ИМИТАЦИОННАЯ МОДЕЛЬ ГЕНЕРАЦИИ СЕТЕВОГО ТРАФИКА

По результатам исследования Лабораторией Касперского в 2015 году 17% российских компаний столкнулись с DDos-атаками, а сама страна оказалась в первой пятерке государств, чьи веб-ресурсы вызывали наибольший интерес у киберзлоумышленников [9]. По данным компаний Qrator и Wallarm, в 2014 году среднее число зловредных запросов на одного клиента увеличилось в 2.5 раза, при этом для одной атаки, как правило используются запросы с группы IP-адресов [14]. Таким образом, рост количества сетевых угроз определяет необходимость подготовке квалифицированных специалистах в области защиты от сетевых атак, в частности анализа сетевого трафика на наличие аномалий. Качество подготовки специалистов во многом зависит от эффективности проведения практических занятий в лабораториях, позволяющих моделировать реальные ситуации.  Использование реального оборудования для моделирования и анализа сетевых аномалий в учебном и исследовательском процессе имеет ряд ограничений по подготовке экспериментов, таких как необходимость согласовать время использования сетевого оборудования, большие временные затраты на подготовку эксперимента. Данные обстоятельства определяют актуальность разработки методов и средств автоматизации генерации сетевого трафика с заданными характеристиками в рамках проведения исследований по анализу аномалий сетевого трафика вычислительной сети.

Цель данной работы заключается в автоматизации процесса генерации сетевого трафика с заданными характеристиками для задач учебного процесса.

Обзор литературы [4, 6, 10-11, 15-17], посвященной средствам генерации сетевого трафика, позволил определить два основных их типа:

- программные средства, создающие сетевые пакеты и отправляющие их по реально созданному сетевому подключению, которые регистрируются специализированными программными средствами фиксации сетевого трафика;

- программные средства, создающие пакеты сетевого трафика и фиксируемые в некоторых лог-файл трафика без специализированного программного средства регистрации сетевого трафика.

Сравнительные характеристики наиболее распространенных средств генерации сетевого трафика представлены в таблице 1.

Таблица 1.

Анализ программных средств генерации сетевого трафика

Основными недостатками рассмотренных программных средств являются отсутствие возможности генерации сетевого трафика с заданными статистическими характерами. В связи с этим, возникает необходимость создания средства формирования сетевого трафика с заданными статистическими характеристиками, приближенным к реальному сетевому трафику для задач учебного процесса по изучению сетевых вторжений в компьютерных системах, а также для нагрузочного тестирования сетевого оборудования локальных сетей.

Обобщенная схема имитационной модели генерации сетевого трафика представлена на рисунке 1.

Рисунок 1. Имитационная модель генерации сетевого трафика

На вход данной модели поступают: реальный сетевой трафик R, тип сетевого трафика T и временная длительность в генерируемом сетевом трафике. Блок расчета эталонных характеристик определяет статистические характеристики трафика P и сохраняет их в базу данных эталонов. Блок генерации сетевого трафика формирует моделируемый трафик R’ на основании выбранных статистических характеристик P, типа трафика T. В данной работе в качестве статистических характеристик используются такие параметры сетевого трафика как: математическое ожидание, среднеквадратичное отклонение, показатель Херста и коэффициент автокорреляции.

Математическое ожидание вычисляется следующим образом:

,                                                  (1)

где:   x_i – значение количества сетевых пакетов в i-ый момент времени;

n – количество всех сетевых пакетов трафика;

N – количество всех моментов времени.

Среднеквадратичное отклонение определяется по формуле:

                                         (2)

Показатель Херста вычисляется из формулы:

,                                                       (3)

где    H – показатель Херста;

N – число периодов наблюдения (количество всех моментов времени);

S – среднеквадратичное отклонение;

R – размах выборки;

a – коэффициент вычисления.

Значение коэффициента вычисления a в формуле 3 определено как 1,5708, доказательство точности вычислений, используя данный коэффициент представлено в научной работе Эрика Наймана на тему «Расчет показателя Херста с целью выявления трендовости (персистентности) финансовых рынков и макроэкономических показателей».

Преобразуя формулу 3 производится вычисление показателя Херста:

                                                        (4)

Расчет коэффициента автокорреляции производится по формуле:

,                                               (5)

где    l – временной лаг (сдвиг значений ряда);

n – число наблюдений;

t – момент времени, в который осуществляется наблюдение;

k – фактическое значение временного ряда;

 – среднее значение фактического временного ряда.

Работа блока генерации сетевого трафика основана на научных работах [5, 7, 12], в которых используются гистограммы распределений, для формирования временного ряда, приближенного к реальным значениям.

На выходе данной модели формируется моделируемый трафик R’ и оценка достоверности D, показывающая степень соответствия статистических характеристик P.

Внутренними данными модели являются параметры сетевого трафика P, которые представляются следующим выражением:

,                                        (6)

где    p₁ – гистограммы распределений количества сетевых пакетов каждого типа протокола;

p₂ – гистограммы распределений длин сетевых пакетов каждого типа протокола;

p₃ – гистограмма распределения флагов протокола TCP;

p₄ – среднее значение количества пакетов в секунду;

p₅ – значение времени последнего зафиксированного сетевого пакета.

Моделируемый сетевой трафик R^’ имеет следующую структуру:

,                                        (7)

где    r_i – i-ий сетевой пакет трафика, при i = ;

m – количество пакетов в сетевом трафике.

В свою очередь i-ый сетевой пакет имеет следующую структуру:

,             (8)

где    time – время фиксации i-ого сетевой пакет трафика;

Source – IP-адрес отправителя i-ого сетевой пакет трафика;

Destination – IP-адрес получателя i-ого сетевой пакет трафика;

Protocol – тип протокола i-ого сетевой пакет трафика;

Flag – флаги протокола i-ого сетевой пакет трафика;

TTL – время жизни i-ого сетевой пакет трафика;

length – длина i-ого сетевой пакет трафика.

Сетевой пакет является функцией, согласно формулы 9.

r = F (T, t, P),                                                   (9)

где    T – тип сетевого трафика, который необходимо сформировать;

t – время моделируемое в формируемом сетевом трафике;

P – показатели сетевого трафика.

В формуле 10 описан математический алгоритм формирования сетевого пакета, а точнее – значений, характеризующих сетевой пакет.

r_i = {time_i = random(Δ_i-1, Δ_i);

S_i = f (random());

D_i = f (random());

Protocol_i = f (dicttypeprotocol[i]);                                (10)

F_i = f (dictflag, Protocol_i, random(0,1));

TTL_i = f (dictttl, Protocol_i, random(0,1));

length_i = f (dictlenght, Protocol_i, random(0,1));}

где    random() – генерация случайного числа в указанном диапазоне;

Δ_i-1 – значение времени фиксации предыдущего сетевого пакета;

Δ_i – значение времени предела фиксации текущего сетевого пакета.

В данной формуле под значением Random() понимается функция генерации случайного числа в диапазоне указанного в данной функции. Тип протокола выбирается из множества типов протоколов данного типа сетевого трафика из гистограммы плотности распределения протоколов сетевого трафика.

А параметры флаг протокола, время жизни пакета и длина пакета являются функциями от типа протокола сетевого пакета и случайного числа. Для выбора одного из значений данного множества значений показателя производится формирование случайного числа в диапазоне от нуля до единицы и сопоставление данного числа со значением построенного распределения величин, относящихся к указанному протоколу сетевого трафика.

Во множестве современных научных работ, посвященных обнаружению вторжений на основе анализа сетевого трафика, большое внимание уделяется статистическим характеристикам интенсивности сетевого трафика. В связи с этим, основываясь на научных работах [1-3, 13], для оценки достоверности генерируемого трафика определены статистические характеристики:

,                                            (11)

где    u₁ – математическое ожидание интенсивности сетевого трафика;

u₂ – среднеквадратичное отклонение интенсивности сетевого трафика;

u₃ – показатель Херста;

u₄ – значение автокорреляционной функции интенсивности сетевого трафика.

Для степени соответствия сгенерированного сетевого трафика с реальным производится расчет относительной ошибки i-ой статистической характеристики по формуле 7.

Δ,                                           (7)

где:    – значение i-ой статистической характеристики реального сетевого трафика;

 – значение i-ой статистической характеристики модельного сетевого трафика.

Для сравнения сетевого трафика используется сумма всех относительных ошибок статистических характеристик сетевого трафика согласно формуле 8.

                                          (8)

Используя представленные формулы, производится сравнение схожести модельного сетевого трафика, который был сгенерирован, с реальным сетевым трафиком, который был взят за эталон сетевого трафика, что является значением достоверности, соответствующим формуле 9.

D = 1 - U_срав                                                        (9)

Таким образом, предложена модель генерации сетевого трафика производит генерацию сетевого трафика по заданным параметрам, а так же полученный результат максимально приближен к реальному сетевому трафику, так как в данной модели предлагается рассматривать служебные сетевые протоколы для соединения локальных машин и передачи информации между ними.

Список литературы:

1. Анализ сетевого трафика в режиме реального времени: обзор прикладных задач, подходов и решений: отчет о НИР (промежуточный): рук. Гетьман А.И.; исполн.: Евстропов Е.Ф., Маркин Ю.В. – Точка доступа: http://www.ispras.ru/preprints/docs/prep_28_2015.pdf. – 2006. – 26 с. –№ ГР 14-07-00606 А.
2. Богданова, Е.А. Анализ сетевого трафика и выявление нелегитимных пакетов в ходе Dos-атаки. / Е.А. Богданова, В.Н. Ручкин. // Приволжский научный вестник. – Ижевск, 2012. – № 11 (15). – С. 4-9. – 100 с. / [Электронный ресурс] – Точка доступа: http://icnp.ru/sites/default/files/PNV/PNV_15.pdf. – ISSN 2224-0179. – Режим доступа: свободный. – 08.12.2016.
3. Буранова, М.А. Анализ статистических характеристик мультимедийного трафика узла агрегации в мультисервисной сети. / М.А. Буранова, В.Г. Карташевский, М.С. Самойлов. // Радиотехнические и телекоммуникационные системы. Системы, сети и устройства телекоммуникаций. – Муром, 2014. – № 4 (16). – С. 63-69. – 84 c. – ISSN 2221-2574.
4. Генератор ethernet пакетов [электронный ресурс] / Public to me network – Blog and News about Linux, IT and Open Source. – Режим доступа. – URL: http://www.pub2me.net/генератор-ethernet-пакетов/ (дата обращения 18.09.2016).
5. Иванча, А.Г. Решение задачи генерирования случайных автокоррелированных временных рядов методами непараметрической статистики. / А.Г. Иванча // УЭкС. – 2011. – № 34 – С. 50.
6. Мощь Scapy [электронный ресурс] / Хабрахабр. – Режим доступа. – URL: https://habrahabr.ru/post/249563/ (дата обращения 18.09.2016)
7. Прохоров, С.А. Моделирование и анализ случайных процессов. Лабораторный практикум. [2-е изд., переработанное и дополненное] / С.А. Прохоров. – СНЦ РАН, 2002. – 277 с.
8. Романенко, С.Ю. Учебно-лабораторный комплекс для изучения аномалий сетевых трафиков. / Т.З. Аралбаев, С.Ю. Романенко // Технические науки – от теории к практике / Сборник статей по материалам LVI международной научно-практической конференции. – Новосибирск: Изд. АНС «СибАК». – 2016. – № 3 (51) – С. 17-24 – 166 с. / [Электронный ресурс] – Режим доступа. – URL: http://www.sibac.info/ files/2016_03_28_technics/ lvi.pdf. - ISSN 2308-5991.
9. Сайт временно не доступен: каждая шестая компания в России подверглась DDos-атаке [электронный ресурс] / KASPERSKYlab. – Режим доступа. – URL: http://www.kaspersky.ru/about/news/virus/2016/ddos-attacks-in-russian-companies (дата обращения 19.09.2016)
10. Трафик генератор Ostinato в UNetLAB [электронный ресурс] / CCIENetLab – Подготовка к экзаменам CCNA, CCNP, CCIE. – Режим доступа. – URL: http://ccienetlab.com/labs/20-trafik-generator-ostinato-v-unetlab.html (дата обращения 18.09.2016)
11. Что такое LOIC [электронный ресурс] / «Хакер» - Безопасность, разработка, DevOps. – Режим доступа. – URL: https://xakep.ru/2010/12/09/54255/ (дата обращения 18.09.2016)
12. Шелухин, О.И. Математические модели и имитационное моделирование агрегированного трафика VoIP / О.И. Шелухин, А.В. Пружинин, А.В. Осин, Г.А. Урьев // Электротехнические и информационные комплексы и системы. – 2006. – № 1 – С. 32-37.
13. Шыхалиев, Р.Г. Анализ и классификация сетевого трафика компьютерных сетей. / Р.Г. Шыхалиев. // İnformasiya texnologiyaları problemləri. – Азербайджан: Баку, 2010. – № 2. – С. 15-23. – [Электронный ресурс] – Точка доступа: http://www.jpit.az/storage/files/article/b61aeb69dd6a7e2a8ee2a22285b321bd.pdf – ISSN 2077-964X.
14. DDos-атаки 2014: реже, но крупнее [электронный ресурс] / БЕСТСЕЛЕРЫ Аналитического рынка ИТ. – Режим доступа. – URL: http://www.itbestsellers.ru/companies-analytics/detail.php?ID=30073 (дата обращения 15.04.2015)
15. INTRODUCTION [электронный ресурс] / OSTINATO Network Traffic Generator and Analyzer. – Режим доступа. – URL: http://ostinato.org/ (дата обращения 18.09.2016)
16. PackETH [электронный ресурс] / PACKETH. – Режим доступа. – URL: http://packeth.sourceforge.net/packeth/Home.html (дата обращения 18.09.2016)
17. Scapy [электронный ресурс] / Ne dites rien, les mots sont superflus... – Режим доступа. – URL: http://www.secdev.org/projects/scapy/ (дата обращения 18.09.2016)