📄Работа №192026
Тема: РАЗРАБОТКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ДЛЯ АНАЛИЗА ХАРАКТЕРИСТИК СЕТЕВЫХ ПОТОКОВ
Тип работы
Магистерская диссертация
Предмет
физика
Объем:
72 листов
Год:
2019
Просмотров:
43
5720
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Реферат 2
ВВЕДЕНИЕ 4
1 ОБНАРУЖЕНИЕ АНОМАЛИЙ В IP СЕТЯХ 8
1.1 Особенности передачи данных в IP сетях 14
1.2 Аномалии в IP сетях 2'2
1.3 Программное обеспечение для обнаружения аномалий 30
Выводы 47
2 РАЗРАБОТКА МОДУЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ 48
2.1 Архитектура 49
2.2 Используемые библиотеки исгороннее ПО 50
3 ТЕСТ ИРОВАНИЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ 55
3.1 Обнаружение тестовых аномалий 55
ЗАКЛЮЧЕНИЕ 61
Список использованных источников 62
Приложение А 65
ВВЕДЕНИЕ 4
1 ОБНАРУЖЕНИЕ АНОМАЛИЙ В IP СЕТЯХ 8
1.1 Особенности передачи данных в IP сетях 14
1.2 Аномалии в IP сетях 2'2
1.3 Программное обеспечение для обнаружения аномалий 30
Выводы 47
2 РАЗРАБОТКА МОДУЛЯ ОБНАРУЖЕНИЯ АНОМАЛИЙ 48
2.1 Архитектура 49
2.2 Используемые библиотеки исгороннее ПО 50
3 ТЕСТ ИРОВАНИЕ СИСТЕМЫ ОБНАРУЖЕНИЯ АНОМАЛИЙ 55
3.1 Обнаружение тестовых аномалий 55
ЗАКЛЮЧЕНИЕ 61
Список использованных источников 62
Приложение А 65
📖 Введение
Существующие методы обнаружения вредоносных действий становятся менее эффективными, т.к. в настоящее время процент зашифрованного трафика в сетевом потоке стабильно растет. Это порождает много проблем анализа сетевых потоков с использованием устоявшихся методов, сконцентрированных вокруг сетевых данных. Для применения таких методов анализа необходимо каким-либо образом получать необходимые характеристики из сетевого потока. Существующее программное обеспечение чаще всего не подходит для реализации на его базе принципиально новых подходов в силу оптимизации под конкретно выбранные авторами алгоритмы. Поэтому была поставлена цель разработать универсальный программный комплекс, предоставляющий доступ к сетевым потокам и позволяющий подключать различные независимые модули, реализующие любые алгоритмы анализа без доработки всей системы в целом. Согласно результатам исследования «Лаборатории Касперского», за последний год порядка 96% небольших компаний России хотя бы раз сталкивались с информационными угрозами, опережая по этому показателю коллег из США и Европы, где данный показатель не превышает 91 %. Чаще всего российские малые и средние предприятия страдают от спама (около 74 %), вредоносных программ (около 71 %), вирусов, червей и шпионского программного обеспечения. Примерно четверть представителей среднего и малого бизнеса сталкиваются с взломом компьютеров и корпоративного шпионажа. В периоде 2017 по 2018 г. специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного прог-рам много обеспечения. Мониторинг всей сети в целом становится все более сложным, и традиционные средства обнаружения становятся менее эффективными. В большинстве организаций нет программного обеспечения для своевременного обнаружения вредоносного контента в зашифрованном трафике. Им нс хватает средств безопасности и ресурсов дтя реализации решения, которое могло бы быть развернуто во всей сетевой инфраструктуре без замедления работы сети. Большинство методов анализа сетевого трафика предполагает использование некоторого инструмента для получения характеристик сетевого потока для дальнейшего анализа. На текущий момент популярными инструментами для получения сетевых характеристик являются про1раммы-снифферы, такие, как Sniffit. Whireshark, Snort, TCPdump, ADMsniff и другие варианты реализации получения характеристик сетевых потоков. Существенным недостатком таких программ является то, что в них нельзя встраивать модули, содержащие различные методы анализа сетевых характеристик. В 2016 году при разработке алгоритма метода энтропийного анализа обнаружения сетевых аномалий в IP сетях нами было замечено что существующий инструментарий для получения необходимых сетевых характеристик не позволяет эффективно использован» разрабатываемый метод анализа. Также нельзя было объединить метод анализа и метол получения сетевых характеристик что приводило к большой задержке между получением данных и результатами анализа данных.
Поэтому было решено разработай» собственное программное обеспечение, которое позволило бы получать необходимые сетевые характеристики. Важной особенностью такого программного обеспечения будет являться то что такой инструментарий будет удобно использовать вместе с пользовательским методом анализа сетевого потока, что позволит ускорить процессы сетевого исследования и обнаружения разного рода сетевых аномалий. Таким образом предметом исследования работы является сетевой поток.
Целью данной работы является разработка моду-ля обнаружения аномалий для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
На защиту выносятся следующие научные положения:
• О наличии во входящем потоке аномалии методом энтропийного анализа свидетельствует отклонение от эталонных значений минимум двух параметров из следующего множества: IP-адрес источника. 1Р-адрсс получателя, TCP-порт источника. TCP-порт получателя, длина IP пакета при выборе из 24000 сетевых пакетов с точностью не ниже 95%.
• Реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду' при конфигурации аппаратного обеспечения: центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8, оперативная память 4 Гб, сетевой адаптер PCI Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.
Научная значимость разработки модуля обнаружения аномалий:
• Возможностью усовершенствования этого программного модуля в дальнейшем
• Быстрым получением необходимых для исследований данных
• Построением с се помощью, вкупе с методами получения сетевых характеристик, различных моделей функционирующих сетей Практическая значимост ь модуля обнаружения аномалий:
• При помощи разработанного модуля возможно обнаружение сетевых аномалий.
• Определена нагрузка создаваемая модулем на аппаратную часть в процессе обнаружения аномалий в зависимости от величины потока анализируемых данных
Для достижения поставленной пели работа была разделена на следующие задачи:
• Написание модуля определения аномалий сетевой активности.
• Тестирование модуля определения аномалий сетевой активности в составе системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
• Анализ полученных результатов по проделанной работе.
• Определение минимального количества отслеживаемых параметров для детектирования аномалии с вероятностью нс ниже 95%
• Определение ресурсоёмкости модуля
Достоверность данных обосновывается практически и с использованием теоретических расчётов.
Новизна работы заключается в создании модуля анализа характеристик сетевого потока в реальном времени для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в 1Р сетях.
Содержание диссертации включает в себя введение, три главы, 7 подглав, заключение, список использованных источников, два приложения. Во введении раскрыто общее содержание работы. В главах рассматриваются методы и средства анализа сетевою графика, архитектура разрабатываемого модуля, результаты его работы. Дается заключение относительно проделанной работы.
Поэтому было решено разработай» собственное программное обеспечение, которое позволило бы получать необходимые сетевые характеристики. Важной особенностью такого программного обеспечения будет являться то что такой инструментарий будет удобно использовать вместе с пользовательским методом анализа сетевого потока, что позволит ускорить процессы сетевого исследования и обнаружения разного рода сетевых аномалий. Таким образом предметом исследования работы является сетевой поток.
Целью данной работы является разработка моду-ля обнаружения аномалий для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
На защиту выносятся следующие научные положения:
• О наличии во входящем потоке аномалии методом энтропийного анализа свидетельствует отклонение от эталонных значений минимум двух параметров из следующего множества: IP-адрес источника. 1Р-адрсс получателя, TCP-порт источника. TCP-порт получателя, длина IP пакета при выборе из 24000 сетевых пакетов с точностью не ниже 95%.
• Реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду' при конфигурации аппаратного обеспечения: центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8, оперативная память 4 Гб, сетевой адаптер PCI Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.
Научная значимость разработки модуля обнаружения аномалий:
• Возможностью усовершенствования этого программного модуля в дальнейшем
• Быстрым получением необходимых для исследований данных
• Построением с се помощью, вкупе с методами получения сетевых характеристик, различных моделей функционирующих сетей Практическая значимост ь модуля обнаружения аномалий:
• При помощи разработанного модуля возможно обнаружение сетевых аномалий.
• Определена нагрузка создаваемая модулем на аппаратную часть в процессе обнаружения аномалий в зависимости от величины потока анализируемых данных
Для достижения поставленной пели работа была разделена на следующие задачи:
• Написание модуля определения аномалий сетевой активности.
• Тестирование модуля определения аномалий сетевой активности в составе системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в IP сетях.
• Анализ полученных результатов по проделанной работе.
• Определение минимального количества отслеживаемых параметров для детектирования аномалии с вероятностью нс ниже 95%
• Определение ресурсоёмкости модуля
Достоверность данных обосновывается практически и с использованием теоретических расчётов.
Новизна работы заключается в создании модуля анализа характеристик сетевого потока в реальном времени для системы идентификации программного обеспечения, генерирующего потоки данных, пересылаемых в 1Р сетях.
Содержание диссертации включает в себя введение, три главы, 7 подглав, заключение, список использованных источников, два приложения. Во введении раскрыто общее содержание работы. В главах рассматриваются методы и средства анализа сетевою графика, архитектура разрабатываемого модуля, результаты его работы. Дается заключение относительно проделанной работы.
✅ Заключение
Был проведен литературный обзор на методы обнаружения аномалий в IP сетях. Были рассмотрены особенности передачи данных в IP сетях. Представлен обзор на различие видов аномалий R IP сетях. Рассмотрено популярное современное программное обеспечение для анализа сетевых характеристик.
При выполнении выпускной квалификационной работы был разработан модуль выявления аномальных состояний сети для программной реализации системы идентификации программного обеспечения.
Во время тестового запуска программы в лабораторной сети удалось обнаружить тестовую аномалию.
Было определено что необходимо и достаточно для обнаружения аномалии сетевого потока обнаружить изменения двух параметров из 5 рассмотренных для обнаружения аномалий методом энтропийного анализа с вероятностью не менее 95%.
Были получены и проанализированы зависимости потребляемой модулем оперативной памяти я загрузки процессора при анализе пяти сетевых параметров в режиме реального времени.
Было рассчитано иго реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду при конфигурации аппаратного обеспечения центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8. оперативная память 4 Гб, сетевой адаптер PC! Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.
При выполнении выпускной квалификационной работы был разработан модуль выявления аномальных состояний сети для программной реализации системы идентификации программного обеспечения.
Во время тестового запуска программы в лабораторной сети удалось обнаружить тестовую аномалию.
Было определено что необходимо и достаточно для обнаружения аномалии сетевого потока обнаружить изменения двух параметров из 5 рассмотренных для обнаружения аномалий методом энтропийного анализа с вероятностью не менее 95%.
Были получены и проанализированы зависимости потребляемой модулем оперативной памяти я загрузки процессора при анализе пяти сетевых параметров в режиме реального времени.
Было рассчитано иго реализованный в модуле метод обнаружения аномалий в IP сетях позволяет обрабатывать в режиме реального времени потоки данных скоростью до 7.8 мегабит в секунду при конфигурации аппаратного обеспечения центральный процессор Intel® Core™ i7-3770 CPU @ 3.40GHz * 8. оперативная память 4 Гб, сетевой адаптер PC! Express Gigabit Ethernet Controller 1 Гбит/сек 33 МГц.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.