Содержание к диссертации
Введение
Глава 1. Аналитический обзор видов временных рядов и методов их исследования 8
1.1 Анализ видов трафика сети, представленных в форме временного ряда 8
L2 Применение модифицированного алгоритма главных компонент «Гусеница» к фильтрации шумов временного ряда 12
1.3 Особенности метода разложения в ряд Фурье для анализа временных рядов 14
1.4 Метод скользящего среднего 16
1.5 Обзор программных средств анализа временных рядов 17
1.6 Существующие подходы к контролю сетевого трафика 19
1.7 Выводы 20
Глава 2, Метод полного анализа и управления временным рядом на примере сетевого трафика 22
2.1 Математическая модель сетевого трафика 22
2.2 Выделение гармонической составляющей 26
23 Фильтрация шумов с помощью вейвлет-анализа 28
2.4 Удаление незначащих гармоник с помощью критерия Фишер &.ЗЗ
2.5 Нечёткий метод контроля за отклонениями от нормального состояния системы 33
2,6, Применение нечетких методов для контроля режима и оценивания опасности 35
2.7 Выводы 39
Глава 3. Нечеткое оценивание опасности режима 40
3.1 Общие характеристики сетевых атак 40
3.2 Различные виды атак на компьютерную сеть 41
3.2 Определение уровня опасности отклонения от нормального режима временного ряда в разработанном методе 53
3.4 Выводы 56
Глава 4. Практическая реализация разработанного метода на примере программного средства «Анализатор трафика» 57
4.1 Общие сведения о программе 57
4.2 Тестирование программы 59
4.3 Руководство к использованию программы 63
4.4 Порядок работы программы 63
4.5 Результаты работы программы 67
4.6 Выводы 74
Заключение 76
Литература 78
Приложения 89
- Анализ видов трафика сети, представленных в форме временного ряда
- Удаление незначащих гармоник с помощью критерия Фишер
- Определение уровня опасности отклонения от нормального режима временного ряда в разработанном методе
- Тестирование программы
Введение к работе
С развитием вычислительной техники всё чаще появляется необходимость обрабатывать большие объёмы информации, представляющие последовательность наблюдений за числовой характеристикой неких объектов - временной ряд. Существует множество практических задач, связанных с обработкой информации в виде временных рядов: контроль передачи информации через телекоммуникационные каналы, наблюдение за различными технологическими процессами и пр. Анализ таких временных рядов представляет собой нетривиальную задачу, связанную как с особенностью поведения объектов, представленных этим рядом, так и с особенностью регистрации информации.
Методы анализа временных рядов развиваются в двух направлениях: построение моделей временных рядов и эвристические методы. Практика показывает, что часто в реальной ситуации невозможно подобрать адекватный метод анализа временных рядов, позволяющий анализировать и прогнозировать временной ряд. В частности, интерпретация результатов анализа трафика телекоммуникационной сети, представляющего при определённых способах регистрирования временной ряд, является весьма сложной задачей, требующей развития и адаптации методов анализа временных рядов. Продолжением этой задачи является задача управления работой объекта на основе метода анализа временных рядов.
Выявление в работе систем передачи данных аномалий, связанных со сбоями аппаратуры или с деятельностью хакеров, также представляет серьезную практическую задачу, которой в большинстве случаев отдаётся первостепенное значение. Существующие системы анализа потоков данных способны выявлять только уже известные аномалии (сценарии атак на сети), в то время как новые не обнаруживаются. Это связано с ограниченностью используемых характеристик потоков данных и методов их анализа.
Кроме того, многие коммерческие пакеты, решающие близкие задачи, помимо дороговизны, также страдают таким недостатком, как непрозрачность используемых методов обработки данных.
Таким образом, является весьма актуальным развитие методов, связанных с анализом и моделированием данных, представленных в виде временных рядов на примере трафика телекоммуникационной сети.
Работа выполнена при поддержке гранта РФФИ № 05-07-90360.
Целью работы является исследование и совершенствование методов
анализа и управления данными в виде временных рядов, а также, в качестве
примера, разработка на их основе метода контроля трафика
телекоммуникационной сети, независящего от технологии передачи информации, позволяющего выявлять и предотвращать возникновение различных неисправностей.
Для достижения указанной цели в работе поставлены и решены следующие основные задачи:
изучены и классифицированы различные виды трафика с целью определения области применения разрабатываемых методов;
разработаны этапы анализа сетевого трафика для выделения основных слагающих компонент загрузки из исходного временного ряда;
изучены и классифицированы нештатные ситуации в телекоммуникационной системе в терминах статистических характеристик временного ряда;
разработан подход к оценке и управлению качеством работы телекоммуникационной системы на основе анализа нештатных ситуаций;
разработана реализация предложенных подходов в виде алгоритмов и программ.
Для решения поставленных задач использовались методы Фурье и вейвлет анализа, методы теории нечётких множеств, вычислительной
математики и математического программирования. Для программной реализации использован язык программирования «Borland Delphi 6,0». На защиту выносятся следующие положения,
Результаты исследования алгоритма фильтрации шумов во временном ряде на основе метода главных компонент (алгоритм «Гусеница»), позволившие выявить возможности и ограничения его области применения.
Алгоритм фильтрации незначащих шумов во временном ряде с помощью вейвлет-анализа, обладающий рядом преимуществ по сравнению с известными методами сглаживания: предназначение специально для анализа с выраженной периодичностью, возможность наглядной визуализации, низкая вычислительная сложность.
Метод оценивания и управления качеством передачи информации в виде временных рядов с использованием нечётких множеств, построенных на основе статистических характеристик временного ряда и экспертных оценок, позволяющий выявлять отклонения от нормального режима временного ряда.
Научная новизна диссертационной работы определяется следующими результатами:
разработан метод выделения основных слагающих компонент загрузки из исходного временного ряда, позволяющий учитывать особенности исходной информации;
разработана классификация нештатных ситуаций в системе по степени опасности, позволяющая связывать характеристики временного ряда со степенью опасности;
разработан метод выделения нештатных ситуаций работы системы на основе построения нечётких множеств, параметры которых определяются как на базе предварительного статистического исследования информации, так и на основе экспертных оценок;
* разработаны алгоритмы и программы, позволяющие в режиме реального
времени оценивать и управлять качеством передачи информации в
телекоммуникационной системе;
классифицированы различные виды временных рядов на примере
телекоммуникационной системы.
Разработанные методы обработки данных позволили создать на их
основе программное средство «Анализатор трафика», способное
контролировать состояние одной из разновидностей
телекоммуникационных систем - компьютерной сети. Его основное отличие от ныне существующих антивирусов и файрволлов заключается в изменении самого подхода к исследованию трафика. Подход, разработанный в диссертационной работе, позволяет абстрагироваться от конкретной информации, передаваемой через сеть. Достаточно обучить программу нормальным параметрам функционирования данной сети. Далее она способна, с помощью нечётких методов, определять отклонения от этих параметров, анализировать их природу и степень опасности и предупреждать об этом пользователя. Такой новый подход приводит к тому, что программа не зависит от антивирусных баз данных я регулярных обновлений и способна выявлять даже совершенно новые, неизвестные разработчикам виды атак на сеть.
Достоверность полученных результатов подтверждена опытом
эксплуатации программы в научно-образовательной сети RXJNNet и
полученными положительными результатами работы, а также строгостью
использованного математического аппарата.
Результаты диссертационной работы используются в следующих
организациях,
Научно-образовательная сеть RUNNet - контроль за состоянием
компьютерной сети с помощью написанной по результатам диссертации
программы.
Российский Государственный Университет им И.М, Губкина -научные результаты используются при чтении курса
Московский Государственный Университет Леса - научные результаты используются при чтении курса «Автоматизированные информационные технологии»
Результаты диссертации прошли апробацию на научных конференциях; Международные научно-практические конференции «Телематика», г. Санкт-Петербург, 2004, 2005, 2006 г.г,; ежегодные научно-технические конференции профессорско-преподавательского состава МГУЛ; XIII международная студенческая школа-семинар «Новые информационные технологии», Судак, 2005 г.; Международная конференция по нечётким множествам, Циттау, 2005 г.
Результаты диссертации изложены в 9 печатных работах{одна работыа опубликована в издании, рекомендуемом ВАК для докторских диссертаций), в том числе в 3 статьях и 6 тезисах докладов на международных и Всероссийских конференциях.
Необходимость выполнения целей работы определила следующую структуру диссертации.
В первой главе изучены известные методы анализа временных рядов и возможность их использования для решения различных практических задач, например, анализа трафика сети.
Во второй главе описывается разработанный автором метод полного анализа и контроля состояния временного ряда. Метод состоит из нескольких этапов, последовательное выполнение которых позволяет получить некий эталонный набор характеристик ряда. Далее проводится сравнение текущих характеристик с эталонными и, при возникновении отклонений, анализируется их причина и степень опасности,
В третьей главе на основе опыта эксплуатации и анализа воздействий характеристик трафика на качество передачи информации, определяется степень опасности для стабильного функционирования сети, вызванная тем
или иным отклонением от нормального профиля.
В четвёртой главе представлен алгоритм и программа «Анализатор
трафика)), реализующая описанные выше методы контроля за состоянием
сети, а также рассматриваются результаты её работы в конкретных
ситуациях.
В заключении перечислены основные научные результаты работы.
Анализ видов трафика сети, представленных в форме временного ряда
В связи с быстрым развитием сетевых технологий и сети Интернет, проблемы управления информационными ресурсами вычислительных сетей и их защиты становятся все более актуальными для разработчиков и администраторов. Выявление в работе сетей аномалий, связанных со сбоями аппаратуры или с деятельностью хакеров, представляет серьезную практическую задачу. Существующие системы анализа потоков данных способны выявлять только уже известные аномалии (сценарии атак на сети), в то время как новые не обнаруживаются. Это связано с ограниченностью используемых характеристик потоков данных и методов их анализа. Поэтому представляется актуальным, что при эксплуатации телекоммуникационных систем и компьютерных сетей должен быть использован достаточно широкий спектр современных и научно обоснованных технических и технологических решений их анализа и мониторинга.
Прежде всего, следует заметить, что создать некое универсальное средство анализа весьма трудно. Это связано с тем, что методы анализа, как правило, узконаправленны и хорошие результаты может дать только их комбинирование. Основное отличие сетей - в нормальном режиме функционирования. На него влияют главным образом контекст использования сети и (в меньшей степени) технология, по которой она построена.
В дальнейшем будет представлен ряд рисунков, демонстрирующих различные типы сетевого трафика. На каждом рисунке представлено по 3 графика - максимальная, минимальная и средняя загрузка исследуемого канала сети. Информация, представляй пая на рисунках получена с помощью команды P1NG для конкретного узла сети. Эта команда с помощью отправки сообщений с эко-заяросом по протоколу ІСМР проверяет соединение на уровне протокола Ш с другим компьютером, поддерживающим TCP/IP-После каждой лередата выводится соответствующее сообщение с эхо-ответом. PING - .это основная ТСРДР-команда, используемая для устранения вшодадкії в соединена проверки возможности доступа и разрешения шит.
Соответственно, на графиках представлены максимальное» минимальное н среднее время отклика.
Рассмотрим три основных типа сетевого трафика Во-первых - самый распространённый тип - это трафик с ярко выраженной периодичностью щфужи. На рисунка 1-І указди пример такого трафика.
Такой ірафик имеет очевидну суточную и недельную периодичность, которая, как это понятно, возникая ЕМ т ш режима пользователей оетн. Максимум чагружи приходится, кж правило, на H..J5 часов їхн а минимум - т 4,.,5 часов утра, Кроме того, в суббоїу и воскресенье наблюдается падение загрузки но с тип загрузки - непрерывная равномерная загрузка с хаоетшо втникаюхшши всплесками. Пример показан на рисунке 1.2. равномерно нйакая зшружа. Выше было сказано, что возшкяовенж ас это не совсем существует достаточно много программных использующие сеть с незшторой заданной периодичностью (ця я проверка и т.п.)- Природа выбросов (шугичная или Ълее важное значение, чим шжеп: показаться вначале,
Третий тип загрузки сетевого канала - периодические выбросы, перемежаемые падением загрузки до нуля. Такая загрузка возникает, если канал используется не постоянно, а только время от времени и характерна для домашних компьютеров. Пример приведён на рисунке 1.3.
Приведённые рисунки 1.1, 1.2 и 1.3 отображают время отклика компьютера на команду PING и построены по данным, собранным в сети RunNet с помощью специальной программы. Красным цветом изображается максимальное время отклика, зелёным - минимальное, а чёрным - среднее. 1 2 Применение модифицированного алгоритма главных компонент «Гусеница» к фильтрации шумов временного ряда
В задаче мониторинга временного ряда одним из важных аспектов является наблюдение сетевого трафика с целью выявления возможных перегрузок каналов и определения сетевых атак. Информация о сетевом трафике имеет статистический характер и представляет собой временные последовательности. Эти последовательности исследуются методами статистического анализа. Большинство временных рядов загрузки каналов состоит из трёх компонент, трендовой, периодической и случайной. Основной интерес при исследовании представляют трендовая и периодическая компоненты. Поэтому для их выделения необходима предварительная фильтрация шумов - случайной компоненты. Предлагается применить для решения этой задачи алгоритм «Гусеница», [93] основанный на методах линейной алгебры. Его можно разбить на 4 этапа.
Первый этап - развертка одномерного ряда в многомерный. Выберем некоторое число M N (где N- длина анализируемого ряда), называемое длиной гусеницы, и представим первые М значений последовательности в качестве первой строки матрицы X . В качестве второй строки матрицы берем значения последовательности с х2 по х +ь Последней строкой с номером к = N- М+ 1 будут последние Мэлементов последовательности.
На втором этапе производится анализ главных компонент (АГК). Сначала вычисляется матрица V= (lfk)XTX. Несмотря на то, что ее элементы не центрированы, мы будем называть ее ковариационной матрицей, иногда добавляя слово "нецентральная4. Следующий шаг, как обычно в АГК, состоит в вычислении собственных чисел и собственных векторов матрицы V , т.е. разложение ее V = FLP , где L - диагональная матрица, на диагонали которой стоят упорядоченные по убыванию собственные числа, а Р -ортогональная матрица собственных векторов матрицы К
Удаление незначащих гармоник с помощью критерия Фишер
Статистические оценки показывают, что вероятность события 7(/;) V3as(tiXbj j-b5} (10) при независимости ошибок s(t) не превышает 0.0014, Реализация его рассматривается в качестве признака отклонения от режима нормальной работы, считается, что построенная модель перестала отвечать наблюдениям и нуждается в подстройке или пересчете. Ряд отклонений администраторы расценивают как весьма опасные для качества функционирования сети.
Степень опасности изменения тренда оценивается как довольно низкая. Это связано с тем, что значительные изменения загрузок канала скажутся не сразу и при сохраняющейся тенденции роста в резерве имеется время для оценки момента достижения предельных значений загрузок - пропускной способности каналов сети Ynpw
Степень опасности вмешательства аномальных результатов в режим нормальной работы сети может оказаться очень высокой из-за неконтролируемого характера этого вмешательства и возможных катастрофических последствий при сбоях в работе сетей.
Изменения спектральной характеристики практически сказывается лишь на точности прогнозирования трафика нормальной работы. Однако, приемы выделения аномальных наблюдений, получения оценок тренда тесно связаны с характером периодической составляющей- Поэтому спектральные изменения могут ухудшить чувствительность приемов к выделению необходимых эффектов и в конечном итоге привести к ошибочной оценке опасности ситуации.
Резкий и достаточно большой скачок средней загрузки 7явяяется наиболее опасным нарушением режима нормальной работы (нормального профиля трафика) и, в частности, может сигнализировать о выходе из строя оборудования. Степень опасности зависит от близости к предельному значению загрузки, тесно связанному с пропускной способностью сети Упред.
Приемы идентификации математической модели часто опираются на асимптотически нормальные свойства статистических оценок ряда параметров. Однако, использовать только эти свойства с целью контроля трафика в режиме текущей регистрации было бы опрометчиво и не корректно в силу изменения вероятностных распределений при смене режима. Методы нечетких множеств позволяют на основе экспертных суждений администратора формализовать выбор границ допустимых отклонений от режима и оценить их безопасность. 2.6, Применение нечетких методов для контроля режима и оценивания опасности
Контролирование частоты аномальных данных.
Частота аномальных наблюдений устанавливается регистрацией числа "выбросов" за определенный временной интервал, В каналах сети RUNNet этот период составляет примерно 2 недели. Оценкой интенсивности пуассоновского потока "выбросов1 является средняя частота Л=По/То, где По- число событий, произошедших за время наблюдения Т0 , (время измеряется в выбранной единице), сг2(Х)= А, и для 99.8%-ного доверительного интервала истинное значение интенсивности лежит в границах
Ориентируясь на статистические оценки, можно формализовать представление функции принадлежности для описания нечеткого множества, задающего меру соответствия новой интенсивности ранее установленной.
Пусть х - интенсивность аномальных данных в новый временной интервал, хєХ, Лг= ;д: 0/-множество возможных интенсивности. Введем нечеткое множество А={(х ць(х))}, х 0, с функцией принадлежности ц (х), характеризующей степень соответствия х режиму нормальной работы с параметром X: Если администратором сети задана необходимая степень (уровень) соответствия а 0? ає[0,1], например ос=0,5, то по (2Л1) устанавливаются границы для допустимых вариаций интенсивностей аномальных данных х с помощью уравнения /уд (х) = а- В рамках этих границ можно считать, что наблюдаемая интенсивность соответствует режиму нормальной работы. Выход оценки х за пределы трактуется как полное несоответствие прежнему состоянию и ведет к перестройке модели и анализу причин вмешательства в нормальный режим, если х X. В программе «Анализатор трафика» одновременно с вычислением параметра X производится проверка на выполнение свойств пуассоновского процесса при альтернативной гипотезе о регулярности вмешательства в режим нормальной работы, которая может сигнализировать о наличии вирусов или атаки на сеть, Контролирование спектральных характеристик ряда Для значительного числа коммуникационных научно-образовательных сетей основными гармониками периодической компоненты являются суточные и недельные вариации загрузок. Обычно на них приходится от 62% до 80% общего разброса величин потоковой информации S2. Если ограничиться двумя основными гармониками в g(t) (4), то для оценки доли шумовой компоненты ст2 ) в разбросе получим Увеличение доли шумовой компоненты сигнализирует о существенном изменении спектральной характеристики загрузки.
Определение уровня опасности отклонения от нормального режима временного ряда в разработанном методе
Опасность для стабильного функционирования сети, вызванная тем или иным отклонением от нормального профиля, определяется администратором на основе опыта и анализа воздействий характеристик трафика на качество передачи информации.
Зачастую экспертное лингвистическое описание опасной ситуации носит нечеткий, расплывчатый характер и требует определенных усилий для своей аналитической формализации- Рассмотрим примеры ситуаций, оцениваемые администратором как опасные.
Ситуация по аномальным наблюдениям может расцениваться как весьма опасная, если их частота достигает 20 % от количества регистрации загрузки за определенный временной промежуток. Для сетей RUNNet при регистрации загрузки каждые 5 минут опасная ситуация возникает при средней частоте аномальных данных Хпорог=(0-2 288регистраций /сутки) 60 наблюдений за сутки.
Опасность, возникающая от хаотично изменяющейся в широких пределах шумовой составляющей, связана с частотой появления в рабочем режиме предельных состояний по загрузкам. Экспертное суждение администратора выражается высказыванием; вариабельность загрузки не должна превышать 20% от ее максимально допустимого значения Ynp Поскольку качество функционирования канала падает с приближением загрузки к пропускной способности Ynp№ опасность потери передаваемой информации определяется близостью загрузки к пропускной способности.
В рассмотренных ситуациях при оценке опасности администратор руководствуется сравнением параметров режима с пороговыми значениями Р0и и Р и, которые соответствуют вполне безопасной работе и полностью неприемлемому состоянию, здесь индекс и={Х, $, z} отмечает параметр трафика - частоту аномальных данных X, разброс s или загрузку z в зависимости от рассматриваемого случая.
Пусть переменная и принимает значение из соответствующего пространства параметров w={\r $t z}, u 0, \xeUu -{U\=X, US=R, Uz= YJt нечеткое множество Еи={(и,ц.(и))}, с функцией принадлежности JJrfa) характеризует меру (уровень) безопасности значения и рассматриваемого параметра для качественного функционирования сети.
Подстановка в (ЗЛ) конкретных пороговых значений для величины загрузки z, разброса s и частоты аномальных данных позволяет оценить уровень безопасности при определенном наборе характеристик. При недостаточном уровне принимаются технические решения по сети в зависимости от того, в какой мере и за счет какой ситуации возникает опасность.
Как упоминалось выше, администратором даются различные оценки важности выполнения ограничений на основные характеристики трафика. Это может быть отражено в обобщенной мере безопасности ftr(x9s3z) путем введения весовых коэффициентов для загрузки рь вариабельности р2 и аномальных наблюдений рз (мера задается на XxRxY, хєХ, seRfzeY)
Тестирование программы
Для идентификации параметров режима нормальной работы сети, как примере обработки временного ряда по трафику разработана программа «Анализатор трафика». Программа облегчает задачу сетевого администрирования при анализе и мониторинге телекоммуникационной сети. Она написана на языке Borland Delphi 6.0 и предназначена для использования с операционными системами семейства Windows.
В функции «Анализатора трафика» входят: математическое моделирование трафика и расчет параметров нормального режима; сравнение текущего функционирования с параметрами нормального режима; непрерывный fiizzy-контроль трафика и выдача системному администратору предупреждений об опасных отклонениях. Программа имеет два режима работы: обучения и анализа. В режиме обучения программа собирает информацию о трафике, воспринимая его как нормальный режим. Длительность обучения, которая может настраиваться пользователем, равна по умолчанию двум неделям. В течение этого срока программа раз в пять минут фиксирует количество информации, прошедшей через канал и запоминает его в файле в текстовом формате как эталонный ряд. Затем производится обработка накопленных данных и переключение в режим анализа.
В режиме анализа программа выполняет ряд функций, идентичных режиму обучения, а также связанных с последующим контролем и оцениванием нештатных ситуаций, В частности, в режиме текущей регистрации отслеживаются аномальные наблюдения, оценивается их интенсивность, рассчитывается дисперсия шумовой компоненты, вычисляются необходимые среднестатистические характеристики.
В режиме анализа раз в 5 минут фиксируется загрузка сети и производится сравнение этого значения с модельным значением у(і)мо& (9) для данного момента регистрации. В случае отличия от эталона более, чем на 43S (где S - дисперсия ошибки эталонного ряда), на протяжении 6 измерений (т.е. в течение получаса) программа фиксирует серьёзное отклонение и начинает определять его причину.
Соответственно, может возникнуть одна или несколько из следующих ситуаций: изменился тренд; изменилась частота появления выбросов; изменилась спектральная характеристика ряда; изменилось среднее значение ряда.
Самый низкий уровень опасности имеет увеличение количества выбросов. Если это зафиксировано, то администратору будет выдано предупреждение и рекомендация проверить сеть на появление вирусов, т,к. велика вероятность того, что выбросы связаны с деятельностью сетевых «червей».
Более высокий уровень опасности представляет изменение спектральной характеристики ряда. Очевидно, что в нормальном режиме работы сеть подчиняется суточным и недельным колебаниям загрузки. Если же произошли отклонения, значит один или несколько пользователей перешли на круглосуточный (и/или без выходных) режим работы и администратору будет предложено уделить этим пользователям внимание.
Ещё более высокий уровень опасности представляет изменение тренда. Оно означает, что происходит медленный, но верный рост загрузки сети и в не очень отдалённом будущем возможно переполнение её пропускной способности. Администратору будет рекомендовано рассмотреть возможность увеличения пропускной способности каналов.
Самым опасным вариантом является скачкообразное увеличение среднего значения ряда. Это означает, что сеть работает в режиме, близком к предельному, и может начать не справляться с загрузкой. Администратору выдаётся предупреждение и рекомендация срочно обратить внимание на загрузку сети для определения причины её увеличения и исправления ситуации,
Помимо случаев отклонения от эталона, программа проводит регулярные проверки параметров сети (по умолчанию раз в неделю). Это необходимо, так как изменения могут происходить настолько медленно, что не будут фиксироваться описанным выше критерием, но реакция на них всё равно необходима. При регулярной проверке проводится та же самая процедура, что и при фиксировании отклонений как описано выше.
В случае проведения работ по реконструкции или модернизации сети, её нормальные параметры функционирования изменятся. Поэтому в программе предусмотрена возможность переобучения по новым данным. При её активации программа переходит в режим обучения и фиксации данных для создания нового эталона, отвечающего текущему состоянию сети.
В результате обработки статистической информации о функционировании телекоммуникационной сети можно определить нормальный профиль сети (этап анализа). Выявление и предсказание отклонений от нормального профиля сети (этап мониторинга) проводится системным администратором с целью определения возникновении нештатной ситуации и принятии соответствующего решения об изменении конфигурации сети.
