Ushbu ma'lumotlarga asoslanib, tizim "uch sig’m" qoidasiga muvofiq intervalni quradi va tavsiya etilgan usul bo'yicha, barcha namunaning o'rtacha qiymati noma'lum bo'lsa, "uch S" qoidasi, bu yerda normal taqsimot sharoitida barcha qiymatlar 99 foizdan ko'proq ehtimollik bilan tushadi. Bu farqlanish bosqichida olingan qiymatni intervalda (-3S;+3S) bir yoki bir nechta oraliqda urilishiga qarab anomaliya darajasini baholash uchun zarur.
Ishning ushbu bosqichidan tushuniladiki, agar mashg'ulot bosqichida oddiy trafik tarqalishi kuzatilsa, bu usul ishlaydi. yarim nazorat ostida aniqlash texnikasi haqiqiy tizimlarga nisbatan ko'proq qo'llaniladi (trafik normal harakatlari haqida aniq ma'lumot mavjud bo'lganda), ammo bu ta'lim bosqichida trafikni an'anaviy taqsimlashni nazarda tutadi.
Qurilmani korxona tarmog'i chegarasida o'rnatish uchun mumkin bo'lgan sxemalar
"Oraliqda" (inline) va offline – usuli tarmoq qurilma o'rnatish uchun ikki variantlar borligini o'z ichiga oladi. Qurilmaning xatti-harakati aniqlash bosqichida o'rnatish opsiyasiga bog'liq. Quyidagi rasmlarda o'rnatish sxemalari 3.4 a va 3.4 b.
2.13 a rasm - "Oraliqda" o'rnatish sxemasi
2.13 b- rasm- "offlayn" o'rnatish sxemalari
Birinchi holda, qurilma barcha tirbandlikni to'xtatadi va uni ta'sir qilishi mumkin, ikkinchi holatda u faqat trafikni ushlab turadi. Ikkinchi variant SPAN / RSPAN yoki RITE routerlari kabi texnologiyalar yordamida amalga oshiriladi. Oflayn rejimda DAM faqatgina passivni kuzatib boradi va, masalan, administratorni xabardor qiladi.
Do'stlaringiz bilan baham: | 
