Ч а с т ь V i молодой ученый
Алгоритм обработки пакета
жүктеу/скачать 6,09 Mb. Pdf көрінісі
|
moluch 412 ch6 (1)
| 2. Алгоритм обработки пакета
Рис. 3. Алгоритм выгрузки данных во внешнюю БД “Young Scientist” . # 17 (412) . April 2022 363 Information Technology Внешняя БД имеет 2 типа таблиц: с данными и счётчи- ками пакетов. На рисунке 4 представлен пример этих таблиц packets и packets_cnt соответственно. Отдельные таблицы для счётчиков необходимы для ведения статистики на разных вре- менных интервалах [6]: 1) на всём интервале, 2) последний месяц, 3) последняя неделя, 4) последний день, 5) последний час, 6) последние 15 минут, 7) последняя минута. Для каждой таблицы счётчиков в определённый интервал запускается выгрузка значений счётчиков в таблицу с большим временным интервалом. Основой вывода статистики служат SQL запросы к нужной временной таблице. Такой способ удобен тем, что всю работу фильтрования результата можно поручить СУБД. Например, подвести статистику по количеству пакетов всех сохранённых протоколов: SELECT snifstat.packets.proto, sum(cnt) AS s FROM snifstat.packets JOIN snifstat.packets_cnt ON snifstat.packets.md5 = snifstat.packets_cnt.md5 GROUP BY proto ORDER BY s desc; Или посмотреть данные всех пакетов (рисунок 5): SELECT * FROM snifstat.packets. Рис. 4. Таблицы статистики Рис. 5. Часть перехваченных пакетов Рис. 6. Таблица Правил Наиболее эффективное средство локализации аномалии в сети — это блокировка источника этой аномалии. Для нашей задачи использованы аппаратные средства телекоммуникаци- онного оборудования в сочетании с внешним управлением по протоколу SNMP [9]. Протокол SNMP позволяет получать зна- чения элементов MIB управляемого устройства. MIB — древо- видная база параметров различных типов, среди которых при- сутствуют INTEGER, STRING, TIME [10]. Теперь рассмотрим алгоритм обнаружения аномалий [7]. Основой алгоритма является анализ статистических данных, а именно названия протоколов и типов сообщений. При появ- лении в статистике нового протокола или новых типов сооб- щений уже известного протокола происходит информирование системного администратора по протоколу syslog. Такой способ информирования очень удобен, а также упро- щает интеграцию с общей системой мониторинга предприятия. Администратор производит анализ данных пакетов и прини- мает решение о том, к какой группе опасности отнести данные тип пакетов [7]: 1) полностью безопасные пакеты — пакет не будет рассма- триваться как угроза; 2) безопасные от конкретных хостов — пакет считается безопасным, если исходит от конкретного хоста или группы хо- стов, иначе — блокировка источника; |