Масштабирование систем глубокого анализа сетевого трафика

Аспирант:
Пономаренко Р.Е.

Научный руководитель:
Гетьман А.И.

26.09.2024
ИСП РАН

Масштабирование систем глубокого анализа сетевого трафика

4 метода реализации техник глубокого анализа трафика*

  • Классификация по портам
  • Поиск совпадений по шаблонам
  • Методы машинного обучения
  • Декодирование протоколов



*Çelebi M., Özbilen A., Yavanoğlu U. A comprehensive survey on deep packet inspection for advanced network traffic analysis: issues and challenges //Niğde Ömer Halisdemir Üniversitesi Mühendislik Bilimleri Dergisi. – 2023. – Т. 12. – №. 1. – С. 1-29.

Известные реализации с открытым исходным кодом

  • ndpi - частичное протокольное декодирование
  • Wireshark - полное протокольное декодирование
wireshark screenshot

Обобщённое представление архитектуры

Обобщённое представление архитектуры

Разделение модулей, ядра и интерфейсов

3 слоя разделения

Актуальные направления дальнейших исследований


  • Повышение скорости обработки
  • Оптимизация работы с памятью для внутреннего состояния
  • Разработка решений для частных случаев обработки трафика

Рассматриваемые способы ускорения обработки


  • Разделение системы на отдельные сервисы и запуск в кластере при помощи оркестратора
  • Параллельная асинхронная обработка
  • Реализация системы глубокого анализа трафика в качестве ОС

Разработанная архитектура для запуска в кластере

work circle

Параллельная асинхронная обработка

Система глубокого анализа трафика как ОС


  • Захват трафика в пространстве ядра ОС
  • Сборка сеансов связи
  • Потоки уровня пользователя

Результаты

  • Проанализированы архитектуры систем глубокого анализа сетевого трафика методом протокольного декодирования с открытым исходным кодом
  • Выделены актуальные задачи, стоящие перед разработчиками таких систем
  • Произведены многочисленные доработки разрабатываемых в ИСП РАН систем глубокого анализа трафика, в т.ч. предложены решения актуальных задач
  • Создан тестовый стенд для отслеживания влияния вносимых изменений в программный код

Публикации в журналах:

  • Пономаренко Р. Е., Егоров В. И., Гетьман А. И. Вызовы в реализации систем глубокого анализа сетевого трафика методом полного протокольного декодирования //Труды Института системного программирования РАН. – 2023. – Т. 35. – №. 4. – С. 45-64.
  • Егоров В. И., Пономаренко Р. Е., Гетьман А. И. Применение различных систем хранения для результатов анализа сетевого трафика //Труды Института системного программирования РАН. – 2024. – Т. 36. – №. 2. – С. 7-20.

РИД:

  • Патент N 2823895 Российская Федерация, МПК G06N 3/08 (2006.01). Способ генерации состязательных примеров для сетевой системы обнаружения вторжений : N 2023134434 : заявл. 21.12.2023 : опубл. 30.07.2024 / Гетьман А.И., Горюнов М.Н., Мацкевич А.Г., Перминов А.И., Рыболовлев Д.А., Пономаренко Р.Е. // ФИПС - Федеральный институт промышленной собственности. URL: https://www.fips.ru/cdfi/fips.dll/ru?ty=29&docid=2823895 (дата обращения: 25.09.2024).

Неприменимость клиентских библиотек для обработки трафика:

Проблема одностороннего трафика

Пример одностороннего трафика