Главная Случайная страница


Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Глава 3. Моделирование систем мониторинга

Введение

Описанная система мониторинга должна распознавать даже промежуточные изменения в настройке отдельных устройств и сразу же сообщать об этом администратору. Например, возможно, что применение асимметричных маршрутных путей необходимо в данный момент времени при конкретных условиях, но если их число постоянно меняется, значит в сети имеется аномалия, и это необходимо проверить.

Приведенные требования можно формализовать следующим образом. При реализации функций мониторинга параметров работы систем фильтрации и маршрутизации трафика средство, отвечающее за выполнение этих функций, должно обеспечивать:

1) формирование, просмотр, редактирование, активацию (деактивацию) и удаление заданий на сбор значений параметров работы (выполнения\невыполнения правил) систем фильтрации и маршрутизации пакетов информации;

2) система должна идентифицировать любые изменения (удаление, изменение или добавление новых правил) ключевых элементов в конфигурации политик сетевых устройств, а так же выявлять следующие типы аномалий систем фильтрации и маршрутизации пакетов информации: пересечение, обобщение, затенение и избыточность. Конфигурация каждой системы должна проверяться по утвержденной базе данных эталонных образов для проверки любых изменений в настройках безопасности, которые могли бы повлиять на безопасность;

3) создание отчетов (в виде журналов) по параметрам работы систем фильтрации и маршрутизации пакетов информации. Отчет должен содержать время и дату выявления аномалии, наименование объекта мониторинга, тип выявленной аномалии, источник выявленной аномалии, краткое описание ее местоположения;

4) выдачу аварийных сообщений по параметрам работы и конфигураций систем фильтрации и маршрутизации пакетов информации, если полученные значения отличаются от установленных.

Для полноценного контроля за процессами фильтрации и маршрутизации, средство обеспечивающее данные функции должно предоставлять следующие возможности:

мониторинг изменения конфигурации правил фильтрации и маршрутизации;

мониторинг противоречий (валидация) правил фильтрации и маршрутизации;

выдача аварийных сообщений с краткой информацией о выявленных аномалиях;

ведение журнала отчетов;

Применение метода функциональной декомпозиции позволило выделить в таблицу составные части, характерные для описанной системы мониторинга.

Таблица 3.1. Составные части алгоритма мониторинга

Подсистема сбора данных Осуществляет с заданной регулярностью опрос объектов, подлежащих мониторингу, для получения исследуемых значений. Может также включать в себя первичный анализ полученных данных с целью, квалификации полученных значений как нормальных, требующих вмешательства оператора либо критических.
Подсистема хранения Отвечает за накопление, хранение, архивацию данных о результатах проверок. Включает компоненты для работы с базами данных (БД) или иными репозиториями, программные средства уменьшения объема хранимой информации и т.п.
Подсистема анализа данных Включает компоненты, производящие исследования данных, накопленных системой, сбор статистики, выработку эталонных значений и сравнение с ними различных состояний наблюдаемой системы, верификацию правил маршрутизации и фильтрации и т.д.
Подсистема оповещения Отвечает за уведомление лиц, ответственных за функционирование проверяемых объектов о нештатных ситуациях и иных значимых событиях, возникающих в системе.
Подсистема вывода Отвечает за представление информации о работе системы и результатов проверок в виде, удобном для восприятия пользователем. Для взаимодействия с конечным пользователем, безусловно, необходим развитый интерфейс, предоставляющий удобную навигацию между различными типами отчетов и сводок о состоянии объектов мониторинга.

 

Эти подсистемы ориентированы на оперативный мониторинг, направленный на оценку текущей работоспособности и немедленную реакцию на разнообразные внештатные ситуации работы систем маршрутизации и фильтрации.

На рисунке 1 приведена возможная архитектура системы, удовлетворяющей этим требованиям.


Рисунок 3.1.1 ‒ Архитектура системы мониторинга

 

Фактически можно говорить о том, что типовые особенности, наложенные на конкретную архитектуру, выражают требования к функциональной модели разрабатываемой системы. По методологии IDEF0 для программного комплекса мониторинга правил фильтрации и маршрутизации сетевого трафика разработана функциональная модель, определяющая структуру и связи подсистем системы мониторинга. Модель разрабатываемой системы, построенная согласно данному стандарту приведена на рисунке ниже.

Рисунок 3.1.2 ‒ Контекстная диаграмма верхнего уровня

 

 

Рисунок 3.1.3 ‒ Дочерняя диаграмма

Представленная функциональная модель состоит из двух диаграмм: родительской диаграммы (А0) и диаграммы, представляющей ее декомпозицию.

Основной функциональный блок, который определяет систему в качестве единого модуля, детализируется на другой диаграмме с помощью шести блоков, соединенных интерфейсными дугами. Эти блоки представляют основные подфункции исходной функции. Данная декомпозиция выявляет полный набор подфункций, каждая из которых представлена как блок, границы которого определены интерфейсными дугами.

В процессе декомпозиции, функциональный блок, представленный на родительской диаграмме, был подвергнут детализации на второй диаграмме. Получившаяся диаграмма второго уровня содержит функциональные блоки, отображающие главные подфункции функционального блока родительской диаграммы и является дочерней. Декомпозиция была произведена в соответствии с шестью основными модулями, которые должны быть включены в ПС мониторинга(таблица 1). Таким образом, блок, представленный на родительской диаграмме, был разбит на следующие функциональные блоки:

– обработка события ИБ (А1);

– сбор информации об этом событии (А2);

– сохранение собранной информации (А3);

– анализ сохраненной информации (А4);

– распространение проанализированной информации (А5);

– отобразить распространенную информацию (А6).

Управление будет воздействовать на все шесть функциональных блоков, представленных на диаграмме, декомпозирующей родительскую диаграмму.

Можно утверждать, что математического моделирования, для приведенного набора модулей, требует только та часть, функции которой сводятся к анализу и проверке формальных спецификаций. Известны различные общие подходы, но их применимость к верификации правил фильтрации и маршрутизации ограничена, в следствие чего существующих средств сетевого мониторинга и управления маршрутизацией\фильтрацией, удовлетворяющих всем поставленным в данном исследовании требованиям не выявлено.

Следует отметить, что аномалии возникающие в правилах фильтрации и маршрутизации легко поддаются математической формализации, что стало одним из решающих факторов, повлиявших на результат тщательного анализа, в ходе которого был сделан следующий вывод: для данной работы наиболее подходящим представляется сигнатурный метод верификации правил. Этот подход предполагает структурирование и последующий анализ собранной о конфигурациях политик информации. Основным преимуществом данного подхода является сочетание простоты программной реализации с максимальной точностью выявления аномалий.

Последнее изменение этой страницы: 2016-08-28

lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...