Сбор и анализ данных о качестве сетевых соединений

Системы сбора данных в инфокоммуникационных сетях предназначены для решения целого спектра задач. Традиционно, к этим задачам относится мониторинг состояния сети, определение качества соединений, проблемы безопасности. Новые типы сетей породили новые требования к системам сбора данных. Например, для сетей с ультрамалой задержкой необходимы новые механизмы измерения односторонней задержки. В области обеспечения сетевой безопасности также необходимо совершенствовать технологии сбора и обработки данных о трафике для своевременного обнаружения аномальных состояний. Методы обнаружения сетевых аномалий опираются на традиционные сетевые инструменты, которые анализируют данные на уровне пакетов или потоков на основе статистического подхода. В данном исследовании были предложены меры противодействия сканированию портов и атакам DDoS с усилением. Это отдельный класс атак, который набирает популярность. Нами были проанализированы атаки с использованием DNS и NTP серверов для усиления потока запросов. Особенность нашего подхода по обнаружению атак состоит в анализе исходящего, а не входящего трафика. Анализ исходящего трафика позволил сформулировать квалификационные признаки сканирования TCP и UDP портов. Появление ICMP 3.3 и TCP RST пакетов откликов свидетельствует о начале процесса сканирования. IP адреса пунктов назначения из этих пакетов блокируются на 5 минут. Разработанные программные комплексы в виде SDN модуля и Linux утилиты протестированы и показали высокую эффективность. Нами сделана оценка слученного срабатывания квалификационных критериев, она не превышает 10^(-8). Таким образом, в данном исследовании представлены алгоритмы распознания атаки и её блокировки. Разработанное в рамках исследования программное обеспечение можно использовать в практических целях.