Алгоритм обработки пакета

“Young Scientist” .  # 17 (412) .  April 2022
363
Information Technology
Внешняя БД имеет 2 типа таблиц: с данными и счётчи-
ками пакетов. На рисунке 4 представлен пример этих таблиц 
packets и packets_cnt соответственно. Отдельные таблицы для 
счётчиков необходимы для ведения статистики на разных вре-
менных интервалах [6]: 1) на всём интервале, 2) последний 
месяц, 3) последняя неделя, 4) последний день, 5) последний 
час, 6) последние 15 минут, 7) последняя минута.
Для каждой таблицы счётчиков в определённый интервал 
запускается выгрузка значений счётчиков в таблицу с большим 
временным интервалом. Основой вывода статистики служат SQL 
запросы к нужной временной таблице. Такой способ удобен тем, 
что всю работу фильтрования результата можно поручить СУБД.
Например, подвести статистику по количеству пакетов всех 
сохранённых протоколов:
SELECT snifstat.packets.proto, sum(cnt) AS s
FROM snifstat.packets JOIN snifstat.packets_cnt
ON snifstat.packets.md5 = snifstat.packets_cnt.md5
GROUP BY proto
ORDER BY s desc;
Или посмотреть данные всех пакетов (рисунок 5):
SELECT * FROM snifstat.packets.
Рис.
 4. Таблицы статистики
Рис.
 5. Часть перехваченных пакетов
Рис.
 6. Таблица Правил
Наиболее эффективное средство локализации аномалии 
в сети — это блокировка источника этой аномалии. Для нашей 
задачи использованы аппаратные средства телекоммуникаци-
онного оборудования в сочетании с внешним управлением по 
протоколу SNMP [9]. Протокол SNMP позволяет получать зна-
чения элементов MIB управляемого устройства. MIB — древо-
видная база параметров различных типов, среди которых при-
сутствуют INTEGER, STRING, TIME [10].
Теперь рассмотрим алгоритм обнаружения аномалий [7]. 
Основой алгоритма является анализ статистических данных, 
а именно названия протоколов и типов сообщений. При появ-
лении в статистике нового протокола или новых типов сооб-
щений уже известного протокола происходит информирование 
системного администратора по протоколу syslog.
Такой способ информирования очень удобен, а также упро-
щает интеграцию с общей системой мониторинга предприятия. 
Администратор производит анализ данных пакетов и прини-
мает решение о том, к какой группе опасности отнести данные 
тип пакетов [7]:
1) полностью безопасные пакеты — пакет не будет рассма-
триваться как угроза;
2) безопасные от конкретных хостов — пакет считается 
безопасным, если исходит от конкретного хоста или группы хо-
стов, иначе — блокировка источника;

«Молодой учёный» . № 17 (412)  . Апрель 2022 г.

жүктеу/скачать 6,09 Mb.

Достарыңызбен бөлісу: