Разработка программного модуля для фильтрации сетевого трафика | Статья в журнале «Молодой ученый»

Автор:

Рубрика: Технические науки

Опубликовано в Молодой учёный №4 (138) январь 2017 г.

Дата публикации: 30.01.2017

Статья просмотрена: 54 раза

Библиографическое описание:

Кадыров М. М. Разработка программного модуля для фильтрации сетевого трафика // Молодой ученый. — 2017. — №4. — С. 15-18. — URL https://moluch.ru/archive/138/38793/ (дата обращения: 20.08.2018).



В настоящее время анализ сетевого трафика при фильтрации пакетов проводится и на транспортном уровне [1].

Каждый IP-пакет исследуется на соответствие множеству правил. Эти правила устанавливают разрешение связи по содержанию заголовков сетевого и транспортного уровней модели TCP/IP, анализируется и направление передвижения пакета.

Фильтры пакетов контролируют:

− физический интерфейс, откуда пришел пакет;

− IР и (IP-адрес источника);

− IР и(IP-адрес назначения);

− тип транспортного уровня (TCP, UDP, ICMP);

− транспортные порты источника и назначения.

На первом этапе необходимо определить форму и количество данных, на которых будет производиться прогнозирование. Циклический анализ сильно зависит от однородности данных. Используемые данные должны иметь однородную структуру, иначе неоднородность данных при анализе, скорее всего, изменит структуру циклов. Таким образом резкое изменение в работе ВС (например, подключении большого количество хостов или изменение в расписании), которые могут изменить форму циклов, должны учитываться при поиске и оценке аномалии [2].

Поскольку циклический анализ предполагает работу с рядом данных, необходимо сформировать имеющиеся данные по сетевому трафику в виде ряда значений, описывающих изменение объема трафика во времени. Для этого необходимо провести дискретизацию потока трафика.

Процесс реагирования может быть представлен в виде трех основных блоков:

− определение необходимости фильтрации;

− фильтрация пакетов;

− подготовка отчета об аномалии.

Необходимость фильтрации определяется на основании информации об аномалии, а также за счет настроек, на основе которых формируются исключения для фильтрации (список заблокированных источников; источники, которые запрещено блокировать и т. п.). Далее происходит непосредственная фильтрация трафика и подготовка отчета об аномалии.

Рассмотрим структуры и блок схемы фильтрации сетевого трафика (рис. 1, рис. 2).

Первым действием является обновление списка для фильтрации. В данном блоке добавляются новые источники в список фильтрации, а также удаляются источники, время блокирования которых истекло. Далее подготавливаются параметры для фильтрации, на основе которых в фильтре пакетов формируются правила фильтрации трафика.

Чтобы различать трафик из разных подсетей, необходимо учитывать IP-адрес и маску подсети. Это позволит индивидуально настраивать фильтрацию трафика для каждой подсети. Также должно быть предусмотрено раздельное отслеживание входящего и исходящего трафика [3].

Поскольку трафик из внешних и внутренних сетей имеет разную информативность и, как следствие, различия при построении модели прогноза, то имеет принципиальное значение разделение трафика из внешней и внутренней сети.

Рис. 1. Структура фильтрации сетевого трафика

Рис. 2. Блок-схема фильтрации сетевого трафика

Таким образом, при поиске аномалий объема сетевого трафика, необходимо использовать следующие характеристики:

− величина отклонения реального трафика от прогнозируемого;

− размер окна для сглаживания реального трафика;

− IP-адрес подсети и маски;

− направление трафика (входящий или исходящий);

− внешняя или внутренняя сеть.

Для определения параметров фильтрации также используется база правил, которая на основе величины аномалии определяет время фильтрации . В качестве входного параметра используется величина аномалии , описанная ранее Пример правил:

− ЕСЛИ E = {незначительная} ТО Время блокирования = 1 минута;

− ЕСЛИ E = {высокая} ТО Время блокирования = 120 минут;

Полученные новые параметры фильтрации используются для настройки фильтра пакетов. Также формируется отчет о проведенной фильтрации.

Общая схема формирования правил фильтрации может быть представлена как:

,

где – сетевые адреса источников аномалии, – время фильтрации, определяется в зависимости от величины , – список исключений фильтрации.

Таким образом, предложена математическая модель прогнозирования трафика на базе циклического анализа временных рядов, позволяющая определять загрузку сети на основе поиска периодичности в сетевом трафике. Разработанная структура программного обеспечение фильтрации сетевого трафика могут быть использованы в системе управления трафика, позволяя анализировать состояние вычислительной сети с целью выявления аномалий в трафике, предупреждая персонал о необходимости принятия мер, по устранению аномалии (ремонт неисправного оборудования, фильтрация трафика и т.п.)

Литература:

1. Платонов В. В. Программно–аппаратные средства защиты информации: учебник для студ. Учреждений выс. Образования/ — М.: Издательский центр «Академия», 2014.

2. Мельников Д. А. Информационная безопасность открытых систем: учебник / – М.: Флинта: Наука, 2013.

3. А. Ю. Щеглов. Защита компьютерной информации от несанкционированного доступа. // Наука и Техника, Санкт–Петербург, 2004.

Основные термины (генерируются автоматически): сетевой трафик, TCP, циклический анализ, транспортный уровень, Время блокирования, реальный трафик, время фильтрации, внутренняя сеть, UDP, ICMP.


Похожие статьи

Роль протокола TCP в современных компьютерных сетях.

Если же рассматривать его с точки зрения стека TCP/IP (в стеке TCP/IP определены четыре уровня: прикладной уровень, транспортный

Если это время увеличивается, то согласно алгоритму система понимает, что сеть приближается к перегрузке и уменьшает размер окна.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Второй метод — ALG(шлюз прикладного уровня) — преобразование трафика сетевого приложения из трафика IPv4 в трафик IPv6 и наоборот

Основные термины (генерируются автоматически): ICMP, ALG, сеть, пакет, хост, двойной стек, TCP, протокол, ATM, транслятор.

Особенности MPLS для управления трафиком в IP-сетях

В настоящее время для пользователей мультисервисных сетей все больший интерес

Таким образом, главная особенность MPLS — отделение процесса коммутации пакета от анализа

При оптимизации управления трафиком в сетях MPLS (MultiProtocol Label Switching), важную...

Методика измерения пропускной способности в сетях TCP/IP

Различные интернет приложения реального времени, в первую очередь, передача голосовой и видео информации становятся все более и

Основные термины (генерируются автоматически): RIPE, Кбит, TCP, FTP, пропускная способность, удаленный сервер, HTTP, ICMP, RTT, SIGCOMM.

Сравнение некоторых модификаций протокола TCP с ARTCP

Анализ работ в области транспортных протоколов и, в частности, механизма PP позволил заключить, что недостатки протокола TCP весьма

Лучше всего на роль индикатора состояния сети подходят временные характеристики потока: время RTT и межсегментные интервалы.

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов

На сетевом уровне стек TCP/IP реализует протокол IP и ARP.

– крайне низкие задержки передачи данных — система реального времени.

Показатели угроз безопасности на уровнях модели OSI

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Инжиниринг трафика в программно определяемых сетях

Программно-определяемая сеть — это идеология построения сети, в которой разделены уровень управления сетью и уровень пересылки пакетов.

Разработка программного модуля для фильтрации сетевого трафика. Сети NGN.

Роль протокола TCP в современных компьютерных сетях.

Если же рассматривать его с точки зрения стека TCP/IP (в стеке TCP/IP определены четыре уровня: прикладной уровень, транспортный

Если это время увеличивается, то согласно алгоритму система понимает, что сеть приближается к перегрузке и уменьшает размер окна.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Второй метод — ALG(шлюз прикладного уровня) — преобразование трафика сетевого приложения из трафика IPv4 в трафик IPv6 и наоборот

Основные термины (генерируются автоматически): ICMP, ALG, сеть, пакет, хост, двойной стек, TCP, протокол, ATM, транслятор.

Особенности MPLS для управления трафиком в IP-сетях

В настоящее время для пользователей мультисервисных сетей все больший интерес

Таким образом, главная особенность MPLS — отделение процесса коммутации пакета от анализа

При оптимизации управления трафиком в сетях MPLS (MultiProtocol Label Switching), важную...

Методика измерения пропускной способности в сетях TCP/IP

Различные интернет приложения реального времени, в первую очередь, передача голосовой и видео информации становятся все более и

Основные термины (генерируются автоматически): RIPE, Кбит, TCP, FTP, пропускная способность, удаленный сервер, HTTP, ICMP, RTT, SIGCOMM.

Сравнение некоторых модификаций протокола TCP с ARTCP

Анализ работ в области транспортных протоколов и, в частности, механизма PP позволил заключить, что недостатки протокола TCP весьма

Лучше всего на роль индикатора состояния сети подходят временные характеристики потока: время RTT и межсегментные интервалы.

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов

На сетевом уровне стек TCP/IP реализует протокол IP и ARP.

– крайне низкие задержки передачи данных — система реального времени.

Показатели угроз безопасности на уровнях модели OSI

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Инжиниринг трафика в программно определяемых сетях

Программно-определяемая сеть — это идеология построения сети, в которой разделены уровень управления сетью и уровень пересылки пакетов.

Разработка программного модуля для фильтрации сетевого трафика. Сети NGN.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Роль протокола TCP в современных компьютерных сетях.

Если же рассматривать его с точки зрения стека TCP/IP (в стеке TCP/IP определены четыре уровня: прикладной уровень, транспортный

Если это время увеличивается, то согласно алгоритму система понимает, что сеть приближается к перегрузке и уменьшает размер окна.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Второй метод — ALG(шлюз прикладного уровня) — преобразование трафика сетевого приложения из трафика IPv4 в трафик IPv6 и наоборот

Основные термины (генерируются автоматически): ICMP, ALG, сеть, пакет, хост, двойной стек, TCP, протокол, ATM, транслятор.

Особенности MPLS для управления трафиком в IP-сетях

В настоящее время для пользователей мультисервисных сетей все больший интерес

Таким образом, главная особенность MPLS — отделение процесса коммутации пакета от анализа

При оптимизации управления трафиком в сетях MPLS (MultiProtocol Label Switching), важную...

Методика измерения пропускной способности в сетях TCP/IP

Различные интернет приложения реального времени, в первую очередь, передача голосовой и видео информации становятся все более и

Основные термины (генерируются автоматически): RIPE, Кбит, TCP, FTP, пропускная способность, удаленный сервер, HTTP, ICMP, RTT, SIGCOMM.

Сравнение некоторых модификаций протокола TCP с ARTCP

Анализ работ в области транспортных протоколов и, в частности, механизма PP позволил заключить, что недостатки протокола TCP весьма

Лучше всего на роль индикатора состояния сети подходят временные характеристики потока: время RTT и межсегментные интервалы.

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов

На сетевом уровне стек TCP/IP реализует протокол IP и ARP.

– крайне низкие задержки передачи данных — система реального времени.

Показатели угроз безопасности на уровнях модели OSI

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Инжиниринг трафика в программно определяемых сетях

Программно-определяемая сеть — это идеология построения сети, в которой разделены уровень управления сетью и уровень пересылки пакетов.

Разработка программного модуля для фильтрации сетевого трафика. Сети NGN.

Роль протокола TCP в современных компьютерных сетях.

Если же рассматривать его с точки зрения стека TCP/IP (в стеке TCP/IP определены четыре уровня: прикладной уровень, транспортный

Если это время увеличивается, то согласно алгоритму система понимает, что сеть приближается к перегрузке и уменьшает размер окна.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети.

Обзор проблемы несовместимости протоколов... | Молодой ученый

Второй метод — ALG(шлюз прикладного уровня) — преобразование трафика сетевого приложения из трафика IPv4 в трафик IPv6 и наоборот

Основные термины (генерируются автоматически): ICMP, ALG, сеть, пакет, хост, двойной стек, TCP, протокол, ATM, транслятор.

Особенности MPLS для управления трафиком в IP-сетях

В настоящее время для пользователей мультисервисных сетей все больший интерес

Таким образом, главная особенность MPLS — отделение процесса коммутации пакета от анализа

При оптимизации управления трафиком в сетях MPLS (MultiProtocol Label Switching), важную...

Методика измерения пропускной способности в сетях TCP/IP

Различные интернет приложения реального времени, в первую очередь, передача голосовой и видео информации становятся все более и

Основные термины (генерируются автоматически): RIPE, Кбит, TCP, FTP, пропускная способность, удаленный сервер, HTTP, ICMP, RTT, SIGCOMM.

Сравнение некоторых модификаций протокола TCP с ARTCP

Анализ работ в области транспортных протоколов и, в частности, механизма PP позволил заключить, что недостатки протокола TCP весьма

Лучше всего на роль индикатора состояния сети подходят временные характеристики потока: время RTT и межсегментные интервалы.

Сравнительный обзор сетевых интерфейсов для коммутации...

TCP/IP — набор сетевых протоколов (IP, ARP, TCP, UDP, ICMP, и т. д.). Протоколы TCP/IP образуют стек протоколов

На сетевом уровне стек TCP/IP реализует протокол IP и ARP.

– крайне низкие задержки передачи данных — система реального времени.

Показатели угроз безопасности на уровнях модели OSI

Сетевой уровень предоставляет функции для передачи отдельных компонентов данных по сети между указанными оконечными устройствами.

Наиболее распространенные протоколы транспортного уровня: TCP, UDP, NetBEUI.

Инжиниринг трафика в программно определяемых сетях

Программно-определяемая сеть — это идеология построения сети, в которой разделены уровень управления сетью и уровень пересылки пакетов.

Разработка программного модуля для фильтрации сетевого трафика. Сети NGN.

Задать вопрос