автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка метода обнаружения дестабилизирующего широковещательного трафика на основе анализа сетевой статистики

На правах рукописи

Будько Михаил Юрьевич 1!Ф

Разработка метода обнаружения дестабилизирующего широковещательного трафика на основе анализа сетевой статистики

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

2 6 НОЯ 2009

Санкт-Петербург 2009

003484358

Работа выполнена на кафедре Мониторинга и прогнозирования информационных угроз Санкт-Петербургского государственного университета информационных технологий, механики и оптики

Научный руководитель: кандидат технических наук, доцент

Жигулин Георгий Петрович

Официальные оппоненты: доктор технических наук, профессор

Сарычев Валентин Александрович

кандидат технических наук, доцент Тимченко Борис Дмитриевич

Ведущая организация: ОАО «Научно-производственное пред-

приятие «Радар ммс»

Защита состоится «15» декабря 2009 года в 12 часов 00 минут на заседании диссертационного совета Д 212.227.05 в ГОУВПО «Санкт-Петербургский государственный университет информационных технологий, механики и оптики» по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д.49.

С диссертацией можно ознакомиться в библиотеке ГОУВПО «СПбГУ ИТМО»

Автореферат разослан «13» ноября 2009 г. Ученый секретарь

диссертационного совета Д 212.227.05, кандидат технических наук, доцент

Поляков Владимир Иванович

Общая характеристика работы

Актуальность проблемы. Большинство современных компьютерных сетей состоят из сегментов, объединенных на втором уровне модели OSI. Это упрощает адресацию и позволяет узлам обмениваться данными без применения протоколов сетевого уровня. Самыми нестабильными участками в таких сетях являются сегменты уровня доступа. Они больше всего подвержены дестабилизирующему воздействию конечных узлов, так как их несанкционированные действия могут привести к неработоспособности всего сегмента. Повышение защищенности и надежности работы этого уровня является одной из важнейших задач.

В зависимости от размера сети и политики проектирования количество узлов, работающих в одном сегменте, может доходить до тысячи. Это упрощает проведение атак, направленных на вывод из строя оборудования и каналов связи. Использование технологии виртуальных сетей (VLAN) позволяет уменьшить размеры сегментов, но не избавиться от них вовсе.

Наличие единого широковещательного домена внутри сегмента приводит к тому, что любой пакет, отправленный на широковещательный или групповой адрес, размножается коммутаторами по всем направлениям и должен быть обработан каждым узлом, даже если он ему не предназначен. В результате снижается пропускная способность каналов связи, повышается вычислительная нагрузка на узлы сети и возникает возможность дестабилизировать работу всего сегмента. Следовательно, является актуальной задача обнаружения воздействий на сеть, заключающихся в интенсивной многоадресной рассылке потоков данных, и снижения их влияния на качество предоставляемых услуг. В качестве источников таких воздействий могут выступать:

- действия злоумышленников, например, атака arp-flood на таблицу шас-адресов коммутаторов;

- сбои в работе сетевого оборудования или протоколов, например, широковещательный шторм, вызванный некорректной работой протокола БТР;

- нежелательные приложения, производящие интенсивную широковещательную рассылку, например: широковещательные чаты и сетевые игры.

Целью диссертационной работы является повышение защищенности и надежности функционирования компьютерной сети за счет автоматизации процесса обнаружения дестабилизирующего широковещательного трафика на основе анализа сетевой статистики.

Задачи исследований. Поставленная цель достигается решением следующих задач:

1. Разработка алгоритмов мониторинга сети и обработки статистических данных.

2. Исследование критериев, используемых для поиска похожих последовательностей трафика, с целью автоматизации процесса определения связей между устройствами в сети.

3. Разработка метода, позволяющего в автоматическом режиме строить логическую топологию сети, для определения зоны поражения и источника атаки.

4. Разработка математических моделей показателей, используемых для обнаружения широковещательного шторма и его источника.

5. Разработка метода обнаружения дестабилизирующего широковещательного трафика в сети на основе анализа интенсивностей потоков данных, позволяющего расширить возможности современных средств выявления аномалий.

Методы исследования базируются на теории вероятностей и математической статистики, теории алгоритмов, теории вычислительных систем и сетей.

Научная новизна результатов, полученных автором, заключается в следующем:

1. Разработан метод, позволяющий в автоматическом режиме строить логическую топологию сети.

2. Предложены математические модели, используемые для поиска широковещательного шторма и его источника.

3. Разработан новый метод обнаружения интенсивных широковещательных потоков трафика в сети.

Практическая значимость работы. Предложенные методы и разработанные приложения повышают безопасность и расширяют возможности по обнаружению аномалий благодаря выявлению дестабилизирующих широковещательных потоков трафика в сети. Созданные механизмы позволяют повысить информированность системных администраторов и специалистов по сетевой безопасности о процессах, происходящих в компьютерных сетях. Результаты проведенных исследований могут быть использованы в системах мониторинга и сбора статистики в качестве основы для создания новых функциональных модулей. Разработанные методы могут применяться для динамического построения топологии, что позволяет автоматизировать процессы обнаружения и локализации источников угроз безопасности, связанных с несанкционированным воздействием на сетевую инфраструктуру или неисправностью оборудования.

Реализация и внедрение результатов работы. Результаты диссертационной работы применяются на практике при эксплуатации компьютерной сети организации оборонно-промышленного комплекса ОАО «Научно-производственное предприятие «Радар ммс». Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов

обнаружения и противодействия вторжениям в вычислительных сетях военного назначения», применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере «Разработка способа и системы адаптивного управления передачей потоковых данных», а также в учебных курсах кафедры Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО по разделу специальной дисциплины для подготовки специалистов по организации и технологии защиты информации по специальности № 090103.65. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».

Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 9 всероссийских и международных конференциях и семинарах. В 2007/2008 учебном году Будько М.Ю. назначена стипендия Президента Российской Федерации. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

Публикации. По теме диссертационной работы опубликовано 15 печатных работ, в том числе 5 статей в научных журналах и сборниках, 3 из которых входят в перечень ведущих периодических изданий, 9 статей в трудах научных конференций. Получено решение Роспатента о выдаче патента на изобретение.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы, включающего 105 наименований. Основная часть работы изложена на 122 страницах. Работа содержит 21 рисунок и 5 таблиц.

Содержание работы

Во введении обоснована актуальность темы, сформулированы цели и задачи исследования, показаны новизна и практическая значимость работы, сформулированы основные положения, выносимые на защиту.

В первой главе рассмотрены существующие методы обнаружения угроз безопасности и оценки качества работы сети, выполнена классификация сетей связи. Обозначены границы исследования, состоящие в том, что сфера применения методов обнаружения широковещательных и групповых штормов ограничена канальными протоколами, обеспечивающими поддержку широковещательных и групповых адресов. Эффективность этих методов будет возрастать с увеличением размеров широковещательного домена.

Проанализированы причины возникновения угроз безопасности. Рассмотрено современное состояние исследований по проблемам обнаружения вторжений в вычислительных сетях. Показано, что используемые в работе методы обнаружения угроз безопасности на основе идентификации аномального поведения трафика в сети завоевывают все большую популярность в системах обнаружения вторжений, так как позволяют обнаруживать неизвестные ранее атаки. В некоторых случаях они незаменимы. Например, когда нет возможности контролировать трафик между пользователями одного сегмента сети.

Рассмотрены механизмы реализации некоторых распространенных сетевых атак и методы противодействия им. Сделан вывод об особенностях использования метода аномалий для обнаружения внутрисегментных атак, которые состоят в том, что для эффективного обнаружения атаки, выявления источника и области поражения необходимы знания о структуре охраняемой сети.

На основе проведенных обзоров сделана постановка задачи исследования.

Во второй главе разработаны методы мониторинга сети, рассмотрены математические модели, используемые для обнаружения угроз безопасности, модели контроля качества телекоммуникационных услуг.

Объектом мониторинга в настоящей работе является сетевое оборудование. Одна из задач исследования состоит в необходимости использования наиболее распространенных средств мониторинга. Такими системами являются приложения, использующие набор утилит RRDtool для работы с RRD (Round-robin Database) и собирающие сведения о загрузке интерфейсов сетевого оборудования по протоколу SNMP.

Для разработки метода поиска дестабилизирующего широковещательного трафика, его источника и области поражения необходима информация о структуре сети. Сложность восстановления структуры сети по показаниям загрузки интерфейсов состоит в том, что устройства опрашиваются системой сбора статистики не синхронно, т.е. существует разница во времени между запросом статистики у первого и последнего устройства в списке мониторинга. Приложение RRDtool для снижения влияния задержки при опросе устройств интерполирует данные до того момента времени, когда начался опрос первого устройства.

Это приводит к несоответствию статистических данных для двух портов, даже если весь трафик с одного из них поступает на вход другого. Соответственно показания, считанные из базы данных, отличаются от реальных значений:

яо = /(')+*,

где:

t = (tvt1,...Jn) - вектор значений временных меток, во время которых инициируется процесс опроса устройств, и - число значений в выборке;

у = y(tl,t2,...,tn) — вектор показаний трафика на порту, сохраненных в системе мониторинга;

/ = f(tvt2,...,/„) - вектор реальных значенмй трафика на порту; е = ,£:2,...,£„) - вектор случайных компонент, образовавшихся вследствие несинхронного опроса устройств и последующей интерполяции данных.

В общем виде задача построения логической топологии состоит в поиске похожих последовательностей интенсивностей трафика среди множества всех портов в сети:

У \У2

I * I '

.Ук = Ук<! 1>'2>-Л)

где:

Y - множество значений показаний статистики по всем портам, у, - вектор показаний трафика на порту г, к - число портов в сети, п - объем анализируемой выборки.

Одним из вариантов решения задачи поиска похожих последовательностей является представление ее в виде задачи нахождения нормы в п-мерном арифметическом пространстве, т.е. отклонений между векторами из множества Y. Векторы, разница отклонений между которыми будет минимальной и не превысит некоторого порогового значения, будут относиться к связанным портам. В качестве меры сходства можно использовать следующий показатель:

и

где:

Sab - показатель, определяющий близость между значениями трафика на портах а и Ъ, являющийся критерием для определения связи между устройствами;

УЛО ~ значение отсчета с номером i на порту а; yb(J) - значение отсчета с номером i на порту Ь;

п - число отсчетов, используемых для определения связей между устройствами;

р - параметр, влияющий на степень учета отклонений в сравниваемых выборках; при р - 1 получаем сумму абсолютных значений остаточных разностей, при р = 2- сумму квадратов отклонений.

Для обеспечения возможности сравнения результатов вычислений Sab при разных значениях параметров п и р следует модифицировать последнюю формулу, чтобы получать не абсолютные, а относительные значения:

В этом случае вычисляется сумма долей, которую занимают отклонения от максимального отсчета. Связь между устройствами считается обнаруженной, если значение sab является минимальным среди всех портов в сети и не

чину отклонений между выборками, при которой они еще будут считаться связанными.

Другим вариантом решения задачи поиска похожих последовательностей является использование корреляционного анализа. Будем полагать, что имеется вероятностный эксперимент, в котором наблюдается случайная величина X (значение загрузки сетевого интерфейса коммутатора) и выполняется п независимых реализаций этого эксперимента (изменение загрузки в течение времени). Стандартный коэффициент корреляции Пирсона используется для анализа статистической зависимости между количественными переменными и для своего расчета не требует предварительного преобразования данных, но обладает следующими недостатками: более точен для оценки взаимосвязи между двумя нормально-распределенными переменными, не устойчив к выбросам.

Указанные недостатки отсутствуют у непараметрических коэффициентов корреляции, которыми являются коэффициенты ранговой корреляции Спирмена и Кендалла. Однако для их вычисления необходимо заменить зна-

превышает порогового значения s', которое определяет максимальную вели-

чения переменных в выборке их рангами. В отличие от коэффициента корреляции Пирсона, они характеризуют степень произвольной нелинейной зависимости между переменными в рамках модели «рост одной переменной приводит к росту другой»

Практическое применение рассмотренных выше коэффициентов корреляции состоит в поиске одинаковых последовательностей потоков данных в сети с целью определения связей между устройствами. Решение этой задачи осуществляется путем вычисления и сравнения выборочных коэффициентов корреляции у сетевых интерфейсов всех устройств. Связь между устройствами считается обнаруженной, если значение коэффициента корреляции является максимальным среди всех портов в сети, но не меньше порога г , которое определяет минимальное значение коэффициента корреляции, при котором связь еще может считаться установленной.

Так как значения выборочных коэффициентов корреляции являются случайными величинами, для повышения достоверности их сравнения необходимо применять статистические критерии.

В третьей главе приведены результаты исследований по разработке методов построения топологии сети и обнаружению дестабилизирующих широковещательных потоков трафика.

В результате изучения существующих методов, используемых для построения топологии сетей, сделан вывод о том, что наиболее перспективными являются методы, ориентированные на использование общих закономерностей для построения структуры сети. Среди их недостатков можно отметить:

- невысокую точность и сложность применения;

- необходимость поддерживать актуальный список всех устройств в сети для осуществления запросов к ним по протоколу SNMP;

- излишнюю нагрузку на сетевое оборудование, так как постоянные запросы «отвлекают» устройства от выполнения основных функций и, следовательно, приводят к снижению их быстродействия.

Для устранения ряда недостатков предложены следующие улучшения:

1) для получения статистической информации о функционировании устройств в сети использовать сведения из общей системы мониторинга сети, а не опрашивать устройства дополнительно;

2) автоматически, основываясь на данных системы мониторинга, составлять список устройств в сети;

3) обеспечить возможность построения топологии сети по состоянию на заданную дату и отслеживания изменений в топологии в течение времени;

4) обеспечить автоматическое определение уровней иерархии устройств в сети с выделением периферийных, промежуточных и центральных узлов;

5) обеспечить независимость метода построения топологии сети от используемой системы мониторинга и программно-аппаратных платформ;

6) для повышения точности построения топологии комбинировать показатели, на основе которых определяются связи между устройствами, и при их вычислении выполнять проверку на значимость с использованием статистических критериев.

Далее в третьей главе рассматриваются результаты испытания, в ходе которого оценивалась степень надежности обнаружения связей между устройствами и доля ошибочно обнаруженных связей. В качестве исходных данных использовались показания загрузки интерфейсов сетевых устройств в распределенной сети. При этом делалась попытка на основе показаний статистики найти связанные друг с другом порты оборудования, так как очевидно, что трафик между ними должен быть одинаковым. Использовалось пять критериев, три из которых вычислены на основе нахождения нормы при значениях р={ 1,2,3} и два на основе коэффициентов корреляции Пирсона и Кен-далла.

Исследование проводилось в соответствии со следующими этапами:

1. Запись реальной логической топологии сети передачи данных в специальном формате, разработанном для обеспечения возможности дальнейшей автоматизированной обработки.

2. Формирование параметров, используемых для автоматизированного построения топологий: объем выборок п={5,10,15,20,25,30,35,40,45,50}, варианты пороговых значений для критериев, вычисляющих норму

{0.1,0.2,0.3} и варианты пороговых значений для коэффициентов корреляции Пирсона и Кендалла г'={0.7,0.8,0.9}.

3. Выполнение с помощью специально разработанного приложения гг<1Аи1о набора тестов, заключающихся в построении топологии на основе статистических данных с помощью каждого из рассматриваемых критериев и всех возможных комбинаций параметров, а также сравнение полученной и реальной топологии из п.1 путем вычисления степени их совпадения (доли правильно обнаруженных связей) и доли ошибочно обнаруженных связей.

4. На основе результатов тестов из п.З для каждого критерия и каждого порогового значения выполняется построение зависимостей степени совпадения и доли ошибочно обнаруженных связей от объема выборки.

5. Вычисление интегральной суммы для зависимостей из п.4 отдельно для степени совпадения с реальной топологией и для доли ошибочно обнаруженных связей и затем группировка их по критериям, на основе которых они построены. В результате для каждого критерия получаем шесть интегральных сумм, три из которых характеризуют влияние разных пороговых значений на степень совпадения топологий и три - на долю ошибочно обнаруженных связей.

6. Определение оптимальных пороговых значений для каждого критерия путем сортировки интегральных сумм, присвоения им весовых коэффициентов в зависимости от того, минимальные или максимальные значения являются более предпочтительными, и затем фиксирование пороговых значений, имеющих максимальную сумму весовых коэффициентов.

7. Для каждого критерия и выбранных в п.6 оптимальных пороговых значений строятся зависимости доли правильно обнаруженных связей и доли ошибочно обнаруженных связей от объема выборки. Зависимости для тестовых выборок представлены на рис. 1 и рис. 2.

90%

804

70* 60*

• 1 —1 * модул в римости

«054 50% 20% 10% \ Lx' к —»-квадрат раэности

о ! А —куб разности

О а» —Ч—коррел. Пирсона —!—коррел. Кендалла

ОН

5 10 15 20 25 30 35 «0 »5 50 объем выборки

Рис. 2. Ошибочно обнаруженные связи По числу обнаруженных связей неплохие результаты показали все критерии, вычисляющие значение нормы, а по достоверности обнаружения лучшим оказался коэффициент корреляции Кендалла. Его ограничением является то, что объем анализируемой выборки должен быть не менее 15 значений.

Результаты проведенных исследований, дополненные алгоритмами обработки статистики, позволяют на основе анализа потоков данных в автоматическом режиме строить логическую топологию сети. Достаточно просто указать каталог для хранения файлов статистики (например, файлов в форма-

те К1Ю), 1Р-адрес и параметры учетной записи для подключения к серверу мониторинга сети и дату, на которую необходимо строить структуру сети. После этого программа в автоматическом режиме проведет анализ файлов базы данных статистики и определит: названия устройств, связи между ними, номера портов, посредством которых они соединяются, центральное устройство, которое будет находиться на вершине дерева, а также: сохранит построенное дерево в специальном формате в виде текстового файла, отобразит в графическом режиме дерево сети.

Следующей задачей является использование методов динамического построения топологии для обнаружения угроз безопасности в сети. Пример широковещательного трафика приведен на рис. 3.

10 и I

= 8 И ¡.

г ; > я

5П I ч 1

! .- «У I I

Я г": I Г ' *

МОП 04:00 Ноп 08:00 Нал 12:00 *>п 16:00 Ноп 20:00 Тие 00:00

; 6.0 Н 4.0 И 2.0М 0.0

6.0 И 4.0 Н

: 2.0 н

г ; •

Ноп 04:00 Ноп 03:00 Моп 12:00 зШ .-ДЙ. «бдаогтл- Ноп 16:00 Ноп 20:00 Тие 00:00

Ноп 04:00 Нэп 0в:00 Ноп 12:00 Ноп 16:00 Моп 20:00 Тие 00:00

Рис. 3. Распространение широковещательного трафика в сети Из рис. 3 видно, что широковещательный трафик имеет свойства, которые могут использоваться для его обнаружения:

• распространяется по всем портам коммутирующего оборудования в рамках одного сегмента;

• является исходящим трафиком для источника и входящим для всех остальных узлов сегмента.

Можно определить следующую последовательность действий по обнаружению широковещательного шторма:

1. Определение уровней иерархии устройств в сети с помощью предварительного построения структуры сети. Построение осуществляется автоматически путем сравнения интенсивностей трафика на портах коммутирующих устройств.

2. Анализ трафика на устройствах, находящихся на нижнем уровне каждой ветки дерева структуры. Это позволит, с одной стороны, проанализировать все широковещательные домены и, с другой стороны, исключить из рассмотрения сетевое оборудование уровня распределения, так как обнаружить шторм на этом уровне существенно сложнее, чем на уровне доступа. Из рассмотрения исключаются магистральные порты коммутаторов.

3. Определение списка устройств, у которых средний на порт перепад входящего трафика превысил установленный администратором сети порог с!ми„. Перепад трафика вычисляется как:

п

где:

<1 - средний перепад входящего трафика для конкретного устройства, вычисленный для момента времени, соответствующего отчету с номером г; ХО - значение отсчета с номером г на одном из активных портов; п - число активных портов.

Под «активным» следует понимать порт, на котором зафиксирован перепад входящего трафика не ниже порогового значения с!акт Введение порогового значения <1мт не позволит обнаруживать широковещательные передачи с меньшей интенсивностью, однако позволит повысить достоверность поиска. Для того, чтобы устройство могло использоваться для дальнейшего анализа, необходимо обнаружить на нем не менее трех активных портов.

4. Широковещательный трафик воздействует на все активные интерфейсы коммутаторов. Поэтому, несмотря на повышение средней загрузки, ее распределение по портам должно быть равномерным. Для определения этого

вычисляем среднеквадратическое отклонение перепада входящего трафика:

где:

- среднеквадратическое отклонение, _у(г) - значение отсчета с номером г на каком-либо активном порту, п - число активных портов.

5. Если коэффициент вариации, рассчитанный как отношение среднеквадра-тического отклонения перепада входящего трафика к среднему на порт перепаду входящего трафика меньше порогового значения с*, которое зависит от соотношения существующей нагрузки на сеть и интенсивности обнаруживаемого шторма, фиксируется начало широковещательного шторма:

сv - коэффициент вариации, являющийся мерой относительного разброса и показывающий, какую долю среднего значения величины составляет ее средний разброс.

На экспериментальной сети обнаружение штормов достигалось при с„< 0,5.

6. Момент окончания шторма определяется, как и начало, только при этом фиксируется уменьшение среднего трафика.

7. Для поиска источника шторма просматривается исходящий трафик на всех сетевых интерфейсах в сети. При этом осуществляется сравнение средних перепадов для начала и конца широковещательного шторма и перепадов трафика на портах, где ищется источник, измеренных в моменты времени,

п

2>(о-х<-1))

где:

соответствующие началу и концу шторма. В качестве критерия соответствия используем показатель, основанный на вычислении суммы квадратов разности:

5 = - ¿„.„а, )2 + «„„. - ¿„.ко* ^ >

где:

л - критерий, на основе которого делается вывод об обнаружении источника шторма;

¿/нач.) 4о„. - средние перепады трафика начала и конца шторма, измеренные для устройства на котором он был обнаружен;

¿4.нач.> ¿п.кон. - перепады трафика на порту устройства, где осуществляется поиск источника шторма.

Порт, являющийся источником шторма, должен иметь минимальное значение критерия ^ по сравнению с другими интерфейсами. Одновременно необходимо соблюдение условия, что « не превышает порогового значения ■Удш«. исключающего нахождение ложного источника шторма при его отсутствии в анализируемой выборке. При определении источника шторма необходимо различать магистральные и абонентские порты сетевого оборудования. Если источник находится за пределами устройства, где был обнаружен широковещательный трафик, то магистральный порт может быть ошибочно принят в качестве источника его распространения. Для предотвращения этого необходимо учитывать топологию сети.

В четвертой главе рассмотрен программный комплекс для анализа статистики и реализации разработанных методов. Для проведения исследования разработано пять приложений. Функциональность первого приложения приведена в таблице 1.

Таблица 1. Описание приложения ггёСакиЫе

Исходные данные Результат Выполняемые задачи

- ¡р-адрес сервера мониторинга; - имя пользователя и пароль для текстовый файл специ- - обращение к серверу мониторинга по протоколу ээЬ;

подключения к серверу монито- ального - считывание необходимого ко-

ринга; формата, личества статистических дан-

- путь к каталогу с базами дан- описываю- ных из базы данных системы

ных системы мониторинга сети; щего топо- мониторинга;

- количество анализируемых от- логию сети, - анализ полученных данных с

счетов трафика; построен- использованием выбранного

- максимальный порог для кри- ной с ис- критерия и определение топо-

териев, находящих норму; пользовани- логии сети;

- номер критерия, используемого ем исход- - сохранение результатов в тек-

для построения топологии ных данных стовом файле в специальном

формате

Программа гг(1Са1си1а1е выполняет основную работу по анализу потоков

данных между устройствами. Ее особенностями являются:

1. Возможность получения данных из любой системы мониторинга, поддерживающей базу данных ггс1, так как программа обращается к удаленной машине по протоколу ббЬ и считывает данные из указанного пользователем каталога.

2. Сохранение результатов работы в удобном формате, который может быть интерпретирован любой другой программой с целью визуализации или дальнейшего анализа. Формат файла следующий: порядковый номер дерева топологии; уровень, который занимает устройство в данном дереве; название устройства; номер порта устройства, к которому подключено нижестоящее устройство; название нижестоящего устройства; номер порта нижестоящего устройства.

Следующее приложение предназначено для визуализации, записанной в текстовом файле топологии сети. Его функциональность приведена в табл. 2.

Таблица 2. Описание приложения шЮга\\г

Исходные данные Результат Выполняемые задачи

текстовый файл, описывающий топологию сети карта сети, построенная в графическом виде считывание данных из файла с описанием топологии сети, разбор формата и визуализация в графическом виде

Пример работы программы приведен на рис. 4.

лЬ ЦгоЪей - (тйОгаи

£1К И«НР

3 И 2«~ -I

25 г= 49 И 26 ~ - \

Рис. 4. Результат работы программы rтdDгaw

Задача следующего приложения состоит в определении эффективности критерия, выбранного для построения топологии. Это производится путем сравнения обнаруженной и реальной топологии сети. Функциональность приложения приведена в табл. 3.

Таблица 3. Описание приложения ггсЮотраге

Исходные данные Результат Выполняемые задачи

- текстовый файл с описанием топологии сети, построенной с помощью определенного критерия - текстовый файл, содержащий описание реальной топологии - процент совпадения рассчитанной топологии с реальной; - процент ошибочно обнаруженных связей сравнение двух файлов с описанием структуры сети с целью определения степени их различия

Следующее приложение предназначено для автоматизации проведения большого количества испытаний критериев с разными параметрами. В результате выполнения программы гтёАШо создается текстовый файл, в каждой строчке которого приведены значения параметров, которые использовались на конкретном этапе, и результаты сравнения полученной и реальной структуры сети.

Последнее приложение, реализованное в виде консольной программы, анализирует базы данных статистики и на основе разработанных методов и алгоритмов производит обнаружение широковещательных штормов в сети. В результате работы программа определяет название устройства и порт, который явился источником шторма, а также приводит список устройств и номера портов, которые были затронуты дестабилизирующим широковещательным трафиком.

Заключение

В работе получены следующие основные результаты:

1. Разработаны алгоритмы мониторинга сети и обработки статистических данных.

2. Проведено исследование критериев, используемых для определения связей между устройствами, предложены способы повышения их эффективности.

3. Разработан метод, позволяющий в автоматическом режиме строить логическую топологию сети.

4. Предложены математические модели, используемые для обнаружения широковещательного шторма и его источника.

5. Разработан новый метод обнаружения дестабилизирующего широковещательного трафика в сети на основе анализа интенсивностей потоков данных, использующий в своей работе критерии поиска связанных портов, метод автоматизированного построения логической топологии сети, а также математические модели широковещательного шторма и позволяющий расширить возможности современных средств детектирования аномалий.

6. Разработан программный комплекс для обработки сетевой статистики и реализации созданных методов, работа которого не зависит от типа используемой системы мониторинга и программно-аппаратной платформы, на которой осуществляется сбор статистических данных.

Список публикаций по теме работы

1. Будько М.Ю. Повышение безопасности работы компьютерных сетей на основе анализа потоков данных // Известия высших учебных заведений. Приборостроение. Том 52. Номер выпуска 5. - СПб.: СПбГУ ИТМО, 2009.-С. 31-34

2. Будько М.Ю., Будько МБ. Отслеживание изменений в структуре сети и решение задач повышения безопасности на основе анализа потоков данных // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. Номер выпуска 59. - СПб.: СПбГУ ИТМО, 2009. - С. 78-82

3. Будько М.Ю., Будько М.Б. Определение источника широковещательного шторма на основе данных протокола SNMP // Сборник трудов конференции молодых ученых. Выпуск 6. Информационные технологии. - СПб.: СПбГУ ИТМО, 2009. - С. 153-157.

4. Будько М.Ю. Сравнение эффективности критериев для определения связей между устройствами в сети // Труды XV Всероссийской научно-методической конференции "Телематика'2008". - 2008. - С. 179-181.

5. Будько М.Ю. Программный комплекс для анализа сетевой статистики // Труды XII-й международной научно-практической конференции «Теория и технология программирования и защиты информации». - СПб.: СПбГУ ИТМО,2008.-С. 71-75

6. Будько М.Ю. Метод динамического построения топологии сети для решения задач обнаружения угроз безопасности // Сборник тезисов V Всероссийской межвузовской конференции молодых ученых. - СПб: СПбГУ ИТМО, 2008. - С. 98-99

7. Будько М.Ю., Будько М.Б., Гирик A.B. Заявка на патент на изобретение №2007111888/09 «Способ адаптивного управления передачей потоковых медиаданных» // Федеральная служба по интеллектуальной собственности, патентам и товарным знакам; Бюллетень №28 - Москва, 2008.

8. Будько М.Ю., Будько М.Б., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. - 2007. - № 39. - С. 319-323.

9. Будько М.Ю., Будько М.Б., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // Труды XIV Всероссийской научно-методической конференции "Телематика'2007". - 2007. - С. 430-432.

10. Будько М.Ю., Будько М.Б., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Сборник тезисов IV межвузовской конференции молодых ученых. - СПб.: СПбГУ ИТМО, 2007. - С. 60.

11. Будько М.Ю. Методы контроля качества обслуживания в мультисервис-ных сетях // Научно-технический вестник СПбГУ ИТМО. Выпуск 25. Исследования в области информационных технологий. / Главный ред. д.т.н., проф. В.Н. Васильев - СПб.: СПбГУ ИТМО, 2006 - С. 66-69.

12. Будько М.Ю. Метод обеспечения требуемого качества обслуживания в мультисервисных сетях // Труды 10-й международной конференции «Теория и технология программирования и защиты информации» - СПб.: СПбГУ ИТМО, 2006 - С. 133-137.

13. Будько М.Ю. Выбор показателей, используемых для оценки качества работы сети IP-телефонии // Труды XII Всероссийской научно-методической конференции "Телематика'2005" Том 1 / Под ред. А.О. Сергеева - СПб.: СПбГУ ИТМО, 2005 - С. 97-100.

14. Будько М.Ю. Оценка качества передачи голоса в сетях IP-телефонии // Вестник II межвузовской конференции молодых ученых. Сборник научных трудов. / Под ред. B.J1. Ткалич. Том 1 - СПб.: СПбГУ ИТМО, 2005 -С. 92-97.

15. Будько М.Ю. Оценка качества работы многоуровневой VoIP-сети // Научно-технический вестник СПбГУ ИТМО. Выпуск 19. Программирование, управление и информационные технологии / Главный редактор д.т.н., проф. В.Н. Васильев - СПб: СПбГУ ИТМО, 2005 - С. 146-149.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101. Санкт-Петербург. Саблинскаяул.. 14 Тел. (812) 233 4669 объем 1 п.л. Тираж 100 экз.

ВВЕДЕНИЕ.

1. ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ И СУЩЕСТВУЮЩИХ МЕТОДОВ ОБНАРУЖЕНИЯ УГРОЗ БЕЗОПАСНОСТИ И ОЦЕНКИ КАЧЕСТВА РАБОТЫ СЕТИ.

1.1. Классификация компьютерных сетей.

1.1.1. Классификация сетей связи и определение границ исследования

1.1.2. Схема построения сети связи уровня MAN с использованием технологии Ethernet.

1.2. Обзор методов обнаружения угроз безопасности в сети.

1.2.1. Направления обеспечения информационной безопасности.

1.2.2. Современное состояние исследований обнаружения вторжений в вычислительных сетях.

1.2.3. Классификация сетевых атак.

1.2.4. Методы противодействия угрозам сетевой безопасности.

1.3. Анализ стандартов, используемых для оценки качества работы сети

1.3.1. Обзор существующих методов оценки качества передачи медиа-данных.

1.3.2. Методы оценки качества передачи видео.

1.4. Выводы.1.

1.5. Постановка задачи исследования.

2. ОПИСАНИЕ ИСПОЛЬЗУЕМЫХ МЕТОДОВ ИССЛЕДОВАНИЯ, МОНИТОРИНГА И КОНТРОЛЯ КАЧЕСТВА

ТЕЛЕКОММУНИКАЦИОННЫХ УСЛУГ.

2.1. Модели контроля качества телекоммуникационных услуг.

2.1.1. Контроль качества телекоммуникационных услуг.

2.1.2. Функции и механизмы управления качеством обслуживания.

2.2. Методы мониторинга работы сети.

2.2.1. Стандарты управления сетью.

2.2.2. Классификация по объектам мониторинга.

2.3. Математические методы, используемые для анализа потоков данных в сети.

2.3.1. Анализ исходных данных.

2.3.2. Поиск похожих последовательностей путем вычисления нормы в 11-мерном арифметическом пространстве.

2.3.3. Корреляционные методы обнаружения похожих последовательностей трафика.

2.3.4. Критерии проверки гипотез о значениях коэффициента корреляции

2.4. Выводы.

3. МЕТОДЫ ПОСТРОЕНИЯ ТОПОЛОГИИ СЕТИ И ОБНАРУЖЕНИЯ ШИРОКОВЕЩАТЕЛЬНЫХ ШТОРМОВ НА ОСНОВЕ АНАЛИЗА ПОТОКОВ ДАННЫХ.

3.1. Описание используемого метода мониторинга сети.

3.2. Метод автоматического построения топологии сети для решения задач обнаружения угроз безопасности.

3.2.1. Актуальность автоматического построения топологии сети.

3.2.2. Существующие методы построения топологии сети.

3.2.3. Описание метода динамического построения топологии сети на основе анализа статистики.

3.3. Метод обнаружения дестабилизирующего широковещательного трафика в сети.

3.3.1. Роль широковещательного трафика в сетях передачи данных.

3.3.2. Виды широковещательного трафика в сетях передачи данных.

3.3.3. Существующие методы обнаружения и ограничения широковещательных потоков данных в сети.

3.3.4. Описание предлагаемого метода обнаружения дестабилизирующего широковещательного трафика в сети.

3.4. Выводы.

4. РЕАЛИЗАЦИЯ И СПОСОБЫ ИСПОЛЬЗОВАНИЯ РАЗРАБОТАННЫХ МЕТОДОВ ПОСТРОЕНИЯ ТОПОЛОГИИ СЕТИ И ОБНАРУЖЕНИЯ ШИРОКОВЕЩАТЕЛЬНЫХ ШТОРМОВ.

4.1. Программный комплекс для анализа статистики и реализации разработанных методов.

4.2. Выводы.

Актуальность темы диссертационного исследования. Большинство современных компьютерных сетей состоят из сегментов, объединенных на втором уровне модели OSI. Это упрощает адресацию и позволяет узлам обмениваться данными без применения протоколов сетевого уровня. Самыми нестабильными участками в таких сетях являются сегменты уровня доступа. Они больше всего подвержены дестабилизирующему воздействию конечных узлов, так как их несанкционированные действия могут привести к неработоспособности всего сегмента. Повышение защищенности и надежности работы этого уровня является одной из важнейших задач.

В зависимости от размера сети и политики проектирования количество узлов, работающих в одном сегменте, может доходить до тысячи. Это упрощает проведение атак, направленных на вывод из строя оборудования и каналов связи. Использование технологии виртуальных сетей (VLAN) позволяет уменьшить размеры сегментов, но не избавиться от них вовсе.

Наличие единого широковещательного домена внутри сегмента приводит к тому, что любой пакет, отправленный на широковещательный или групповой адрес, размножается коммутаторами по всем направлениям и должен быть обработан каждым узлом, даже если он ему не предназначен. В результате снижается пропускная способность каналов связи, повышается вычислительная нагрузка на узлы сети и возникает возможность дестабилизировать работу всего сегмента. Следовательно, является актуальной задача обнаружения воздействий на сеть, заключающихся в интенсивной многоадресной рассылке потоков данных, и снижения их влияния на качество предоставляемых услуг. В качестве источников таких воздействий могут выступать:

- действия злоумышленников, например, атака arp-flood на таблицу тас-адресов коммутаторов;

- сбои в работе сетевого оборудования или протоколов, например, широковещательный шторм, вызванный некорректной работой протокола 8ТР;

- нежелательные приложения, производящие интенсивную широковещательную рассылку, например: широковещательные чаты и сетевые игры.

Целью диссертационной работы является повышение защищенности и надежности функционирования компьютерной сети за счет автоматизации процесса обнаружения дестабилизирующего широковещательного трафика на основе анализа сетевой статистики.

Задачи исследований. Поставленная цель достигается решением следующих задач:

1. Разработка алгоритмов мониторинга сети и обработки статистических данных.

2. Исследование критериев, используемых для поиска похожих последовательностей трафика, с целью автоматизации процесса определения связей между устройствами в сети.

3. Разработка метода, позволяющего в автоматическом режиме строить логическую топологию сети, для определения зоны поражения и источника атаки.

4. Разработка математических моделей показателей, используемых для обнаружения широковещательного шторма и его источника.

5. Разработка метода обнаружения дестабилизирующего широковещательного трафика в сети на основе анализа интенсивностей потоков данных, позволяющего расширить возможности современных средств выявления аномалий.

Методы исследования базируются на теории вероятностей и математической статистики, теории алгоритмов, теории вычислительных систем и сетей.

Научная новизна результатов, полученных автором, заключается в следующем:

1. Разработан метод, позволяющий в автоматическом режиме строить логическую топологию сети.

2. Предложены математические модели, используемые для поиска широковещательного шторма и его источника.

3. Разработан новый метод обнаружения интенсивных широковещательных потоков трафика в сети.

Практическая значимость работы. Предложенные методы и разработанные приложения повышают безопасность и расширяют возможности по обнаружению аномалий благодаря выявлению дестабилизирующих широковещательных потоков трафика в сети. Созданные механизмы позволяют повысить информированность системных администраторов и специалистов по сетевой безопасности о процессах, происходящих в компьютерных сетях. Результаты проведенных исследований могут быть использованы в системах мониторинга и сбора статистики в качестве основы для создания новых функциональных модулей. Разработанные методы могут применяться для динамического построения топологии, что позволяет автоматизировать процессы обнаружения и локализации источников угроз безопасности, связанных с несанкционированным воздействием на сетевую инфраструктуру или неисправностью оборудования.

Реализация и внедрение результатов работы. Результаты диссертационной работы применяются на практике при эксплуатации компьютерной сети организации оборонно-промышленного комплекса ОАО «Научно-производственное предприятие «Радар ммс». Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения», применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере «Разработка способа и системы адаптивного управления передачей потоковых данных», а также в учебных курсах кафедры Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО по разделу специальной дисциплины для подготовки специалистов по организации и технологии защиты информации по специальности № 090103.65. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».

Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 9 всероссийских и международных конференциях и семинарах. В 2007/2008 учебном году Будько М.Ю. назначена стипендия Президента Российской Федерации. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

Публикации. По теме диссертационной работы опубликовано 15 печатных работ, в том числе 5 статей в научных журналах и сборниках, 3 из которых входят в перечень ведущих периодических изданий, 9 статей в трудах научных конференций. Получено решение Роспатента о выдаче патента на изобретение.

4.2. Выводы

В настоящей главе рассмотрены алгоритмы, которые в автоматическом режиме проводят анализ файлов базы данных статистики и строят топологию сети, помогают определить наиболее точный критерий для обнаружения связей между устройствами, осуществляют поиск широковещательных штормов. Общей особенностью разработанных методов является то, что для их применения не требуется сохранять и накапливать информацию об используемом сетевом оборудовании и схемах его включения. Достаточно просто указать каталог для хранения файлов статистики, 1Р-адрес и параметры учетной записи для подключения к серверу мониторинга сети, дату, на которую необходимо производить анализ.

Разработаны следующие приложения:

- ггс1Са1си1а1е - выполняет построение топологии сети на заданную дату с использованием выбранных критериев и сохраняет ее в специальном формате;

- ггсЮга\у - визуализирует топологию сети в графическом виде, считывая топологию из файла, созданного приложением ггс!Са1си1а1е;

- ггёСотраге - осуществляет сравнение двух топологий, представленных в формате приложения ггс1Са1си1а1е, и определяет процент совпадения топологий и процент ошибочно обнаруженных связей;

- ггс1Аи1:о - позволяет автоматизировать процесс построения большого числа топологий с разными значениями параметров для поиска их оптимальных значений и обеспечения наиболее точного построения топологии сети;

- ггс^огт — обнаруживает источник дестабилизирующего широковещательного трафика в сети.

ЗАКЛЮЧЕНИЕ

Предлагаемые методы обнаружения дестабилизирующих широковещательных потоков трафика в сети и метод автоматического построения топологии сети могут получить широкое практическое распространение, так как в условиях высокой конкуренции на рынке телекоммуникационные компании стремятся обеспечить лучшее качество своих услуг связи. Особенно актуально это для беспроводных сетей в условиях ограниченной полосы пропускания. В работе реализованы только основные возможности предлагаемых методов, однако уже на этом этапе они могут быть применены в работе реальной сети.

Актуальность обусловлена тем, что будущее сферы телекоммуникаций состоит в создании конвергентных сетей связи. Это так называемая модель инфокоммуникаций. В соответствии с ней все источники и приемники информации будут объединены в единую сеть, имеющую механизмы для передачи любых данных. Следовательно, необходимо уделять большое внимание всем этапам построения и функционирования сетей от их проектирования и отслеживания структуры до понимания процессов, которые протекают в нагруженной тысячами пользователей сетевой инфраструктуре.

В работе получены следующие основные результаты:

1. Разработаны алгоритмы мониторинга сети и обработки статистических данных.

2. Проведено исследование критериев, используемых для определения связей между устройствами, предложены способы повышения их эффективности.

3. Разработан метод, позволяющий в автоматическом режиме строить логическую топологию сети.

4. Предложены математические модели, используемые для обнаружения широковещательного шторма и его источника.

5. Разработан новый метод обнаружения дестабилизирующего широковещательного трафика в сети на основе анализа интенсивностей потоков данных, использующий в своей работе критерии поиска связанных портов, метод автоматизированного построения логической топологии сети, а также математические модели широковещательного шторма и позволяющий расширить возможности современных средств детектирования аномалий.

6. Разработан программный комплекс для обработки сетевой статистики и реализации созданных методов, работа которого не зависит от типа используемой системы мониторинга и программно-аппаратной платформы, на которой осуществляется сбор статистических данных.

1. Уэнделл Одом. Компьютерные сети. Первый шаг. М.: «Вильяме», 2005.-432 с.

2. Сетевые протоколы индекс Электронный ресурс., [сайт]. [2009]. http://ш.gentoo-wiki.com/wiki/Ceтeвыeпpoтoкoлыиндeкc, (дата обращения: 01.10.09).

3. The Institute of Electrical and Electronics Engineers, Inc. Carrier Sense Multiple Access with Collision Detection (CSMA/CD) Access Method and Physical Layer Specifications. 2008. - 671 c.

4. ITU-T Recommendation X.200. Information technology Open systems interconnection - Basic reference model: The basic model. — 1994. - 60 c.

5. ГОСТ P ИСО/МЭК 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. 2000. - 62 с.

6. The Institute of Electrical and Electronics Engineers, Inc. Virtual Bridged Local Area Networks. 2006. - 303 c.

7. Жигулин Г.П., Новосадов С.Г., Яковлев А.Д. Информационная безопасность. СПб: СПб ГУ ИТМО. 2003. - 340 с.

8. Герасименко В.А., Малюк A.A. Основы защиты информации. М.: МИФИ. - 1997.-537 с.

9. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. М.: ИНФРА-М, 2001. 304 с.

10. Федеральный закон РФ от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

11. Федеральный закон РФ от 07.07.2003 N 126-ФЗ «О связи».

12. Федеральный закон РФ от 18.12.2006 N 231-Ф3 «О введении в действие части четвертой Гражданского кодекса РФ».

13. Закон РФ от 21.07.93 N 5484-1 «О государственной тайне».

14. Закон РФ от 27.11.92 N 4015-1 «Об организации страхового дела в РФ».

15. Федеральный закон РФ от 29.07.04 N 98-ФЗ «О коммерческой тайне».

16. Федеральный закон РФ от 22.10.04 N 125-ФЗ «Об архивном деле».

17. Алексенцев А.И. Конфиденциальное делопроизводство. -М.: ЗАО «Бизнес-школа» «Интел-Синтез». -2001. 160 с.

18. Северин В.А. Правовое обеспечение информационной безопасности предприятия. М.: Городец. - 2000. - 192 с.

19. Торокин А.А. Основы инженерно-технической защиты информации. — М.: «Ось-89», 1998. 336 с.

20. Классификация атак Электронный ресурс. // Библиотека I2R. [сайт]. [2002]. URL: http://www.i2r.ru/static/450/out14782.shtnil, (дата обращения: 01.10.09).

21. S. Bellovin. RFC 1948 Defending Against Sequence Number Attacks. California: The Internet Engineering Task Force. — 1996. — 6 c.

22. B. Kantor. RFC 1282 BSD Rlogin. California: The Internet Engineering Task Force. 1991.-5 c.

23. TCP hijacking Электронный ресурс., [сайт]. [2009]. http://ru.wikipedia.org/wiki/TCPhijacking, (дата обращения: 01.10.09).

24. ARP-spoofing Электронный ресурс., [сайт]. [2009]. http://ru.wikipedia.org/wiki/ARP-spoofing, (дата обращения: 01.10.09)

25. M. Handley, Е. Rescorla. RFC4732 Internet Denial-of-Service Considerations. California: The Internet Engineering Task Force, 2006. - 38 c.

26. G. Malkin, T. LaQuey Parker. RFC 1983 Internet Users' Glossary. США: The Internet Engineering Task Force, 1996. 53 c.

27. R. Braden. RFC 1122 Requirements for Internet Hosts — Communication Layers. California: The Internet Engineering Task Force, 1989. 116 c.

28. B. Fraser. RFC2196. Site Security Handbook. Fremont: The Internet Engineering Task Force. 1997 - 75 c.

29. Kwitt Roland, Hofmann Ulrich, Unsupervised Anomaly Detection in Network Traffic by Means of Robust PCA // Computing in the Global Information Technology Guadeloupe, 2007. - 37 c.

30. Philip Chan, Matthew Mahoney, Muhammad Arshad , Learning Rules and Clusters for Anomaly Detection in Network Traffic // Managing Cyber Threats: Issues, Approaches and Challenges, Springer, 2005. 19 c.

31. ITU-T, "Recommendation P. 11. Effect of transmission impairments", Хельсинки, ITU, 1993.-33 c.

32. ITU-T, "Recommendation P.800. Methods for subjective determination of transmission quality", Женева, ITU, 1996. -38 c.

33. ITU-T, "Recommendation P. 830. Subjective performance assessment of telephone-band and wideband digital codecs", Хельсинки, ITU, 1996. 26 c.

34. ITU-T, "Recommendation P.861. Objective quality measurement of telephone-band (300 3400 Hz) speech codecs", Женева, ITU, 1996. - 42 c.

35. ITU-T, "Recommendation G.l 13. Transmission impairments", Хельсинки, ITU, 1996.-33 c.

36. ITU-T, "Recommendation G.l 14. One-way transmission time", Хельсинки, ITU, 1996.-20 c.

37. Just-noticeable difference Электронный ресурс., [сайт]. [2009]. http://en.wikipedia.org/wiki/Just-noticeabledifference, (дата обращения: 01.10.09).

38. Росляков A.B., Самсонов М.Ю. Модели и методы оценки качества услуг IP-телефонии // Электросвязь. -2002. -№1. С. 15-18.

39. Будько М.Ю. Оценка качества передачи голоса в сетях IP-телефонии // Вестник II межвузовской конференции молодых ученых. Сборник научных трудов. / Под ред. В.Л. Ткалич. Том 1 СПб.: СПбГУ ИТМО, 2005 -С. 92-97.

40. Будько М.Ю. Выбор показателей, используемых для оценки качества работы сети IP-телефонии // Труды XII Всероссийской научно-методической конференции "Телематика'2005" Том 1 / Под ред. А.О. Сергеева СПб.: СПбГУ ИТМО, 2005 - С. 97-100.

41. Будько М.Ю. Оценка качества работы многоуровневой VoIP-сети // Научно-технический вестник СПбГУ ИТМО. Выпуск 19. Программирование, управление и информационные технологии / Главный редакторд.т.н., проф. В.Н. Васильев СПб: СПбГУ ИТМО, 2005 - С. 146-149.

42. Айдарханов Д.М., "Программный коммутатор SoftSwitch в сетях IP-телефонии", Мобильные системы, 2002, №12. 5 с.

43. Бомбелли Ж., "Качество видео в системах с коммутацией потоков", Те-ле-Спутник, 2005, №10(120).

44. Теория вероятностей и ее инженерные приложения: Учеб. пособие для студ. втузов / Е.С.Вентцель, JI.A.Овчаров. Зе изд., перераб. и доп. - М.: Издательский центр «Академия», 2003. - 464 е.

45. Гольдштейн Б.С., Пинчук A.B., Суховицкий А.Д., "IP-телефония", Москва, Радио и связь, 2001. 336 с.

46. ITU-T, "Recommendation Е.430. Quality of service framework", Женева, ITU, 1992.-5 c.

47. ITU-T, "Recommendation E.800. Terms and definitions related to quality of service and network performance including dependability", Хельсинки, ITU, 1994.-57 c.

48. ITU-T, "Recommendation 1.350: ISDN General Aspects of Quality of Service and Network Performance in Digital Networks, including ISDNs", Хельсинки, ITU, 1993. - 17 c.

49. ITU-T, "Recommendation X.641. Information technology Quality of service framework", Женева, ITU, 1997. - 57 c.

50. ITU-T, "Recommendation X.642. Information technology Quality of service - Guide to methods and mechanisms", Женева, ITU, 1998. - 35 c.

51. Засецкий A.B., Иванов А.Б., Постников С.Д., Соколов И.В., "Контроль качества в телекоммуникациях и связи. Часть II." Москва, Syrus systems, 2001.-336 с.

52. ISO/IEC, "JTC1/SC33: Information Technology: Open Distributed Processing Reference Model - Quality of Service", 1998.

53. Юдицкий С.С., Швецов В.И., " Увидеть слона целиком. Часть I", Сети и системы связи, 2000, №10.

54. Столингс В., "Современные компьютерные сети. 2-е изд.", СПб., Питер, 2003.-783 с.

55. D-Link, "Учебное пособие: Коммутаторы локальных сетей D-Link", Москва, D-Link, 2004. 114 с.

56. D-Link Corporation, "User Manual. Product Model: xStack DES-3500 Series Layer 2 Managed Stackable Fast Ethernet Switch. Release 5.1", D-Link Corporation, 2008. 328 c.

57. IEEE, "802.1 AB. IEEE Standard for Local and metropolitan area networks. Station and Media Access Control Connectivity Discovery", New York, 2005.- 158 c.

58. ITU-T, "Recommendation M.3010: Principles for a telecommunications management network", Женева, ITU, 2000. 44 c.

59. ITU-T, "Recommendation M.3400: TMN management functions", Женева, ITU, 2000.-110 c.

60. Nagios is the industry-standard in IT infrastructure monitoring Электронный ресурс., [сайт]. [2009]. http://www.nagios.org, (дата обращения: 01.10.09).

61. About SmokePing Электронный ресурс., [сайт]. [2009]. http://oss.oetiker.ch/smokeping, (дата обращения: 01.10.09).

62. Postel Jon (editor), "Transmission control protocol. RFC 793", California, USC/Information Sciences Institute, 1981.- 85 c.

63. TIA, "Telecommunications IP Telephony Equipment, Voice Quality Recommendations for IP Telephony", Арлингтон, TIA Standards and Technology Department, 2001.

64. D-Link xStack DES-3500 Series Layer2 Managed Stackable Fast Ethernet Switch CLI Manual. Release 5.1. 2008 -318 c.

65. J.D. Case, M. Fedor, M.L. Schoffstall, J. Davin. RFC 1157 A Simple Network Management Protocol (SNMP). California: The Internet Engineering Task Force, 1990.-36 c.

66. C. Lonvick. RFC3164. The BSD syslog Protocol. Fremont: The Internet Engineering Task Force. 2001 - 29 c.

67. Cacti: The Complete RRDTool-based Graphing Solution Электронный pe-сурс. [сайт]. [2009]. http://www.cacti.net, (дата обращения: 01.10.09).

68. Tobi Oetiker's MRTG The Multi Router Traffic Grapher Электронный ресурс. [сайт]. [2009]. http://oss.oetiker.ch/mrtg, (дата обращения: 01.10.09).

69. Van den Bogaerdt A. RRDtool tutorial Электронный ресурс., [сайт]. [2009]. http://oss.oetiker.ch/rrdtool/tut/rrdtutorial.en.html, (дата обращения: 01.10.09).

70. Казиев В.М. Введение в математику и информатику Санкт-Петербург: БИНОМ. Лаборатория знаний, Интернет-университет информационных технологий - ИНТУИТ.ру, 2007. - 304 с.

71. Будько М.Ю. Метод обеспечения требуемого качества обслуживания в мультисервисных сетях // Труды 10-й международной конференции

72. Теория и технология программирования и защиты информации» -СПб.: СПбГУ ИТМО, 2006 С. 133-137.

73. Будько М.Ю. Метод динамического построения топологии сети для решения задач обнаружения угроз безопасности // Сборник тезисов V Всероссийской межвузовской конференции молодых ученых. — СПб: СПбГУ ИТМО, 2008. С. 98-99

74. Минько А.А. Статистический анализ в MS Excel. М.: Издательский дом «Вильяме», 2004. 448 с.

75. Корреляция Электронный ресурс., [сайт]. [2009]. http://ru.wikipedia.org/wiki/Koppeляция, (дата обращения: 01.10.09).

76. Бочканов С. Корреляция Электронный ресурс., [сайт]. [2009]. http://alglib.sources.ru/statistics/correlation.php, (дата обращения: 01.10.09).

77. IEEE, "802.1 АВ. IEEE Standard for Local and metropolitan area networks. Station and Media Access Control Connectivity Discovery", New York, 2005.

78. Link Layer Discovery Protocol (LLDP). Santa Clara: Extreme Networks, Inc. -2006.-5 c.

79. Extreme Networks. Электронный ресурс., [сайт]. [2009]. http://www.extremenetworks.com, (дата обращения: 01.10.09).

80. Cisco Discovery Protocol. Электронный ресурс., [сайт]. [2009]. http://en.wikipedia.org/wiki/CiscoDiscoveryProtocol, (дата обращения: 01.10.09).

81. Брайан Хилл. Полный справочник по Cisco. М.: «Вильяме», 2007. -1088 с.

82. Nortel Discovery Protocol. Электронный ресурс., [сайт]. [2009]. http://en.wikipedia.org/wiki/NortelDiscoveryProtocol, (дата обращения: 01.10.09).

83. Будько М.Ю. Сравнение эффективности критериев для определения связей между устройствами в сети // Труды XV Всероссийской научно-методической конференции "Телематика'2008". 2008. - С. 179-181.

84. Галина Дикер-Пилдуш. Сети ATM корпорации Cisco. М.: «Вильяме», 2004.-880 с.

85. Стив Мак-Квери, Келли Мак-Грю, Стивен Фой. Передача голосовых данных по сетям Cisco Frame Relay, ATM и IP. M.: «Вильяме», 2002. -512 с.

86. Средства анализа и оптимизации локальных сетей. Электронный ресурс. [сайт]. [2009].http://networks.hoha.ru/otimizlokseteti/otimizlokseteti03.htm, (дата обращения: 01.10.09).

87. J. Моу. RFC2328. OSPF Version 2. Fremont: The Internet Engineering Task Force. 1998-244 c.

88. G. Malkin. RFC2453. RIP Version 2. Fremont: The Internet Engineering Task Force. 1998-39 c.

89. Семенов Ю.А. Телекоммуникационные технологии. Электронный ресурс. [сайт]. [2009]. http://book.itep.ru/4/42/nbio423.htm, (дата обращения: 01.10.09).

90. The Institute of Electrical and Electronics Engineers, Inc. Media Access Control (MAC) Bridges. 2004. - 281 c.

91. Марк Барнетт. Спасение медленной сети. Электронный ресурс., [сайт]. [2009]. http://www.osp.ru/text/print/302/1156307.html, (дата обращения: 01.10.09).

92. Дмитрий Бугрименко. Проблемы безопасности в беспроводных ЛВС IEEE 802.11 и решения Cisco Wireless Security Suite. 2002. - 47 с.

93. Кульгин M. Технологии корпоративных сетей. Энциклопедия СПб: Издательство Питер, 2000. - 704 с.

94. Дэвид Хьюкаби, Стив Мак-Квери. Руководство Cisco по конфигурированию коммутаторов Catalyst. M.: «Вильяме», 2004. - 560 с.

95. Олифер И.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. 3-е изд. СПб.: Питер. 2006.-958 с.

96. Будько М.Ю. Повышение безопасности работы компьютерных сетей на основе анализа потоков данных // Известия высших учебных заведений. Приборостроение. Том 52. Номер выпуска 5. СПб.: СПбГУ ИТМО, 2009.-С. 31-34

97. Будько М.Ю., Будько М.Б. Определение источника широковещательного шторма на основе данных протокола SNMP // Сборник трудов конференции молодых ученых. Выпуск 6. Информационные технологии. -СПб.: СПбГУ ИТМО, 2009. С. 153-157.

98. Будько М.Ю. Программный комплекс для анализа сетевой статистики // Труды ХН-й международной научно-практической конференции «Теория и технология программирования и защиты информации». СПб.: СПбГУ ИТМО, 2008. - С. 71-75

99. Будько М.Ю., Будько М.Б., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. 2007. - № 39. - С. 319-323.

100. Будько М.Ю., Будько М.Б., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // Труды XIV Всероссийской научно-методической конференции "Телематика'2007". 2007. - С. 430-432.

101. Государственный комитет СССР по управлению качеством продукции и стандартам, "ГОСТ 19.701-90. Единая система программной документации. Схемы алгоритмов, программ, данных и систем. Условные обозначения и правила выполнения", 1992.