Ч а с т ь V i молодой ученый


 Алгоритм обработки пакета



Pdf көрінісі
бет18/90
Дата18.11.2022
өлшемі6,09 Mb.
#51157
1   ...   14   15   16   17   18   19   20   21   ...   90
Байланысты:
moluch 412 ch6 (1)

 2. Алгоритм обработки пакета
Рис.
 3. Алгоритм выгрузки данных во внешнюю БД


“Young Scientist”  # 17 (412)  April 2022
363
Information Technology
Внешняя БД имеет 2 типа таблиц: с данными и счётчи-
ками пакетов. На рисунке 4 представлен пример этих таблиц 
packets и packets_cnt соответственно. Отдельные таблицы для 
счётчиков необходимы для ведения статистики на разных вре-
менных интервалах [6]: 1) на всём интервале, 2) последний 
месяц, 3) последняя неделя, 4) последний день, 5) последний 
час, 6) последние 15 минут, 7) последняя минута.
Для каждой таблицы счётчиков в определённый интервал 
запускается выгрузка значений счётчиков в таблицу с большим 
временным интервалом. Основой вывода статистики служат SQL 
запросы к нужной временной таблице. Такой способ удобен тем, 
что всю работу фильтрования результата можно поручить СУБД.
Например, подвести статистику по количеству пакетов всех 
сохранённых протоколов:
SELECT snifstat.packets.proto, sum(cnt) AS s
FROM snifstat.packets JOIN snifstat.packets_cnt
ON snifstat.packets.md5 = snifstat.packets_cnt.md5
GROUP BY proto
ORDER BY s desc;
Или посмотреть данные всех пакетов (рисунок 5):
SELECT * FROM snifstat.packets.
Рис.
 4. Таблицы статистики
Рис.
 5. Часть перехваченных пакетов
Рис.
 6. Таблица Правил
Наиболее эффективное средство локализации аномалии 
в сети — это блокировка источника этой аномалии. Для нашей 
задачи использованы аппаратные средства телекоммуникаци-
онного оборудования в сочетании с внешним управлением по 
протоколу SNMP [9]. Протокол SNMP позволяет получать зна-
чения элементов MIB управляемого устройства. MIB — древо-
видная база параметров различных типов, среди которых при-
сутствуют INTEGER, STRING, TIME [10].
Теперь рассмотрим алгоритм обнаружения аномалий [7]. 
Основой алгоритма является анализ статистических данных, 
а именно названия протоколов и типов сообщений. При появ-
лении в статистике нового протокола или новых типов сооб-
щений уже известного протокола происходит информирование 
системного администратора по протоколу syslog.
Такой способ информирования очень удобен, а также упро-
щает интеграцию с общей системой мониторинга предприятия. 
Администратор производит анализ данных пакетов и прини-
мает решение о том, к какой группе опасности отнести данные 
тип пакетов [7]:
1) полностью безопасные пакеты — пакет не будет рассма-
триваться как угроза;
2) безопасные от конкретных хостов — пакет считается 
безопасным, если исходит от конкретного хоста или группы хо-
стов, иначе — блокировка источника;


«Молодой учёный» . № 17 (412)  . Апрель 2022 г.


Достарыңызбен бөлісу:
1   ...   14   15   16   17   18   19   20   21   ...   90




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет