Eksploracja danych Proces Eksploracji danych IBM miner for data Analiza ruchu sieciowego Algorytmy Bibliografia

Analiza ruchu sieciowego

Wprowadzenie

Net Flow

Systemy autonomiczne



---

Warto zobaczyć:
skrypty open office skórki do winampa pozycjonowanie kraków

Analiza ruchu sieciowego - wprowadzenie

Dla dużych sieci komputerowych potrzeba monitorowania ruchu sieciowego stała się koniecznością. W 2001 roku włoscy naukowcy Mario Baldi, Elena Baralis, Fulvio Risso w swojej pracy pt. „Data Mining Techniques for Effective Flow-based Analysis of Multi- Gigabit Network Traffic” [Bal01] zauważając, że rozwój sieci jest coraz szybszy, zaproponowali nowatorskie podejście do zbierania danych sieciowych oraz analizy ruchu. Autorzy w swojej pracy przedstawiają główne problemy monitorowania sieci o dużej przepustowości. Dla przykładu łącze o przepustowości 10 Gb/s umożliwia przesłanie ponad 100 TB danych w ciągu dnia, co powoduje olbrzymie problemy w sposobie magazynowania i przetworzenia takiej ilości danych. Naukowcy rozważają dwa główne problemy: pierwszym z nich jest infrastruktura, która byłaby w stanie zmagazynować tyle danych musiałaby być bardzo zaawansowana i bardzo kosztowna. Z drugiej strony odkrywanie informacji ze zgromadzonych danych jest bardzo wymagające obliczeniowo i czasochłonne. W celu zmniejszenia ilości gromadzonych, danych autorzy rozważają dwa następujące podejścia opisywane w literaturze:

• Próbkowanie pakietów (z ang. packet sampling) – podejście polega na tym, że rejestrowany jest tylko podzbiór ze wszystkich przepływających pakietów. Dla przykładu jest to np. jeden z określonej liczby N pakietów (np. co dziesiąty).
• Analiza przepływów – podejście polega na przypisaniu pakietu do przepływu, który charakteryzuje się tymi samymi wartościami pól w pakiecie nagłówka pakietu np. adres IP źródła, celu czy numery portów źródła i docelowego.

W pracy zostają wymienione technologie gromadzenia danych w oparciu o wymienione powyżej sposoby redukcji rejestrowanych danych z ruchu sieciowego. Mamy do czynienia między innymi z technologiami: NetFlow, RTFM oraz sFlow będącym połączeniem próbkowania pakietów i identyfikacji przepływu. Jednocześnie zostało zaproponowane własne podejście rejestrowania danych z przepływu. Moduł NetLogger, będący elementem całego pakietu Analyzer, w którego skład wchodzi także moduł NetMiner gromadzi dane w postaci rekordów, które następnie poddawane są analizie. Analiza, z wykorzystaniem modułu NetMiner, w głównej mierze została oparta na algorytmach odkrywania reguł asocjacyjnych. Włoscy badacze, jako jeden z przykładów zastosowania data miningu do analizy ruchu sieciowego, prezentują możliwość odnajdywania aplikacji peer-to-peer w sieci. Ze względu na fakt, że aplikacje są instalowane i kontrolowane bezpośrednio przez samych użytkowników sieci bardzo ważne dla administratorów jest nadzór nad ruchem tego typu. Propozycją rozwiązania problemu identyfikacji ruchu P2P jest eksploracja danych w oparciu o reguły asocjacji wiążące ze sobą wykorzystywane przez te aplikacje porty.

W dalszej części pracy dokonamy podobnej analizy danych z wykorzystaniem pakietu IBM Intelligent Miner For Data oraz danych zgromadzonych w technologii NetFlow.

Znaczącą rolę gromadzenia danych z ruchu sieciowego z wykorzystaniem NetFlow opisuje Michael Patterson w swoim artykule pt. „NetFlow becoming a networking must for the enterprise” (wydanie z marca 2006 r.) na łamach serwisu http://www.enterprisenetworksandservers.com. Autor przedstawia NetFlow jako “sieciową konieczność” dla przedsiębiorstw (przemysłu) i możliwość wykorzystania technologii w celu analiz, planowania, monitorowania sieci (użytkowników), profilowania, hurtowni danych i data miningu.

Jako zalety użycia NetFlow zostają przedstawione następujące obszary:

• Wskazanie najczęściej wykorzystywanych aplikacji
• Wskazanie najbardziej aktywnych użytkowników sieci
• Odpowiedzi na pytanie z kim/ z czym łączą się zarówno aplikacje jak i użytkownicy

W swoim artykule autor proponuje rozwiązania NetQoS (www.netqos.com) oraz Plixer (www.plixer.com) służące do monitorowania danych i określa NetFlow jako jedną z najlepszych metod kontrolowania tego, co dzieje się w sieci.

Zalety wykorzystania eksploracji danych w odniesieniu do danych zgromadzonych w oparciu o NetFlow prezentuje Ned Lindberg w swoim artykule na łamach http://informationsecurity.techtarget.com/ pt. „Mining NetFlow” ze stycznia 2006 r. Autor z jednej strony podkreśla, że problem analizy danych NetFlow jako niezmiernie trudny. Z drugiej jednak argumentuje, że przy wykorzystaniu odpowiednich narzędzi rezultaty mogą pomóc w identyfikacji spamu, ataków i wykrywania zagrożeń. Jako główny obszar wykorzystania takiego podejścia, zostaje wskazane wykorzystanie go przez dostawców Internetu, w celu dbałości o bezpieczeństwo sieci. W artykule zostały przedstawione przykłady, na wykorzystanie analiz eksploracji danych, w celu wykrywania anomalii związanych z bezpieczeństwem sieci. Na przykład bardzo duża liczba połączeń z jednej maszyny (hosta) może wskazywać na atak typ DoS (z ang. denial of sernice, oznacza atak polegający na uniemożliwieniu działania poprzez wykorzystanie zasobów), atak worm (z ang worm – robak, mały szkodliwy program samodzielnie rozprzestrzeniający się po sieci), skanowanie sieci (portów) lub spam. Kolejnym przykładem jest analiza wykorzystywanych portów. Na przykład port 1434 był wykorzystywany przez trojana o nazwie Slammer.

O elastyczności wykorzystania analiz NetFlow w celach osiągnięcia bezpieczeństwa sieci świadczą kolejne przytoczone w artykule przykłady. Wykrywanie zagrożeń: na przykład wiele (tysiące) przepływów w stosunkowo krótkim okresie czasu (np. 20 minut) po porcie numer 445 nie jest prawidłowym zachowaniem sieci i oznacza pojawienie się Sassera. Następnie wykrywanie przypadków phisingu (pozyskanie poufnych informacji osobistych), wykrywanie luk w konfiguracji firewalli czy wykorzystanie analiz do ruchu z i do uczelni, gdzie wykryto wykorzystywanie aplikacji do dzielenia się plikami oraz częstych połączeń z numerami IP w Chinach z serwerem szkoły. W podsumowaniu artykułu autor podkreśla fakt, że w sytuacji, gdy zagrożenia systemów komputerowych i sieci ciągle ewoluują, natura „ad hoc” analiz data miningowych sprawia, że są wartościową techniką przydatną w celu identyfikacji i dostosowania się do nowych zagrożeń w sytuacji ich wystąpienia.

Tematykę wykorzystania metod data miningowych w obszarze wykrywania zagrożeń porusza w swoich licznych pracach między innymi Wenke Lee. W pracach pt. „Adaptive Intrusion Detection: a Data Mining Approach” oraz “Real Time Data Mining-based Intrusion Detection” autorzy opisują powstawanie modeli wykrywania zagrożeń w oparciu o użycie technik eksploracji danych oraz zastosowanie zaproponowanych rozwiązań dla tzw. systemów Real-Time IDS (z ang. Real-time system – system czasu rzeczywistego, IDS – ang. Intrusion Detection System – system wykrywania zagrożeń).

W celu dokładniejszego scharakteryzowania zasady działania i funkcjonowania technologii NetFlow w kolejnej części pracy dokonamy opisu zasady gromadzenia danych w oparciu o jej wykorzystanie.  open office download Office Standard 2007 Linki sponsorowane i kampanie adwords w Google. Marketing internetowy. szablony aukcji szablony Allegro szablony do allegro