автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP

кандидата технических наук
Лавров, Андрей Александрович
город
Санкт-Петербург
год
2013
специальность ВАК РФ
05.13.11
Диссертация по информатике, вычислительной технике и управлению на тему «Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP»

Автореферат диссертации по теме "Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP"

005537152

На правах рукописи

Лавров Андрей Александрович

Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP

05.13.11 — Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

7 НОЯ ЛИЗ

Санкт-Петербург - 2013

005537152

Работа выполнена в Санкт-Петербургском государственном электротехническом университете «ЛЭТИ» им В.И. Ульянова (Ленина) (СПбГЭТУ) на кафедре математического обеспечения и применения ЭВМ.

Научный руководитель: доктор технических наук, профессор,

Лисс Александр Рудольфович

Официальные оппоненты: доктор технических наук,

профессор кафедры моделирования электромеханических и компьютерных систем Санкт-Петербургского государственного университета, Карпов Андрей Геннадьевич

кандидат технических наук, руководитель отдела Верификации и Идентификации Диктора ООО «Центр речевых технологий», Симончик Константин Константинович

Ведущая организация: Санкт-Петербургский институт инфор-

матики и автоматизации Российской академии наук

Защита состоится «27» ноября 2013 г. в 15 часов 30 минут на заседании совета по защите докторских и кандидатских диссертаций Д212.238.01 при СПбГЭТУ «ЛЭТИ», расположенном по адресу 197376, Россия, Санкт-Петербург, улица Профессора Попова, дом 5.

С диссертацией можно ознакомиться в библиотеке СПбГЭТУ «ЛЭТИ».

Автореферат разослан « » ОЮМ йТ^

Ученый секретарь совета по защите докторских и кандидатских диссертаций Д212.238.01, к.т.н.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В последние годы с ростом уровня автоматизации, проникновения информационных технологий во все сферы деятельности человека и значительным повышением требований отказоустойчивости и надежности к информационным системам важное значение приобретают вопросы разработки эффективных средств мониторинга и диагностики информационных систем. В связи с повсеместным использованием вычислительных сетей (ВС) и сетей передачи данных для организации взаимодействия как между отдельными рабочими станциями для передачи информации прикладного характера (например, при работе в глобальной сети Интернет), так и взаимодействия внутри замкнутых вычислительных кластеров, информационно-вычислительных комплексов обработки данных, корпоративных сетей и иных распределенных систем, основанных на использовании вычислительных сетей, остро встают вопросы мониторинга состояния подобных систем.

Классические системы мониторинга обеспечивают непрерывный мониторинг текущего состояния узлов, входящих в состав ВС, но в условиях современных всё более усложняющихся распределенных систем и жестких требований к их отказоустойчивости и надежности, а также защищенности и информационной безопасности, к современным системам сетевого мониторинга предъявляются также требования по обеспечению возможностей прогнозирования и диагностики состояния обслуживаемых информационных систем в краткосрочном и долгосрочном периодах, а также реализации комплексного мониторинга, включающего анализ не только текущего состояния узлов ВС на основе формальных показателей их работоспособности, но и комплексный анализ более широкого спектра характеристик функционирования системы и входящих в её состав узлов, а также прогнозирование и диагностику потенциальных проблем в защищенности системы или отдельных её узлов от различных типов внешних вмешательств. Актуальность данных вопросов рассмотрена, в частности, в работах Р. Г. Шыхалиева, а также В.В. Коренькова, A.B. Ужинского и др.

Кроме того, актуальными проблемами разработки систем сетевого мониторинга являются увеличение точности анализа состояния входящих в состав ВС узлов, т. е. обеспечение максимального соответствия показаний системы мониторинга реальному состоянию информационной системы, а также уменьшение интенсивности обмена служебным трафиком и минимизация влияния подсистемы мониторинга на функционирование других подсистем вычислительной сети или распределенной системы.

В связи с изложенным задачи исследования и разработки методов монито-. ринга и диагностики вычислительных сетей и распределенных систем, а также систем мониторинга на их основе в настоящее время являются актуальными.

Целью работы является разработка метода и алгоритмов мониторинга ВС, основанных на анализе временных закономерностей в работе стека протоколов TCP/IP, и построение системы сетевого мониторинга на их основе.

Для достижения поставленной цели были решены следующие задачи:

1. Исследование и анализ современных подходов к организации систем сетевого мониторинга (ССМ). Классификация и исследование методов и алгоритмов анализа характеристик функционирования стека протоколов TCP/IP удаленного сетевого узла, оценка существующих ССМ, использующих в своем составе методы и алгоритмы данного класса.

2. Разработка временной модели функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

3. Разработка метода и алгоритмов анализа стека протоколов ТСРЯР удаленного сетевого узла, основанных на совместном анализе временных и функциональных характеристик TCP/IP с использованием методов многоклассовой классификации в качестве аналитического средства.

4. Выбор классификатора для разработанных метода и алгоритмов; определение конфигурации выбранного классификатора, обеспечивающей наибольшую эффективность работы разработанных метода и алгоритмов.

5. Исследование и оценка разработанных алгоритмов и их применимости в ССМ; разработка алгоритма конвейерного опроса сетевых узлов.

6. Разработка комплекса программ, реализующих функции сетевого мониторинга на основе разработанных метода и алгоритмов, внедрение разработанных программных средств в реальную ССМ и исследование их работоспособности.

Объектом исследования в диссертационной работе являются процессы мониторинга и диагностики вычислительных сетей и построенных на их основе распределенных систем.

Предметом исследования являются методы анализа характеристик функционирования стека протоколов TCP/IP удаленных сетевых узлов и возможности их применения в системах сетевого мониторинга.

Методы исследования. Теоретическая часть работы выполнена на основе методов системного анализа, интеллектуального анализа данных и математической статистики. В экспериментальной и практической частях работы приме-

няются методы распределенных вычислений, численные методы, методы интеллектуального анализа данных.

Научная новизна полученных результатов заключается в следующем:

1. Разработана временная модель функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

2. Разработан метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

3. Определена конфигурация классификатора на базе метода опорных векторов (MOB), обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

4. На основе разработанной временной модели механизма повторных передач и результатов обобщения её реализаций для различных версий стека протоколов TCP/IP разработан алгоритм конвейерного опроса узлов сети.

Практическая значимость. Практическую ценность имеют следующие полученные автором результаты:

1. Методика идентификации версии стека протоколов TCP/IP на основе совместного анализа временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора.

2. Алгоритм конвейерного опроса узлов сети, предназначенный для извлечения значений анализируемых характеристик TCP/IP.

3. Программный комплекс мониторинга вычислительной сети, основанный на разработанных моделях и алгоритмах.

На защиту выносятся следующие основные результаты и положения:

1. Метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

2. Конфигурация классификатора на базе MOB, обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

3. Алгоритм конвейерного опроса узлов сети, предназначенный для практического применения разработанных метода и алгоритмов.

4. Комплекс программ сетевого мониторинга, основанных на разработанных моделях и алгоритмах.

Апробация работы. Основные результаты работы докладывались и обсуждались на XVII Международной открытой научной конференции «Современ-

ные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем» (Воронеж, ноябрь 2011 г. - январь 2012 г.), VII международной научно-практической конференции «Перспективные разработки науки и техники» (РггетуэК Польша, 7-15 ноября 2011 г.), 64-й и 65-й научно-технических конференциях профессорско-преподавательского состава СПбГЭТУ «ЛЭТИ» (Санкт-Петербург, январь-февраль 2011 г. и январь-февраль 2012 г. соответственно).

Достоверность научных положений и результатов работы подтверждается результатами вычислительных экспериментов, результатами испытаний разработанных программных средств в условиях реальных вычислительных сетей, а также апробацией основных положений работы на международных и российских конференциях.

Реализация и внедрение результатов. Теоретические и практические результаты работы внедрены в рамках НИР «Разработка системы гидроакустического мониторинга акватории на базе покровных антенн», выполняемой по заказу ОАО «Концерн «Океанприбор», в составе подсистемы сетевого мониторинга цифрового вычислительного комплекса обработки гидроакустических сигналов. Разработанный комплекс программ используется также в качестве ССМ корпоративной сети кафедры Математического обеспечения и применения ЭВМ Санкт-Петербургского государственного Электротехнического университета «ЛЭТИ». Результаты работы используются в рамках учебного процесса по дисциплинам «Сети и телекоммуникации» и «Сетевые технологии» для подготовки бакалавров и магистров по направлениям 231000 «Программная инженерия» и 010400 «Прикладная математика и информатика».

Публикации. По теме работы опубликованы 11 научных работ, среди которых 3 публикации в ведущих рецензируемых изданиях, рекомендованных ВАК, 1 монография, 2 учебно-методических издания и 1 учебное пособие.

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения, списка сокращений и обозначений, библиографического списка, 3 приложений. Общий объем диссертации составляет 138 страниц, включая 31 рисунок и 16 таблиц. Библиографический список включает 102 наименования.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность диссертационной работы, сформулирована цель и аргументирована научная новизна исследований, показана практическая значимость полученных результатов, представлены выносимые на защиту научные положения.

Первая глава работы посвящена анализу современного состояния в области мониторинга ВС и распределенных систем, анализу современных методов сетевого мониторинга, а также методов анализа стека протоколов TCP/IP и их применимости в задачах сетевого мониторинга.

Под мониторингом ВС понимают функции постоянного наблюдения в пределах сети с целью поиска медленных или неисправных систем и оповещения сетевых администраторов о сбоях и иных неисправностях. Функции мониторинга выполняет система сетевого мониторинга (ССМ). Задачами сетевого мониторинга являются своевременное выявление отказов, разного рода неисправностей и аномалий в работе сетевых узлов и выработка рекомендаций по их устранению, а также их диагностика и профилактика.

Типичная CCM в общем случае обеспечивает наблюдение только за заранее определенным перечнем узлов и отслеживает исключительно формальные показатели работоспособности узлов (загрузка CPU, состояние памяти, устройств хранения данных и т. п.). В настоящее время актуальна задача разработки методов и алгоритмов извлечения более широкого спектра характеристик функционирования сетевых узлов и их конфигурации с целью реализации дополнительных возможностей мониторинга.

Одной из разновидностей подобных методов являются методы сбора информации об удаленных сетевых узлах, важнейшей задачей которых является идентификация версии системного ПО (операционной системы) удаленного узла на основе анализа особенностей сетевого взаимодействия с данным узлом.

Методы идентификации версии операционной системы (ИОС) удаленных сетевых узлов применяются в CCM и системах обеспечения сетевой информационной безопасности для решения следующих задач:

1. Инвентаризация сетевых узлов и установленного на них ПО.

2. Контроль за изменениями в конфигурации ПО узлов.

3. Отслеживание несанкционированных подключений посторонних аппаратных средств.

4. Аудит информационной безопасности.

Методы ИОС подразделяются на активные и пассивные (рис. 1).

Пассивные методы основаны на прослушивании и анализе сетевого трафика от целевого узла и не получили широкого распространения. Активные методы ИОС предполагают инициирование целенаправленного сетевого взаимодействия с целевой системой. Наибольшее распространение получили активные методы ИОС на основе обмена нестандартными пакетами и анализа заголовков TCP-пакетов, используемые совместно.

Вместе с тем, метод ИОС, основанный на обмене нестандартными ТСР-пакетами, обладает рядом существенных недостатков:

1. Высокая зависимость от количества открытых и закрытых портов TCP и UDP на целевой системе.

2. Генерация значительного объема сетевого трафика.

3. Использование заведомо некорректных сетевых пакетов.

Методы идентификации ОС удаленного сетевого узла

У

Пассивные Активные

Прослушивание трафика

Обмен нестандартными ТСР-пакетами

Анализ временных характеристик TCP

Анализ функциональных характеристик TCP/IP

Анализ IP-ответов

Рис. 1. Классификация методов ИОС

Методы анализа временных характеристик ТСР лишены перечисленных недостатков, что позволяет рассматривать их как альтернативу методу, основанному на обмене нестандартными ТСР-пакетами. Тем не менее, данная группа методов в настоящее время исследована в недостаточной степени, а число их программных реализаций невелико.

Исходя из вышесказанного поставлена следующая задача диссертационного исследования: исследование и разработка методов и алгоритмов ИОС, основанных на совместном анализе функциональных и временных характеристик взаимодействия по протоколу TCP, а также создание программных средств (ПС) сетевого мониторинга, основанных на разработанных методах.

Вторая глава посвящена исследованию и анализу известных методов ИОС, основанных на использовании временных характеристик TCP, а также разработке и исследованию метода и алгоритмов ИОС, основанных на совместном анализе функциональных и временных характеристик TCP/IP.

Один из возможных методов ИОС, основанный на анализе значений временных характеристик ТСР, используемых для отработки механизма повторных передач {Retransmission Timeouts, RTO), получил название RING и заключается в анализе значений таймаутов повторных передач пакета SYN-ACK в процессе установления ТСР-соединения (рис. 2).

В результате измерений формируется сигнатура ОС удаленного узла, представляющая собой набор значений Ль %2, А-з ■■• где X,- - интервал между регистрацией поступивших от целевого узла г-го и г+1-го пакетов.

8

узел мониторинга

SYN

целевой узел

AiJ Я2]

Яз1

SYN-ACK SYN-ACK

SYN-ACK SYN-ACK SYN-ACK

Степень близости ОС анализируемого узла к некоторой к-н ОС из существующей базы сигнатур может быть оценена по следующей формуле:

Ск = Z | h - т,-1,

где т, - интервал времени между получением г-го и г+1-го пакетов для к-й ОС из существующей базы сигнатур.

Преимущества RING заключаются в необходимости наличия на целевом узле только одного открытого порта TCP и использовании стандартных ТСР-запросов.

Результаты исследований Ф. Вейсета, Т. Беадсли и др., а также собственного авторского исследования подтверждают существование различий в значениях тай-маутов повторных передач стеков ТСРЯР различных ОС и возможность решения задачи ИОС на основе анализа их значений.

Основным недостатком метода RING является его относительно невысокое быстродействие. Кроме того, использование RING невозможно в случае, если анализируемый узел расположен за системами типа Stateful firewall (в частности, SYN Relay и SYN Gateway).

Другой метод ИОС, свободный от ограничений, связанных с возможным использованием в сети систем SYN Relay или SYN Gateway, впервые упомянут в работах Грега Талека. Суть данного метода заключается в измерении и анализе значений RTO, характерных для ситуации потери пакетов при передаче данных по ТСР-соединению.

Анализ значений временных интервалов Х\, Х„ между повторными

передачами и их сравнение с существующей базой сигнатур, выполняемые аналогично случаю для процесса установления TCP-соединения, также позволяют сделать предположение о версии ОС целевого узла.

Преимущества по сравнению с RING заключаются в следующем:

1. Возможность работы через шлюзы SYN Relay или SYN Gateway.

2. Большая прозрачность для систем IDS и фильтрации трафика. Автором выполнено экспериментальное исследование метода Г. Талека

(ГТ), в ходе которого проведены измерения значений характеристик RTO для

Рис. 2. Метод ИОС на основе анализа значений ЯТО для ситуации установления соединения

различных ОС. Пример полученных сигнатур (ГТ) для четырех различных ОС представлен в табл. 1.

Табл. 1. Пример сигнатур ОС для метода Грега Талека

Номер повторной передачи Задержка перед повторной передачей, с

Fedora release 13 2.6.33.3 Windows Server 2003 R2 Windows XP SP3 Ubuntu 9.04

1 2,89 2,82 2,71 2,89

2 6,00 6,02 6,04 6,00

3 12,00 12,05 11,97 12,00

4 24,00 11,90 12,07 23,99

5 47,99 12,03 11,97 48,00

6 - 24,07 24,04 95,99

7 - 48,03 29,97 -

Автором предложен метод TCP-FTA, заключающийся в анализе временных характеристик RING и ГТ совместно с функциональными характеристиками TCP/IP с использованием методов классификации. Схема работы метода представлена на рис. 3.

Векторы значений временных характеристик ТЛ' размерностью N и функциональных характеристик FM размерностью М объединяются в единый вектор признаков VD размерностью D, где D = N + М,\п = Tv и FM, после чего вектор VD передается для анализа многоклассовому классификатору, предварительно обученному на данных из эталонной базы сигнатур (S£). Результатом классификации является номер R сигнатуры из базы сигнатур, наиболее близкой к сигнатуре У°. Версия ОС, соответствующая результирующей сигнатуре R, является наиболее вероятной версией ОС целевого узла.

TCP

Реализация сетевого взаимодействия и извлечение данных

Анализируемый узел

, N

J3- д

. М

Формирование вектора признаков

База сигнатур известных ОС ¡у

" г-

• (N+М) _гГ N

= Т uF

L

Многоклассовый классификатор

R

О

Обучение классификатора

Рис. 3. Схема работы метода TCP-FTA

Результат

В качестве анализируемых характеристик рассматриваются значения следующих параметров функционирования стека TCP/IP целевого узла:

■ функциональные: набор опций и порядок их объявления, размер окна, значение времени жизни пакета (TTL), значение Windows Scale;

■ сигнатура RING;

■ сигнатура ГТ совместно с признаком отправки завершающего пакета с установленным флагом RST.

В составе метода TCP-FTA в качестве классификатора предлагается использовать метод опорных векторов (MOB), что обусловлено особенностями анализируемых векторов признаков, а именно неоднородностью признаков, наличием составных характеристик и относительно низкой размерностью векторов и обучающей выборки.

Возможны три алгоритма реализации метода TCP-FTA, отличающиеся набором анализируемых временных характеристик:

■ TCP-FTA1 - анализируется сигнатура RING;

■ TCP-FTA2 — анализируется сигнатура ГТ;

■ TCP-FTA3 - совместно анализируются сигнатуры RING и ГТ.

Для определения наиболее эффективного алгоритма проведено экспериментальное исследование, по результатам которого установлено, что наиболее эффективным алгоритмом является TCP-FTA2.

Разработанные алгоритмы реализации метода TCP-FTA предполагают использование MOB. Особенностью MOB является отсутствие универсальных алгоритмов выбора конфигурации ядра. Автором было проведено экспериментальное исследование с целью выбора ядра MOB и значений параметров ядра, обеспечивающих наибольшую эффективность работы алгоритма TCP-FTA2.

В целях исследования использована свободная библиотека libsvm, реализующая функциональность MOB в задачах классификации. Исследование выполнено для четырех типов ядер: линейное (L), полиномиальное (Р), радиально-базисное (R), сигмоидальное (S).

В рамках исследования использовалась выборка, состоящая из более чем 130 векторов признаков, соответствующих различным версиям ОС семейств Windows и Linux. Выбор векторов для формирования обучающей выборки осуществлялся случайным образом. Для достижения распределения векторов в обучающих выборках, близкого к равномерному, обучение и тестирование классификатора для каждой из анализируемых конфигураций ядра проводилось 100 тыс. раз со случайной генерацией обучающей выборки в каждом из тестов. Для проведения исследования была разработана GRID-система.

Для ядер с несколькими параметрами выбор оптимальных значений параметров выполнялся с помощью построения средневзвешенных графиков зависимости относительного числа правильно классифицированных векторов признаков (СЯ) от значения каждого из параметров ядра. Пример графика зависимости СЯ(у) для радиально-базисного ядра приведен на рис. 4.

В результате исследования определены искомые конфигура-

ции классификатора на базе MOB для каждого из перечисленных ядер (табл. 2).

Табл. 2. Наилучшие конфигурации ядер MOB для алгоритма TCP-FTA2

Ядро Значения параметров настройки CR, %

У г d С, 10'

Р 0,001..0,0011 1..1.08 529...530 236-241 96,75

L - - - 20...40 96,60

S 0,019...0,035 0,05—0,25 - 5000-10000 96,68

R 0,6...0,9 - - 50000-130000 96,91

По результатам исследования можно сделать вывод о том, что для практического применения алгоритма TCP-FTA2 следует рекомендовать радиально-базисное ядро MOB с конфигурацией, соответствующей табл. 2.

Было также проведено экспериментальное исследование эффективности работы алгоритма ТСР-РТА2 по сравнению с существующими методами ИОС, получившими практическое применение. В рамках исследования разработана программная реализация алгоритма ТСР-РТА2, сформирована база сигнатур ТСР-РТА2, насчитывающая 36 наименований, и проведен сравнительный анализ достоверности результатов работы программной реализация ТСР-РТА2 с существующими ПС, реализующими методы ИОС: ЫМар, ХРгоЬе2, 8тРТ.

Результаты исследования представлены в табл. 3.

Табл. 3. Результаты исследования эффективности работы алгоритма ТСР-РТА2 в сравнении с существующими программными реализациями методов ИОС

Программная реализация CR, % Количество пакетов, шт. Трафик, Кб.

TCP-FTA2 87,07 18 9,51

NMap 6.25 82,39 2173 123,11

XProbe2 55,00 12 0,98

SinFP 68,26 14 0,95

CR

0,969 0,968 Г^Чц \

0,967 \

0,966 N Ч.

0,965 \ н

0,5 1,0 1,5 2,0 2,5 3,0 3,5

Рис. 4. График зависимости CR(/) для радиально-базисного ядра

Полученные результаты демонстрируют превосходство алгоритма ТСР-FTA2 в сравнении с NMap по критерию CR и уровню потребления трафика. С учетом известных существенных недостатков NMap, от которых свободен метод TCP-FTA, можно сделать вывод о том, что во многих случаях практического применения методов ИОС программная реализация алгоритма TCP-FTA2 является эффективной заменой NMap.

В третьей главе работы предлагаются формализованная временная модель функционирования стека TCP/IP при отработке механизма повторных передач (МПП) потерянных пакетов данных и архитектура ССМ, основанной на алгоритме TCP-FTA2, а также рассматривается возможность применения метода TCP-FTA в системах обеспечения сетевой информационной безопасности.

Модель МПП стека протоколов ТСРЯР представляет собой набор временных характеристик, описывающих моменты времени, соответствующие повторным передачам потерянного пакета данных, а также момент времени, соответствующий посылке завершающего пакета с флагом RST:

Р= {ть т2, т3, ..., тд}, где Ti = Л-ь X,- = Тм + ?ч, 1 < i < N; zR = xN+ XR.

Здесь N - количество повторных передач; Xr - интервал времени между отправкой N-го повторного пакета данных и завершающего RST-пакета.

Реализации модели МПП для различных версий стека протоколов TCP/IP описывают во временной области процесс обмена сетевыми пакетами, осуществляемый в рамках алгоритма TCP-FTA2.

В главе 1 сформулирован перечень задач сетевого мониторинга, для решения которых могут быть использованы методы ИОС. Автором предлагается архитектура ССМ целостности программной и аппаратной конфигураций ВС (рис. 5), основанной на использовании алгоритма TCP-FTA2. Принцип работы ССМ заключается в регулярном опросе узлов ВС на предмет определения соответствия сигнатур стека проколов TCP/IP узлов их штатным сигнатурам.

Блок-схема алгоритма принятия решения о возникновении нештатной ситуации в состоянии узла сети представлена на рис. 6. Нештатная ситуация определяется фактом выхода за пределы заданных допустимых значений {Dj}, 1 <i<M, более чем Ртах параметров сигнатуры узла {Gb G2, ..., Gk), полученной в результате измерений, по сравнению с штатной сигнатурой {Si, S2,..., SM} ■

Метод TCP-FTA также применим в системах обеспечения сетевой информационной безопасности для решения задачи анализа и поиска потенциальных и существующих уязвимостей и угроз безопасности сетевых узлов. Одним из важнейших этапов решения данной задачи является сканирование целевого уз-

ла методами ИОС на предмет определения версии его ОС. В настоящее время с этой целью применяется существующее ПО (NMap и др.), не использующее методы анализа временных характеристик TCP в качестве методов ИОС. ССМ

Г

ВС

Модуль управления опросом

Модуль сетевого взаимодействия

Модуль оповещения

Модуль ведения журнала

Модуль обработки и анализа сигнатур узлов

! Блок подготовки *! сигнатуры

; Блок анализа ~~! сигнатур

-ГТ

Блок обновления базы сигнатур

База сигнатур | узлов ВС

Рис. 5. Архитектура ССМ на основе алгоритма ТСР-РТА2 Вместе с тем, как отмечалось ранее, существующие и получившие распространение в сетевых сканерах методы ИОС обладают рядом существенных недостатков. В связи с этим представляется целесообразным применение алгоритма ТСР-РТА2 в составе средств анализа уровня защищенности сетевых узлов.

Рис. 6. Алгоритм принятия решения о нештатном состоянии узла

Модель программных средств аудита сетевых узлов, использующих алгоритм ТСР-БТА2 для реализации функций ИОС, представлена на рис. 7.

Рис. 7. Модель ПС аудита сети, использующих алгоритм TCP-FTA2

Алгоритм TCP-FTA2 может применяться в качестве инструмента ИОС в любых программных средствах, в составе которых необходима реализация возможности определения версии системного ПО сетевых узлов, включая автоматизированные системы выявления уязвимостей, системы инвентаризации и др.

Четвертая глава работы посвящена вопросам практической реализации алгоритма TCP-FTA2 в составе реальной ССМ.

На основе предложенной архитектуры ССМ и разработанной модели МПП стека протоколов TCP/IP на языке С++ с использованием библиотеки libpcap разработаны программные средства мониторинга целостности ВС, предназначенные для развертывания в среде Linux.

Особенностью метода TCP-FTA является длительное время анализа, что затрудняет его практическое использование. В целях практического применения алгоритма TCP-FTA2 разработан алгоритм конвейерного опроса узлов сети, функционирующих под управлением ОС семейств Windows и/или Linux.

В общем случае все N узлов сети, участвующие в процессе мониторинга, делятся на группы по Nr узлов в каждой, инициализация опроса узлов происходит последовательно по группам (рис. 8). Моменты начала опросов узлов определяются интервалом t и должны быть подобраны таким образом, чтобы в эти моменты времени отсутствовали пакеты с данными от других узлов. Значения tu Nr вычисляются при инициализации алгоритма.

Механизм вычисления интервала t базируется на результатах обобщения реализаций модели МПП для стеков протоколов TCP/IP ОС Windows и Linux (рис. 9), возможным благодаря частичному взаимному пересечению реализаций модели МПП для ОС указанных семейств.

Ожидание пакетов с данными А

О

Y

t

Y

t

it

Время

Инициализа- Инициализация опроса ция опроса 1-й группы 2-й группы узлов узлов

Инициализация опроса 3-й группы узлов

Инициализация опроса ' N '

Инициализация опроса 1-й группы узлов

Инициализация опроса 2-й группы узлов

Время, с.

группы узлов

Рис. 8. Временная диаграмма конвейерного опроса узлов

Из графика на рис. 9 установлены моменты времени, в которые гарантированно отсутствуют пакеты с данными от анализируемых узлов и, кроме того, существует достаточный запас времени до моментов возможного поступления пакетов с данными. К числу таких моментов времени относятся моменты времени через 105, 147 и 220 се-

1 2 3 4 5 6 7 Рис. 9. Обобщение реализаций модели МПП для ОС семейств Windows и Linux

Номер пакета

кунд после начала опроса узла. Отсюда получаем формулу для вычисления значений t и Nr.

"105"

t= 105, AOr

прит е[0; 105)

, т = —, где

N

t=\05,NR=\ прит е[105; 147) г = 147, ЛОг = 1 при -С е[147; 220) . ? = 220, АОг = 1 при х > 220 Р - период опроса ВС, заданный администратором ССМ, Р > 0.

Под периодом опроса ВС понимается интервал времени, в течение которого должны быть опрошены все узлы ВС, участвующие в процессе мониторинга.

Нижний предел количества узлов, поддерживаемых конвейерным алгоритмом опроса в однопоточной реализации, может быть оценен по формуле:

Р

NM= 10

Разработанные программные средства внедрены в составе подсистемы сетевого мониторинга цифрового вычислительного комплекса обработки гидроакустических сигналов в рамках ОКР «Гидропоиск», выполняемой ОАО «Концерн «Океанприбор». Испытания в условиях реальной ССМ показали работоспособность и корректность работы разработанных ПС.

В заключении подводятся итоги работы, формулируются выводы об эффективности и применимости полученных результатов.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В ходе решения поставленных в диссертационной работе задач получены следующие основные научные и практические результаты:

1. Разработана временная модель функционирования стека протоколов TCP/IP при отработке механизма повторных передач, проведено обобщение реализаций модели для стеков TCP/IP ОС различных версий.

2. Разработан метод идентификации версии стека протоколов TCP/IP удаленного сетевого узла, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов, использующих метод опорных векторов в качестве классификатора.

3. Проведено экспериментальное исследование эффективности разработанных алгоритмов, по результатам которого определена наилучшая конфигурация классификатора на базе MOB и установлено, что разработанные алгоритмы обладают большей эффективностью с точки зрения достоверности результатов и уровня потребления трафика по сравнению с аналогами.

4. Разработан алгоритм конвейерного опроса сетевых узлов, предназначенный для практического применения разработанного метода.

5. Разработан комплекс программ сетевого мониторинга, реализующий мониторинг целостности конфигурации аппаратного и программного обеспечения ВС. Комплекс программ внедрен в реальную ССМ, проведены его испытания в условиях реальной ВС.

СПИСОК ПУБЛИКАЦИЙ

В изданиях, рекомендованных ВАК РФ:

1. Лавров А. А., Яновский В. В. Идентификация операционной системы удаленного хоста методами анализа временных характеристик // Известия СПбГЭТУ «ЛЭ-ТИ», 2011. №3, С. 34-39.

2. Лавров А. А., Большев А. К. Метод идентификации версии системного программного обеспечения удаленного сетевого узла, основанный на комплексном анализе характеристик TCP/IP // Известия СПбГЭТУ «ЛЭТИ», 2012. №1, С. 45-51.

3. Лавров А. А., Лисс А. Р. Программные средства мониторинга целостности конфигурации цифрового вычислительного комплекса обработки гидроакустических сигналов // Гидроакустика, 2012. Выпуск 16(2), С. 90-97.

Монография:

4. Лавров А. А., Ивановский С. А., Яновский В. В. Мониторинг и администрирование в корпоративных вычислительных сетях: научное издание. СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2013. 160 с.

В других изданиях:

5. Лавров А. А., Большев А. К. Метод идентификации ОС удаленного хоста на основе анализа временных характеристик стека TCP/IP в задачах сетевого мониторинга // Сб. тр. 64-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ». СПб., 2011. С. 104-110.

6. Лавров А. А., Большев А. К., Яновский В. В. Идентификация ОС удаленного сетевого узла на основе комплексного анализа характеристик стека TCP/IP // Материалы VII международной научно-практической конференции «Перспективные разработки науки и техники», 07-15 ноября 2011 г. Przemysl, Польша: Sp. z о.о. «Nauka I studia», 2011. Том 53, С. 13-15.

7. Лавров А. А. Метод идентификации ОС удаленного узла на основе анализа функциональных и временных характеристик стека ТСРЛР // Сборник трудов XVII Международной открытой научной конференции «Современные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем», ноябрь 2011 г. - январь 2012 г. Воронеж: Изд-во «Научная книга», 2012. Вып. 17, С. 271-273.

8. Лавров А. А. Алгоритмы классификации в задаче идентификации версии ОС удаленного сетевого узла // Сб. тр. 65-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ». СПб., 2012. С. 102-106.

Прочие работы:

9. Лавров А. А. Архитектура и программные средства сервисно-ориентированных систем: методические указания к курсовому проектированию / сост.: Кринкин К. В., Лавров А. А., Яновский В. В. - СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2010. - 52 с.

10. Лавров А. А., Большев А. К., Яновский В. В. Проектирование и анализ вычислительных сетей: методические указания к курсовому проектированию: учебное электронное издание [Электронный ресурс]: номер гос. регистрации 0321101787 // - СПб.: СПбГЭТУ «ЛЭТИ», 2011.

11. Лавров А. А., Большев А. К., Яновский В. В. Администрирование систем сервисно-ориентированной архитектуры: учеб. пособие. - СПб.: Изд-во СПбГЭТУ «ЛЭТИ», 2011.-96 с.

Подписано в печать 18.10.2013. Формат 60*84 1/16. Бумага офсетная. Печать офсетная. Печ. л. 1,0. Тираж 100 экз. Заказ 112.

Отпечатано с готового оригинал-макета в типографии Издательства СПбГЭТУ «ЛЭТИ»

Издательство СПбГЭТУ «ЛЭТИ» 197376, С.-Петербург, ул. проф. Попова, д. 5

Текст работы Лавров, Андрей Александрович, диссертация по теме Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

Санкт-Петербургский государственный электротехнический университет

«ЛЭТИ»

На правах рукописи

04201451244

Лавров Андрей Александрович

Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP

05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей

ДИССЕРТАЦИЯ на соискание ученой степени кандидата технических наук

Научный руководитель д. т. н., проф.

Лисс Александр Рудольфович

Санкт-Петербург -2013

СОДЕРЖАНИЕ

ВВЕДЕНИЕ..................................................................................................................4

1 Обзор существующих методов и алгоритмов мониторинга вычислительных сетей................................................................................................9

1.1 Понятие и задачи сетевого мониторинга........................................................9

1.2 Методы мониторинга вычислительных сетей.............................................11

1.3 Системы сетевого мониторинга....................................................................16

1.4 Методы анализа стека протоколов TCP/IP и их применение в

задачах сетевого мониторинга.......................................................................19

1.5 Выводы по первой главе.................................................................................34

2 Исследование и разработка методов и алгоритмов идентификации версии ОС удаленного узла, основанных на анализе временных характеристик TCP ..36

2.1 Алгоритм Франка Вейсета (RING)................................................................3 7

2.2 Метод Грега Талека........................................................................................45

2.3 Метод и алгоритмы ИОС, основанные на совместном анализе временных и функциональных характеристик TCP/IP (TCP-FTA)...........49

2.4 Настройка классификатора на базе метода опорных векторов для использования в составе TCP-FTA................................................................65

2.5 Анализ эффективности метода TCP-FTA в сравнении с существующими методами ИОС...................................................................83

2.6 Выводы по второй главе.................................................................................89

3 Возможности практического применения метода TCP-FTA............................91

3.1 Временная модель процесса повторных передач потерянных

пакетов данных стеком протоколов TCP/IP.................................................91

3.2 Система мониторинга целостности сетевой инфраструктуры, основанная на использовании метода TCP-FTA.........................................93

3.3 Применение метода TCP-FTA в задачах аудита информационной безопасности....................................................................................................97

3.4 Выводы по третьей главе...............................................................................99

4 Программная реализация системы мониторинга целостности ВС на основе метода TCP-FTA.........................................................................................101

4.1 Функциональные требования к ССМ..........................................................101

4.2 Реализация взаимодействия с сетью...........................................................102

4.3 Алгоритм конвейерного опроса узлов........................................................103

4.4 Управление конфигурацией ССМ...............................................................110

4.5 Результаты испытаний в реальных условиях.............................................111

4.6 Выводы по четвертой главе.........................................................................113

ЗАКЛЮЧЕНИЕ.......................................................................................................114

Список сокращений и обозначений......................................................................118

Список литературы.................................................................................................121

Приложение А Результаты экспериментального исследования по определению конфигурации вектора призраков TCP-FTA,

обеспечивающей наибольшую достоверность классификации.........................131

Приложение Б База сигнатур алгоритма TCP-FTA2..........................................132

Приложение В Результаты экспериментального исследования эффективности работы алгоритма TCP-FTA2.....................................................134

ВВЕДЕНИЕ

Актуальность работы. В последние годы с ростом уровня автоматизации, проникновения информационных технологий во все сферы деятельности человека и значительным повышением требований отказоустойчивости и надежности к информационным системам важное значение приобретают вопросы разработки эффективных средств мониторинга и диагностики информационных систем. В связи с повсеместным использованием вычислительных сетей (ВС) и сетей передачи данных для организации взаимодействия как между отдельными рабочими станциями для передачи информации прикладного характера (например, при работе в глобальной сети Интернет), так и взаимодействия внутри замкнутых вычислительных кластеров, информационно-вычислительных комплексов обработки данных, корпоративных сетей и иных распределенных систем, основанных на использовании вычислительных сетей, остро встают вопросы мониторинга состояния подобных систем.

Классические системы мониторинга обеспечивают непрерывный мониторинг только текущего состояния узлов, входящих в состав ВС, но в условиях современных всё более усложняющихся распределенных систем и жестких требований к их отказоустойчивости и надежности, а также защищенности и информационной безопасности к современным системам мониторинга предъявляются также требования по обеспечению возможностей прогнозирования и диагностики состояния обслуживаемых информационных систем в краткосрочной и долгосрочной перспективах, а также реализации комплексного мониторинга, включающего анализ не только текущего состояния узлов ВС на основе формальных показателей их работоспособности, но и комплексный анализ более широкого спектра характеристик функционирования системы и входящих в её состав узлов, а также прогнозирование и диагностика потенциальных проблем в защищенности системы или отдельных её узлов от различных типов внешних вмешательств. Актуальность данных вопросов рассмотрена, в частности, в работах Р. Г. Шыхалиева, а также В.В. Коренькова и A.B. Ужинского.

Кроме того, актуальными проблемами разработки систем сетевого мониторинга является увеличение точности анализа состояния входящих в состав ВС узлов, т.е. обеспечение максимального соответствия показаний системы мониторинга реальному состоянию информационной системы, а также уменьшение интенсивности обмена служебным трафиком и минимизация влияния подсистемы мониторинга на функционирование других подсистем вычислительной сети или распределенной системы (например, подсистем обеспечения сетевой информационной безопасности - систем обнаружения вторжений и т.п.).

В связи с изложенным задачи исследования и разработки методов мониторинга и диагностики вычислительных сетей и распределенных систем, а также систем мониторинга на их основе в настоящее время являются актуальными.

Целью работы является разработка метода и алгоритмов мониторинга ВС, основанных на анализе временных закономерностей в работе стека протоколов TCP/IP, и построение системы сетевого мониторинга на их основе.

Для достижения поставленной цели были решены следующие задачи:

1. Исследование и анализ современных подходов к организации систем сетевого мониторинга (ССМ). Классификация и исследование методов и алгоритмов анализа характеристик функционирования стека протоколов TCP/IP удаленного сетевого узла, оценка существующих ССМ, использующих в своем составе методы и алгоритмы данного класса.

2. Разработка временной модели функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

3. Разработка метода и алгоритмов анализа стека протоколов TCP/IP удаленного сетевого узла, основанных на совместном анализе временных и функциональных характеристик TCP/IP с использованием методов многоклассовой классификации в качестве аналитического средства.

4. Исследование алгоритмов многоклассовой классификации и выбор классификатора для разработанных метода и алгоритмов; определение конфигурации классификатора, обеспечивающей наибольшую эффективность работы разработанных метода и алгоритмов.

5. Исследование и оценка разработанных алгоритмов и их применимости в ССМ; разработка алгоритма конвейерного опроса сетевых узлов.

6. Разработка комплекса программ, реализующих функции сетевого мониторинга на основе разработанных метода и алгоритмов, внедрение разработанных программных средств в реальную ССМ и исследование их работоспособности.

Объектом исследования в диссертационной работе являются процессы мониторинга и диагностики вычислительных сетей и построенных на их основе распределенных систем.

Предметом исследования являются методы анализа характеристик функционирования стека протоколов TCP/IP удаленных сетевых узлов и возможности их применения в системах сетевого мониторинга.

Методы исследования. Теоретическая часть работы выполнена на основе методов системного анализа, извлечения знаний и математической статистики. В экспериментальной и практической частях работы применяются методы распределенных вычислений, численные методы, методы извлечения знаний.

Научная новизна полученных результатов заключается в следующем:

1. Разработана временная модель функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

2. Разработан метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

3. Определена конфигурация классификатора на базе метода опорных векторов (MOB), обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

4. На основе разработанной временной модели механизма повторных передач и результатов обобщения её реализаций для различных версий стека протоколов TCP/IP разработан алгоритм конвейерного опроса уз-

лов сети, предназначенный для извлечения значений анализируемых характеристик сетевого стека целевого узла.

Практическая значимость. Практическую ценность имеют следующие полученные автором результаты:

1. Методика идентификации версии стека протоколов TCP/IP на основе совместного анализа временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора.

2. Алгоритм конвейерного опроса узлов сети, предназначенный для извлечения значений анализируемых характеристик TCP/IP.

3. Программный комплекс мониторинга вычислительной сети, основанный на разработанных моделях и алгоритмах.

На защиту выносятся следующие основные результаты и положения:

1. Метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

2. Конфигурация классификатора на базе MOB, обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

3. Алгоритм конвейерного опроса узлов сети, предназначенный для практического применения разработанных метода и алгоритмов.

4. Комплекс программ сетевого мониторинга, основанных на разработанных моделях и алгоритмах.

Апробация работы. Основные результаты работы докладывались и обсуждались на XVII Международной открытой научной конференции «Современные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем» (Воронеж, ноябрь 2011 г. - январь 2012 г.), VII международной научно-практической конференции «Перспективные разработки науки и техники» (Przemysl, Польша, 7-15 ноября 2011 г.), 64-й и 65-й научно-технических конференциях профессорско-преподавательского

состава СПбГЭТУ «ЛЭТИ» (Санкт-Петербург, январь-февраль 2011 г. и январь-февраль 2012 г. соответственно).

Достоверность научных положений и результатов работы подтверждается результатами вычислительных экспериментов, результатами испытаний разработанных программных средств в условиях реальных вычислительных сетей, а также апробацией основных положений работы на международных и российских конференциях.

Реализация и внедрение результатов. Теоретические и практические результаты работы внедрены в рамках НИОКР «Разработка системы гидроакустического мониторинга акватории на базе покровных антенн», выполняемой по заказу ОАО «Концерн «Океанприбор», в составе подсистемы сетевого мониторинга цифрового вычислительного комплекса обработки гидроакустических сигналов. Разработанный комплекс программ используется также в качестве ССМ корпоративной сети кафедры Математического обеспечения и применения ЭВМ Санкт-Петербургского государственного Электротехнического университета «ЛЭТИ». Результаты работы используются в рамках учебного процесса по дисциплинам «Сети и телекоммуникации» и «Сетевые технологии» для подготовки бакалавров и магистров по направлениям 231000 «Программная инженерия» и 010400 «Прикладная математика и информатика».

Публикации. По теме работы опубликованы 11 научных работ, среди которых 3 публикации в ведущих рецензируемых изданиях, рекомендованных ВАК, 1 монография, 2 учебно-методических издания и 1 учебное пособие.

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения, списка сокращений и обозначений, библиографического списка, 3 приложений. Общий объем диссертации составляет 138 страниц, включая 31 рисунок и 16 таблиц. Библиографический список включает 102 наименования.

1 Обзор существующих методов и алгоритмов мониторинга вычислительных сетей

В условиях постоянного развития, усложнения и повсеместного внедрения во все сферы жизни человека распределенных информационных систем задачи постоянного контроля за работой вычислительной сети, составляющей основу любого современного цифрового вычислительного комплекса или другой распределенной системы, приобретают всё более важное значение, поскольку необходимы для поддержания системы в работоспособном состоянии и оперативного устранения сбоев и неполадок [1-3].

Данные задачи реализуются организацией процесса сетевого мониторинга.

1.1 Понятие и задачи сетевого мониторинга

Под мониторингом вычислительной сети понимают функции постоянного наблюдения в пределах сети с целью поиска медленных или неисправных систем, а также оповещение сетевых администраторов о сбоях и иных неисправностях с использование различных средств оповещения. Эти задачи являются подмножеством задач управления сетью [4,5].

В общем случае процесс мониторинга включает три основных этапа [6]:

1. Извлечение и сбор данных о состоянии компонентов сети.

2. Обработка и хранение данных.

3. Анализ данных, формирование оценки текущего состояния ВС и локализация сбоев и неполадок, выработка рекомендаций по их устранению.

Основными задачами сетевого мониторинга являются своевременное выявление отказов, разного рода неисправностей и аномалий в работе сетевых узлов и выработка рекомендаций по их устранению, а также диагностика и профилак-

тика неисправностей [7]. Одна из возможных классификаций задач сетевого мониторинга [6] представлена на рисунке 1.1.

К группе А относятся задачи мониторинга технического состояния узлов сети, включающего такие формальные показатели работоспособности как загрузка процессора, состояние оперативной памяти, состояние дисковой подсистемы, температура аппаратных компонентов и пр.

Мониторинг ВС

ГРУППА А

Мониторинг

сетевого оборудования

ГРУППА Б

Мониторинг внутренних и внешних каналов

ГРУППА С

Учет потребления ресурсов

ГРУППА Д

Мониторинг безопасности

Рисунок 1.1- Классификация задач сетевого мониторинга

В рамках группы Б решаются задачи контроля состояния внешних и внутренних каналов связи, реализуемые на основе анализа значений пропускной способности в различных метриках; количества ошибок, возникающих при передаче данных; учета различных особых случаев, характеризующих работоспособность каналов связи (увеличение количества коллизий, пропадание несущей и т.п.).

Группа задач С отвечает за сбор статистических данных для учета потребления ресурсов вычислительной сети и функционирующей на её основе информационной системы. К таким ресурсам относятся доступ в глобальную сеть Интернет, ресурсы печати, ресурсы систем хранения данных и др.

В составе задач мониторинга современных информационных систем присутствуют также задачи обеспечения безопасности (группа Д), включающие в себя обнаружение различных аномалий в работе сети, оперативное обнаружение атак, вторжений и др. инцидентов безопасности, а также анализ собранных данных и выработка рекомендаций по обеспечению сетевой информационной безопасности.

Функции мониторинга выполняет система (или подсистема) сетевого мониторинга (ССМ). Конкретные программно-аппаратные комплексы, реализую-

щие функции сетевого мониторинга, зачастую не покрывают все группы задач сетевого мониторинга, выделенные выше, и классификация, представленная на рисунке 1.1, в общих чертах соответствует классификации ССМ по функциональным возможностям. Так, например, существуют отдельные программные и прог�