Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Динамический анализ и диагностика состояния IP-сети Шалаев Максим Павлович

Динамический анализ и диагностика состояния IP-сети
<
Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети Динамический анализ и диагностика состояния IP-сети
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Шалаев Максим Павлович. Динамический анализ и диагностика состояния IP-сети : Дис. ... канд. техн. наук : 05.13.13 СПб., 2005 132 с. РГБ ОД, 61:05-5/3153

Содержание к диссертации

Введение

ГЛАВА 1. Принципы и методы диагностики состояния IP-сетей - 9 -

1.1. Принципы построения ІР-сетей - 9 -

1.2. Проблемы диагностики состояния сети -12 -

1.3. Методы диагностики состояния сети. - 20 -

Выводы по главе 1 - 27 -

ГЛАВА 2. Марковская модель информационной сети -29 -

2.1. Описание информационных сетей на основе моделей случайных процессов - 29 -

2.2. Описание информационных сетей на основе Марковских моделей - 35 -

Выводы по главе 2 - 47 -

ГЛАВА 3. Мониторинг и диагностика сети на основе марковской модели -49-

3.1. Нормальный профиль работы сети - 49 -

3.2. Настройка модели на основе нормального профиля работы сети - 52 -

3.3. Применение Марковской модели для мониторинга и диагностики сети - 62 -

Выводы по главе 3 - 66 -

ГЛАВА 4. Диагностика магистрального канала IP-сети - 68 -

4.1 Система с искусственным трафиком - 70 -

4.2 Канал RUNNet-NORDUnet - 80 -

Выводы по главе 4 - 92 -

Заключение -93-

Список публикаций по теме работы -95-

Введение к работе

Актуальность

Активное развитие информационных технологий и расширение объемов информационных услуг основываются в значительной мере на научно-технологических разработках в области телекоммуникационных сетей. По данным исследований [1], приблизительная динамика роста Интернет трафика за последние десять лет составляет 70-150% в год, т.е. в среднем каждый год количество информации, передаваемой через сеть, удваивается. Объем информации, передаваемой через Интернет в России в первом полугодии 2004 г. вырос по сравнению с аналогичным периодом 2003 г. на 245% и достиг 18400 Тбайт [2]. Развитие телекоммуникационных сетей обуславливает необходимость исследований, разработок и внедрения новых технологий.

Объем трафика данных становится соизмеримым с объемом голосового трафика, и данные постепенно становятся основным типом трафика, передаваемого по сетям. Эта фундаментальная перемена ставит целый ряд новых задач перед провайдерами услуг, многие из которых уже прошли "критическую точку", за которой трафик данных превращается в главный рыночный фактор, оказывающий определяющее влияние на экономическую эффективность телекоммуникационной отрасли. По мере того, как трафик данных заполняет Интернет и внутрикорпоративные сети, становится очевидным, что фундаментом развития распределенных сетей, безусловно, являются технологии, основанные на протоколе IP. Развитие сетевых технологий открывает для провайдеров услуг Интернет множество новых возможностей. Исчезают ограничения, когда требовалось обеспечить лишь подключение и оказать услуги низкого уровня. Провайдеры начинают играть все более важную роль в корпоративных сетевых инфраструктурах. Это подразумевает поддержку приложений для глобальных и внутрикорпоративных сетей, интеграцию голоса и данных, а также

-4-поддержку различных вариантов доступа - от модемного, до широкополосного - по всей сетевой инфраструктуре общего пользования, включая магистральные каналы, объединяющие глобальные сети.

Существующие исследования в области магистрального сетевого трафика показывают, что сетевые технологии сильно опережают в своем росте теоретическое и аналитическое понимание сетевых взаимодействий. Узкоспециализированные и ограниченные телекоммуникационные задачи прошлых лет хорошо изучены и математически формализованы, в частности, на основе положений теории массового обслуживания [3], что позволяло достаточно точно предсказывать такие характеристики как длины очередей и сетевые задержки. Однако традиционные принципы теоретического анализа и существующие методики не соответствуют необходимым требованиям [4],

[5].

Адекватные модели трафика и методики, обеспечивающие получение оценок характеристик сетевых взаимодействий играют важную роль в ускорении эволюции гигабитных и более скоростных сетевых технологий. Теоретический и экспериментальный анализ сетевых процессов приобретает особое значение по сравнению с классическими математическими моделями прошлых лет. По различным причинам, проблема исследования агрегированного Интернет трафика, например, магистральных каналов, на данный момент изучена недостаточно. По мнению автора, основная причина этого заключается в высоком приоритете усилий в операционной области. Провайдеры услуг Интернет главным образом концентрируют свои усилия на каждодневных требованиях клиентов, при этом остается в стороне систематический сбор и анализ данных сетевого трафика. По этим причинам, существующие работы в области исследования сетей явно указывают на пробел между сравнительно успешными экспериментами и исследованиями изолированных систем и неизученными характеристиками сетевых взаимодействий в широком смысле.

Таким образом, теоретическое и экспериментальное исследование характеристик трафика в телекоммуникационных сетях является актуальной научной задачей. Актуальность проблематики информационных технологий подтверждается тем, что 18 ноября 2004 г. Правительство РФ одобрило «Концепцию развития рынка информационных технологий в Российской Федерации», предложенную Мининформсвязи России [6].

Целью работы является построение адекватной модели поведения ІР-сети на основе строгих объективных критериев, корректно характеризующей трафик магистральных сетевых каналов, разработка и верификация методики мониторинга и диагностики состояния сети. Основные задачи работы состоят в следующем.

1. Анализ существующих методов оценки характеристик,
моделирования и мониторинга сетевого трафика, получение
представительных данных мониторинга магистрального канала ІР-сети.

2. Теоретическая разработка, построение и исследование модели
информационной сети на основе теории Марковских случайных процессов.

  1. Разработка метода и практической методики мониторинга сети с использованием предложенной теоретической модели.

  2. Практическая реализация и апробирование предлагаемой методики при диагностике магистрального канала сети.

Методы исследования

В соответствии с целями и задачами диссертационной работы, объектом исследования является IP-сеть, а предметом исследования - свойства данной сети. В работе использованы теоретические и экспериментальные методы исследования, включая методы теории вероятности и теории случайных процессов.

В работе выполнена постановка задачи динамического анализа и диагностики состояния ІР-сети на основе строгих объективных критериев и получены следующие научные результаты, которые выносятся на защиту.

  1. Теоретическая математическая модель трафика магистрального канала распределенной сети на основе теории Марковских случайных процессов и результаты исследования сетевого трафика и предложенной модели с целью диагностики состояния и выявления аномального функционирования сети.

  2. Метод диагностики состояния сети на основе предложенной математической модели.

3. Результаты исследования адекватности модели на синтезированных и
реальных входных данных как совокупности параметров, объективно
характеризующих состояние распределенной сети.

4. Методика исследования данных магистрального канала реально
функционирующей сети как основополагающего фактора принятия решения
об адекватности и применимости разработанных моделей.

Практическое значение работы состоит в том, что:

разработана методика получения данных о сетевом трафике с интерфейсов современных высокопроизводительных сетевых устройств, что позволяет решать задачи распределения сетевых ресурсов, выявления некорректной политики маршрутизации, определения эффективности работы информационных сервисов;

разработана и внедрена система сбора информации на узловом маршрутизаторе магистрального канала реально функционирующей сети с возможностью динамического изменения количественной и качественной детализации получаемых данных для их дальнейшего аналитического исследования;

реализован программный модуль, интегрируемый в существующую систему мониторинга исследуемой сети на основе открытой архитектуры с обеспечением простоты реализации интерфейсов, четкой алгоритмизации задачи и низкой вычислительной ресурсоемкости, связанной с выбранным математическим аппаратом;

- разработана методика анализа данных реально функционирующих сетевых объединений, что позволяет проводить экспериментальные исследования состояния сети, опираясь на конкретные требования сетевых администраторов.

Достоверность научных положений, выводов и практических рекомендаций диссертационной работы подтверждается детальным анализом особенностей трафика магистральных телекоммуникационных каналов на основе представительных данных мониторинга состояния сети, корректными методиками расчетов, совпадением теоретических и экспериментальных результатов исследований. Реализация результатов работы

Результаты, полученные в диссертации, используются на практике в Санкт-Петербургском филиале Республиканского научного центра компьютерных телекоммуникационных сетей высшей школы при мониторинге магистрального канала телекоммуникационной сети RUNNet, в проекте Санкт-Петербургского филиала Государственного научно-исследовательского института информационных технологий и телекоммуникаций «Информика» и в учебном процессе кафедры Компьютерных Технологий СПбГУ ИТМО по дисциплине «Теория информации и передачи сигналов». Апробация диссертации

Основные положение диссертационной работы докладывались на Международной научно-методической конференции «Телематика 2000» (Санкт-Петербург, 2000); Всероссийской научно-методической конференции «Телематика 2003» (Санкт-Петербург, 2003); I конференции молодых учёных СПбГУ ИТМО, 2004 (Санкт-Петербург, 2004); IX Санкт-Петербургской международной конференции «Региональная информатика» (Санкт-Петербург, 2004); II конференции молодых учёных СПбГУ ИТМО, 2005 (Санкт-Петербург, 2005); Всероссийской научно-методической конференции «Телематика 2005» (Санкт-Петербург, 2005).

-8-Публикации

По теме диссертационной работы опубликовано 7 печатных работ, в том числе три статьи в научных журналах и сборниках и четыре статьи в трудах научных конференций. Структура диссертации

Диссертация состоит из введения, четырех глав и заключения. Список литературы содержит 33 наименования. Работа иллюстрирована 32 рисунками. Работа включает 4 приложения.

Проблемы диагностики состояния сети

Оперативное определение проблем и превентивные меры по поддержанию работоспособности сети и качества услуг нуждаются в анализе как сетевой топологии на различных уровнях, так и в аналитических моделях нормального и аномального поведения сетей. Исторически, основополагающими характеристиками функционирования сети являются пропускная способность сети, интенсивность загрузки, частота потери дейтаграмм. Их сбор и анализ требует структурированного подхода с целью уменьшения количества данных и увеличения эффективности их анализа.

Для эффективного администрирования глобальных сетевых объединений нового поколения необходимы исследования сетевого трафика магистральных каналов. В одной из крупнейших национальных научно-исследовательских сетей (NRN -National R&D Network) RedlRIS [7], был проведен ряд работ, связанных с мониторингом и анализом сетевого трафика. При этом решались следующие проблемы: оптимальное использование прикладных сервисов, конструирование биллинговых схем, масштабирование сетей, мониторинг сетевых процессов.

При решении подобных проблем, прежде всего, необходима организация системы мониторинга и анализа трафика магистральных сетей. Использование таких систем позволяет проводить различный количественный и качественный анализ работы сети. Например, анализ распределения трафика по номерам портов, протоколов, автономных систем и подсетей.

Рассматривая анализ сети несколько с других позиций, в качестве примера можно привести исследования трафика другого крупного оператора NRN - BELNET [8], [9]. В исследованиях BELNET основной акцент был сделан на оптимизацию сетевой нагрузки на коммутирующие устройства. Типичной проблемой больших научно-исследовательских сетей, таких как RUNNet, BELNET, RedlRIS, NORDUnet, является наличие различных путей доставки пакетов, например, до шлюзового устройства. Очевидно, что для оптимизации нагрузки на сеть, потоки трафика должны быть одинаково распределены между всеми возможными маршрутами. Это требование не учитывается в традиционных протоколах маршрутизации, и трафик направляется в зависимости от статических метрик, например, таких как количество промежуточных устройств. В исследовании, проведенном в [8], [9], была сделана попытка установить соответствие между поведением трафика и топологией сети.

По мнению многих современных исследователей в данной области [5], [7], [8], [9], в общем случае, природа сетевого трафика является случайной, причем статический количественный анализ имеет смысл либо на достаточно коротком промежутке времени, либо для довольно небольших сетевых объединений и не дает полного ответа на вопрос о характере функционирования сети.

Наиболыний интерес и значимость имеет задача исследования поведения сетевого трафика с целью разработки системы анализа состояния сети для решения одной из важнейших задач сетевого администрирования, которой является мониторинг маршрутизаторов и другого оборудования магистральных сетей с целью выявления аномального поведения системы, или сбоев в работе сети. Данную задачу можно решать с помощью сбора и анализа различных статистик по Интернет трафику, проходящему через тот или иной интерфейс маршрутизатора.

Аномалии в поведении трафика определяют характер сбоя в сети и могут представлять собой, например, необоснованные рост или падение интенсивности трафика, изменения в стационарном характере трафика, когда наблюдается чрезмерное повышение интенсивности использования отдельных частей сети, и т. д. Выявление и распознавание аномального поведения сети очень часто основывается на так называемых ad hoc, или специальных, субъективных, появившихся в процессе долговременной работы в области управления сетью, методах. За последние несколько лет был разработан ряд как коммерческих, так и свободно распространяемых программных продуктов, предназначенных для сбора статистики и анализа поведения сети [10], [И], [12]. Однако, область использования данных продуктов ограничивается необходимостью заблаговременно определять различные параметры, такие, как, например, пороговые значения величин для конкретных соединений или статическое описание так называемых нормальных профилей работы сети, а также необходимостью постоянного наблюдения за системой. Очевидно, что чем точнее произведена настройка параметров, тем выше эффективность данных программных средств, что непосредственно зависит от опыта работы администратора с данной сетью и знания особенностей ее поведения. Поэтому, необходимо развитие объективных методов анализа состояния сети.

При этом основная сложность состоит в не стационарной природе трафика, которая выражается в появлении сетевых аномалий, т.е. отклонений от нормального режима функционирования.

Рассмотрим особенности сетевых аномалий более подробно. Сетевые аномалии можно разделить на следующие основные виды: операционные аномалии, перегрузки сети в рабочем режиме, запрещенные воздействия на сеть. Операционные аномалии

Данный вид аномалий возникает при выходе из строя сетевых устройств, изменении конфигурации сети, а также при перегрузке в сети и работе на предельных значениях пропускной способности канала.

Аномалии данной категории при графическом отображении трафика визуально отличаются крутым, практически мгновенным изменением в интенсивности трафика, после которого наблюдаются практически постоянные значения интенсивности, отличающиеся от обычных значений в течение наблюдаемого промежутка времени.

Описание информационных сетей на основе моделей случайных процессов

В отличие от описанных выше простейших моделей, а также от моделей, основанных на обновляющих процессах, АРСС и TES, Марковские модели, как показано в гл. 2, 3, обладают важными свойствами, позволяющими учитывать корреляционные зависимости сетевого трафика. Иначе говоря, Марковские модели вносят определенные априорные зависимости в случайную последовательность {AJ, позволяющие наиболее адекватно учитывать кратковременные интенсивные изменения сетевого трафика, а также применять их при динамическом моделировании трафика магистральных каналов информационных сетей, как показано в гл. 4.

На основании проведенного рассмотрения принципов и методов диагностики состояния IP-сетей можно сделать следующие выводы. 1. Основополагающим фактором при исследовании сетевых взаимодействий на любом уровне является организация эффективной системы получения статистических данных о функционировании сети. 2. Наиболее актуальной и менее всего изученной является проблема мониторинга сети с целью определения нормальных и аномальных режимов функционирования на основе объективных критериев оценки. 3. На настоящий момент, большинство исследований операционных сетей концентрируется в области анализа количественной информации о сетевом трафике с использованием различных программных средств, основным недостатком которых является субъективность оценки поведения сети. 4. Разработка эффективной системы для детального количественного анализа поведения сетевого трафика исследуемой сети и обеспечения получения корректных эмпирических данных о функционировании сети с целью дальнейшего построения и апробирования теоретической модели является важной задачей, решение которой представлено в последующих главах работы. 5. Исследование существующих теоретических подходов и математических моделей, описывающих поведение сетевого трафика, позволили указать область их применения и общие недостатки, заключающиеся, в основном, в узкоспециализированном характере исследуемых характеристик, а также в ограниченности применения указанных моделей при исследовании глобального объединения сетей. 6. Построение математической модели поведения сетевого трафика на основе Марковских процессов позволяет адекватно описывать корреляционные зависимости трафика и адекватно характеризовать случайные процессы, происходящие в распределенной сети, является практически обоснованной и актуальной задачей, решение которой представлено в последующих главах работы. Архитектура построения современных телекоммуникационных сетей обеспечивает поддержку разнородного трафика - от передачи традиционных телефонных сообщений до видео изображений и предоставлении различных информационных услуг. В каждый момент времени через интерфейсы сетевых маршрутизаторов проходит разнообразный по происхождению и типу трафик, генерируемый конечными пользователями сети, сетевыми серверами и другими устройствами, различными сервисами и приложениями. Очевидно, гетерогенный сетевой трафик не может быть описан на основе детерминистского подхода, поскольку взаимодействия в распределенной сети подчиняются вероятностным законам и представляют собой случайный процесс, зависящий от времени. 2.1. Описание информационных сетей на основе моделей случайных процессов Случайной функцией, описывающей поведение сетевого трафика, назовем такую функцию (/), значение которой при любом фиксированном значении аргумента является случайной величиной. Это означает, что при неизменных условиях опыта значения (/), t = const, в реализациях, полученных для идентичного сетевого устройства, будут различными. Случайный процесс, описывающий поведение сетевого трафика, зависит от многих факторов. В дальнейшем, при математическом описании сетевых процессов, будем оперировать со случайными процессами {(/)}» зависящими от одного аргумента - времени. При этом под случайным процессом {(/)} будем понимать совокупность реализаций случайной интенсивности трафика на интерфейсе сетевого устройства. В общем случае, случайные процессы (и соответствующие случайные функции (0) можно классифицировать по разным признакам: по характеру реализации {(0). т- е- в зависимости от возможных значений, принимаемых случайной функцией (/) и аргументом t; по виду отдельных вероятностных характеристик, которыми описывается случайный процесс. При анализе сетевого трафика на практике, реализация случайной интенсивности сетевого трафика представляет собой дискретную случайную последовательность (дискретный процесс с дискретным временем), когда время t принимает дискретный ряд значений, t0,tl,...,tt,...,tM, и случайная величина xi =(/,) может принимать лишь дискретное множество значений -31-л:0, л:,,..., xt,...,xK. Множества значений {/,} и {хк} могут быть конечными или, при теоретическом рассмотрении, бесконечными; в последнем случае Результаты измерения интенсивности трафика на интерфейсах узлового маршрутизатора магистрального канала представляют собой N реализаций случайного трафика (рис. 2.3), образующих некоторый ансамбль.

Настройка модели на основе нормального профиля работы сети

Действуя подобным образом, на основании статистических данных об эволюции реального сетевого трафика, можно получить требуемые характеристики модели, а именно, столбец вероятностей начального состояния и стохастическую матрицу Марковской цепи.

Модель, полученную для нормального профиля работы сети необходимо каким-либо образом сравнивать с текущим состоянием сети. В определении нормального профиля изначально заложена большая гибкость по отношению к критериям оценки работы сети, а именно, совокупность характеристик определяется в зависимости от целей исследования. В данной работе нормальный профиль работы сети характеризуется на основе интенсивности входящего брутто-трафика.

Принимая это во внимание, приходим к выводу, что множество 31,32,...,Зк,...,3К состояний случайного процесса 0(t) стоит рассматривать как дискретную последовательность отсчетов интенсивностей брутто-трафика. Таким образом, пространство состояний Марковской цепи для реальной сети 3v32,...,3k,...,3K ограничено и представляет собой интервал [0,..,CmaJ, где СП1ах является максимальной пропускной способностью канала. Приступим теперь к «обучению» системы, то есть к настройке ее определяющих составных частей на реальную сеть и ее работу. Простая цепь Маркова представляет собой случайный процесс, имеющий дискретное пространство состояний и дискретное пространство значений аргумента. Так как нормальный профиль в рассматриваемом случае характеризуется набором значений интенсивности трафика в определенные моменты времени, то, очевидно, что при построении конкретных матриц Марковской модели системы, необходимо соответствующим образом произвести дискретизацию пространства времени и квантование пространства значений рассматриваемой системы.

Дискретизация по времени осуществляется очевидным образом: шаг выбирается равным интервалу времени между обращениями к маршрутизатору. Такой подход, во-первых, решает проблему выбора очевидным образом на основе аппаратных и архитектурных ограничений, и во-вторых, с учетом объема трафика, достаточно точно описывает поведение системы [5], [8], [9]. Более того, уменьшение интервала времени между обращениями к устройству не дает существенного выигрыша в точности, что было установлено в процессе проведения эксперимента. В частности, при исследованиях устанавливались интервалы времени, равные 5 минутам или 1 минуте, в зависимости от характера собираемой информации, при этом точность оценок оказалась сопоставимой.

С пространством значений интенсивности трафика дело обстоит гораздо сложнее. В данном случае, выбор того или иного шага квантования значений является неочевидным и требует тщательного анализа. Более того, от выбора величины шага напрямую зависит и размерность пространства состояний цепи Маркова, принимаемого в расчет при анализе работы системы, что влияет на ресурсоемкость вычислений и скорость работы алгоритма «обучения» системы, а также на качественные параметры, ограничения и результаты последующего использования модели.

Учитывая, что значения случайной интенсивности трафика могут находиться в пределах от 0 до Стах, где Стах представляет собой максимальную пропускную способность канала, равную 1 Гбит/сек, то теоретически возможные значения случайного процесса 6(t) представляют собой конечное множество целых чисел от 0 до 109. Естественно, что рассматривать шаг в 1 бит/с не имеет абсолютно никакого смысла ввиду ограничений, накладываемых на обмен информацией с использованием стека протоколов TCP/IP, минимальных объемов передачи информации, а также тем, что на магистральном узле сетевой трафик представляет собой суперпозицию огромного числа независимых случайных соединений. Поэтому вопрос о выборе шага квантования значений случайной интенсивности необходимо решать на основе анализа данных о трафике и характере его изменений, при этом учитывая качественные особенности магистральной сети и особенности модели системы.

Необходимо отметить, что выбор шага квантования влияет на размерность матрицы вероятностей перехода (3.5) и на скорость вычислений, как в процессе «обучения» модели, так и при ее применении. При этом, поскольку алгоритм формирования матрицы вероятностей перехода выполнен с использованием хэш-таблиц (см. далее рис. 3.6), то его скорость при современных вычислительных возможностях остается приемлемой даже для шага, равного 10 кбит/с. Скорость процесса «обучения» модели абсолютно не влияет на работу модели в целом и поэтому дает возможность использовать практически любую разумную величину шага квантования.

Очевидно, что шаг квантования значений случайной интенсивности сетевого трафика определяет величину перехода между различными случайными состояниями сети и существенным образом оказывает влияние на работу модели. Поскольку резкие локальные изменения менее вероятны по сравнению с малыми, то, выбрав большое значение шага квантования и, тем самым, расстояние между соседними состояниями, можно утратить информацию о микро изменениях в поведении системы, что может привести к неправильной работе модели. С другой стороны, выбрав слишком маленькие значения, мы увеличим число промахов и уменьшим вероятность поддержки последовательности моделью, что приведет к ложным сигналам и неправильной работе модели.

Таким образом, оценку данного параметра модели, как уже говорилось выше, необходимо строить на основе исследований характера изменений выбранной случайной последовательности интенсивности трафика.

Система с искусственным трафиком

Для получения необходимой информации о функционировании рассматриваемой магистральной сети, была собрана информация о потоках IP трафика узлового маршрутизатора RUNNet - NORDUnet.

В данной работе использовались данные о трафике, отличающиеся от данных, обычно используемых при подобных исследованиях [8], [9]. Во-первых, данные собирались в течение месяца, 7 дней в неделю и 24 часа в сутки и составляют около 4300 Гбайт прошедших через маршрутизатор IP пакетов со средней интенсивностью около 16 Мбит в секунду. Во-вторых, использование в качестве источника данных узлового маршрутизатора глобального объединения сетей, такого, как RUNNet, является очень редкой возможностью и позволяет исследовать поведение сети в целом, а не отдельного соединения. В-третьих, экспериментальные данные были получены не на основе сбора пакетной информации, а на применении современной технологии коммутации потоков NetFlow [19], а также с использованием SNMP статистики работы маршрутизатора [8], [9]. Для получения данных о трафике сети RUNNet на международном канале RUNNet-NORDUnet использовалось одно из новейших средств, разработанных компанией CISCO. Это так называемые механизмы NetFlow Switching и NetFlow Data Export [19]. Эти средства позволяют не только оптимизировать процессы коммутации/маршрутизации сетевого трафика, но и параллельно с этим получать информацию о потоке в формате NetFlow. Несмотря на эффективность данного метода обработки трафика, возникают затруднения с получением реальных данных, экспортируемых маршрутизатором, например, связанные с дополнительной нагрузкой на устройство и нехваткой дискового пространства на сервере-коллекторе. Сбор информации на уровне IP потоков менее точен, чем на пакетном уровне, но, тем не менее, в соответствии с современным подходом [5], [8, [9], считается, что анализа трафика на уровне IP потоков вполне достаточно для получения точной статистической информации о сетевом трафике и, следовательно, определения состояния магистральной сети в режиме, близком к реальному времени. К тому же, применение агрегирования при сборе информации дает неоспоримое преимущество наиболее эффективного использование дискового пространства и вычислительных мощностей различных систем, что особо актуально при исследовании сетей с высоким уровнем нагрузки и большими объемами трафика. Для предоставления полноценного интерфейса к данным, поступающим на коллектор, были разработаны программы-анализаторы, а также платформонезависимый визуализатор на языке Java. Решение одного из этапов поставленной задачи, а именно, получение статистических данных, информации, позволяющей сделать какие-либо выводы о потоке трафика в сети, было разбито на следующие этапы: получение информации о трафике сети RUNNet на международном канале; обработка полученной информации; интерпретация данных в целях ведения статистики и мониторинга системы. Предложенная техническая архитектура системы, объединяет в себе структуры, отвечающие за сбор и анализ априорной информации о сети, а также модуля, позволяющего на основании объективных критериев, давать оценку текущего состояния сети с целью последующего оперативного вмешательства и корректировки. В процессе работы была разработана эффективная методика получения информации различного уровня детализации с интерфейсов высокопроизводительных сетевых устройств нового поколения. При этом необходимо отметить, что математическая модель системы отвечает требованию инвариантности относительно технологий получения входных данных.

Для того чтобы упростить процесс проверки соответствия модели требованиям системы, функционирующей в реальном времени, для первоначального эксперимента была выбрана тестовая последовательность отсчетов случайной интенсивности трафика.

На основе данных о реальном трафике выбиралась искусственная последовательность, характер изменения интенсивности которой иллюстрируется нарис. 4.1.

Затем методами, представленными в разд. 3.2, проводилось обучение системы. Задачей данного эксперимента являлось определение реакции модели системы на различные отклонения работы системы от нормальной как по времени, так и по интенсивности. Для этого были определены характерные виды аномалий в сети, такие, как, например, перегрузка, выход из строя сетевых устройств, попытки удаленных атак DoS - отказ в обслуживании. Особенности сетевых аномалий проанализированы в гл. 1, здесь же необходимо отметить примерные характеристики сбоев в работе сети, качественно и количественно выражающиеся через характерные изменения в случайной интенсивности трафика.

В качестве нормального суточного профиля работа сети, как отмечено выше в данном разделе, рассматривается рис. 4.1. Характерными особенностями являются монотонность, единственный максимум, изменения амплитуды.

Похожие диссертации на Динамический анализ и диагностика состояния IP-сети