Разработка математического и программного обеспечения активного мониторинга корпоративных компьютерных сетей тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат технических наук Еремеев, Валерий Борисович

Актуальность работы. Высокоскоростные корпоративные компьютерные сети играют в настоящее время все более важную роль. Они стали важной и неотъемлемой частью инфраструктуры и технологических процессов большинства предприятий и организаций. Сбои и отказы в компьютерных сетях приводят к искажению, необратимым потерям или временным задержкам информации, приводящим, в свою очередь, к нарушению технологических процессов, процессов управления предприятием, значительным финансовым потерям.

Современные компьютерные сети отличаются сложностью физической и логической топологии и организации. Кардинальные изменения в компьютерных сетях имеют место в связи с увеличением требований, предъявляемых к ним, способностью обеспечить выполнение новых, более емких приложений и компонентов. Концепция взаимодействия открытых систем (OSI) позволяет различным сетевым компонентам и приложениям разных производителей взаимодействовать друг с другом. С одной стороны, гетерогенность дает гибкость в удовлетворении разнообразных запросов пользователей, с другой, — она увеличивает риск возникновения сбоев и ошибок.

Ключевой составляющей обеспечения эффективного функционирования компьютерных сетей, сохранения постоянной сетевой готовности и высокой надежности является наличие систем мониторинга и управления.

В свою очередь, одной из основных целей мониторинга является оперативное обнаружение аномалий в работе сети, влияющих на потоки трафика, таких как: отказы, изменения конфигурации, перегрузки и запрещенные воздействия.

Распознавание и идентификация аномалий зачастую базируются на методах, представляющих собой практический опыт, полученный специалистом при администрировании сети (так называемых методах ad hoc). Существуют различные коммерческие и свободно распространяемые инструменты, однако они требуют задания самим пользователем правил или пороговых значений для срабатывания предупреждающих сигналов. Можно сказать, что подавляющее число# современных систем не могут гарантировать обнаружение и, тем более, прогнозирование аномалий, что обусловлено несовершенством заложенных в них методов и алгоритмов. Следовательно, любой сбой, отказ, перегрузка для таких сетей всегда является неожиданным и непредсказуемым, что существенно усложняет задачу ликвидации последствий этих сбоев и делает невозможной задачу предотвращения критических ситуаций.

Таким образом, разработка эффективных методов и средств прогнозирования состояний компьютерной сети, разработка специального программного обеспечения мониторинга корпоративной сети для выявления аномалий является весьма актуальной задачей.

Сетевые аномалии и свойства сетевого трафика стали интенсивно изучаться с начала 1990-х гг. Примеры анализа типовых режимов трафика могут быть найдены в работах [78], [101]. Более детальные характеристики и модели сетевого трафика включают исследование свойств самоподобия [23], [102], [120]. Различные методы анализа были использованы в этих и других исследованиях, включая временные ряды и Вейвлет-анализ [70].

Примерами работ в направлении обнаружения аномалий могут быть следующие труды: [90] — данная работа сфокусирована на изоляции сбоев в сетях, [85] - показывает, что сбои могут быть обнаружены по статистическим отклонениям от регулярно наблюдаемого состояния сети (профиля, шаблона), [75] - пороговые значения применяются к моделям временных рядов для определения отклоняющегося поведения сети. Эти исследования сосредоточены на том, как наиболее точно определить отклонение от нормального режима работы сети.

Аналогичный подход применен и в данной работе. Эффективность системы обнаружения аномалий зависит от точности и соответствия выбранного математического аппарата и методов, определяющего нормальный профиль состояния сети и детектирующего отклонения от него.

Цель работы: Целью диссертационной работы является разработка прикладного математического и программного обеспечения мониторинга и прогнозирования состояния корпоративной компьютерной сети для выявления аномалий в ее поведении на основе теоретического и экспериментального исследования в области программных средств организации и управления обработкой данных мониторинга компьютерных сетей.

Для достижения указанной цели были поставлены и решены следующие задачи:

1. Анализ существующих методов и средств мониторинга компьютерных сетей.

2. Разработка математической модели прогнозирования состояния корпоративной компьютерной сети, позволяющей учесть оптимальную глубину памяти и нестационарность наблюдаемого процесса.

3. Создание, на основе этой модели, алгоритма детектирования потенциально опасных отклонений поведения наблюдаемых сетевых показателей от типового профиля их поведения.

4. Создание структуры специального программного обеспечения мониторинга компьютерной сети, обеспечивающего задание типового профиля поведения.

5. Экспериментальная проверка разработанных средств на данных мониторинга корпоративной сети и проведение сравнительного анализа с другими моделями.

Методы исследования. В работе использованы методы теории вероятностей, математической статистики, анализа временных рядов, теории марковских процессов, объектно-ориентированного программирования.

Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

- метод активного мониторинга корпоративной компьютерной сети, отличающийся представлением наблюдаемых сетевых показателей как совокупностей реализаций случайных процессов и позволяющий применить аппарат теории вероятностей, математической статистики и анализа временных рядов для их прогнозирования;

- алгоритм оценки наличия памяти и старения данных о наблюдаемом процессе, позволяющий определить оптимальную значимую глубину обращения в прошлое;

- вероятностная модель прогнозирования состояния компьютерной сети, позволяющая учесть оптимальную глубину памяти и нестационарность наблюдаемого процесса и отличающаяся использованием массивов исходных автокоррелированных данных и методов решения задач классификации и снижения размерности;

- алгоритм детектирования потенциально опасных отклонений от типового профиля поведения наблюдаемых переменных, отличающийся использованием разработанной вероятностной модели прогнозирования и позволяющий охватить все возможные состояния наблюдаемых переменных;

- структура специального программного обеспечения мониторинга компьютерной сети, обеспечивающего задание профиля типового поведения, отличающаяся возможностью периодизации любой наблюдаемой сетевой переменной.

Практическая значимость заключается в повышении эффективности математического и программного обеспечения мониторинга компьютерных сетей предприятий. В рамках диссертационного исследования разработано программное обеспечение мониторинга и построения типового профиля поведения компьютерной сети, позволяющее осуществлять наблюдение показателей информационных управляющих баз (MIB) управляемых сетевых устройств и производить гибкую, интересующую сетевого специалиста периодизацию собранных данных, которая позволяет получить основу типового профиля поведения сети.

Реализация и внедрение результатов работы. Разработанное программное обеспечение внедрено в Дирекции по информационным технологиям ОАО «Новолипецкий металлургический комбинат». Данное программное обеспечение, предназначенное для наблюдения MIB-переменных и построения профиля их типового поведения при штатном функционировании корпоративной корпоративной сети, используется в качестве средства мониторинга.

Результаты диссертационной работы используются в учебном процессе Липецкого филиала Международного института компьютерных технологий при подготовке инженеров по специальности 230101 «Вычислительные машины, комплексы, системы и сети».

Апробация работы. Материалы работы, ее основные теоретические и практические результаты докладывались и обсуждались на международных, всероссийских и региональных конференциях, в том числе на XI-ой Международной открытой научной конференции «Современные проблемы информатизации в информационных системах и телекоммуникациях» (Воронеж, 2006), на Международной научной конференции «Компьютерные технологии в технике и экономике» (Воронеж, 2007), на Всероссийской молодежной конфеI ренции по проблемам управления (Москва, 2008), на Международной научной конференции «Информационные технологии и системы» (Геленджик, 2008), на V-ой Всероссийской школе-семинаре молодых ученых «Управление большими системами» (Липецк, 2008).

Публикации. По материалам диссертации опубликовано 11 научных работ, в том числе 1 — в издании, рекомендованном ВАК РФ. В работах, опубликованных в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: [42] - алгоритм периодизации данных мониторинга, [43] — метод активного мониторинга вычислительной сети и вероятностная модель прогнозирования.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы из 121 наименования, 7 приложений. Основная часть работы изложена на 147 страницах, содержит 38 рисунков и 20 таблиц.

4.5 Выводы

В главе приведены результаты практической реализации разработанных средств. В качестве тестовых последовательностей были использованы данные действующей корпоративной компьютерной сети Новолипецкого металлургического комбината. В главе проведён сравнительный анализ разработанного обеспечения с методом, основанным на использовании марковской модели, используемым в некоторых средствах мониторинга вычислительных сетей. Показана большая чувствительность и адекватность разработанного обеспечения.

Практическая ценность работы заключается в повышении эффективности мониторинга компьютерной сети предприятия за счёт разработанного инструментария построения профиля "нормального" поведения сети, прогнозирования её состояния, основанного на данном профиле, и обнаружения отклонений от него, посредством использования результатов прогноза.

Разработанные методы и средства могут быть применены и в других областях хозяйственной деятельности, связанных с контролем наблюдаемых процессов, имеющих периодичный характер.

Заключение

В ходе работы созданы алгоритмы и инструменты, позволяющие повысить эффективность мониторинга компьютерной сети предприятия с помощью разработанной модели стохастического прогнозирования.

Повышение эффективности мониторинга сети осуществляется за счет учета разработанной моделью нестационарности, наличия памяти и устаревания данных наблюдаемого процесса.

Разработанные средства построения типового профиля поведения вычислительной сети, прогнозирования ее состояния и обнаружения отклонений от полученного профиля реализованы в виде программного обеспечения и могут быть использованы для активного мониторинга компьютерной сети.

В работе получены следующие основные теоретические и практические результаты:

1. Предложен метод активного мониторинга корпоративной компьютерной сети, отличающийся представлением наблюдаемых сетевых показателей как совокупностей реализаций случайных процессов и позволяющий применить аппарат теории вероятностей, математической статистики и анализа временных рядов для их прогнозирования.

2. Разработан и реализован алгоритм оценки наличия памяти и старения данных о наблюдаемом процессе, позволяющий определить оптимальную значимую глубину обращения в прошлое.

3. Построена вероятностная модель прогнозирования состояния компьютерной сети, позволяющая учесть оптимальную глубину памяти и нестационарность наблюдаемого процесса и отличающаяся использованием массивов исходных автокоррелированных данных и методов решения задач классификации и снижения размерности.

4. Разработан и реализован алгоритм детектирования потенциально опасных отклонений от типового профиля поведения наблюдаемых переменных, отличающийся использованием разработанной вероятностной модели прогнозирования и позволяющий охватить все возможные состояния наблюдаемых переменных.

5. Разработана структура специального программного обеспечения мониторинга компьютерной сети, обеспечивающего задание профиля типового поведения, отличающаяся возможностью периодизации любой наблюдаемой сетевой переменной.

6. Произведена апробация предложенных методов на данных реально действующей корпоративной сети ОАО «Новолипецкий металлургический комбинат», выполнен сравнительный анализ с методом обнаружения, основанном ' на использовании марковской модели, и получены экспериментальные результаты, позволяющие сделать вывод о большей адекватности созданного обеспечения и целесообразности его применения для выявления потенциальных сетевых аномалий.

7. Результаты диссертационной работы внедрены в деятельность Отдела сетевого обеспечения Дирекции по информационным технологиям ОАО «Новолипецкий металлургический комбинат» и используются в учебном процессе Липецкого филиала МИКТ при подготовке инженеров специальности 230101 «Вычислительные машины, комплексы, системы и сети».

В качестве перспективных направлений дальнейшей научной работы можно указать следующие: проведение исследований по совершенствованию моделей прогнозирования состояния компьютерной сети; применение полученных методов и алгоритмов в других отраслях хозяйственной деятельности, связанных с контролем наблюдаемых процессов, имеющих периодичный характер.

1. Адлер Ю.П., Гедолина М.Н. Бутстреп-моделирование при построении доверительных интервалов по цензурированным выборкам // Заводская лаборатория, №10. 1987.-С. 90-94.

2. Азов М.С. САПР Вычислительных сетей с прогнозированием трафика и вычислительной загрузки каналов / Научная сессия МИФИ-2002. Интеллектуальные системы и технологии. http://Hbrary.mephi.ru/online/.

3. Айвазян С.А., Бухштабер В.М., Енюков И.С., Мешалкин Л.Д. Прикладная статистика. Классификация и снижение размерности. М.: Финансы и статистика, 1989.-607 с.

4. Акаике X. Развитие статистических методов // В кн. "Современные методы идентификации систем" — М.: Мир, 1983 С. 148-176.

5. Альянах И.Н. Моделирование вычислительных систем / Л.: Машиностроение, 1988.

6. Андерсон Т. Статистический анализ временных рядов / М.: Мир, 1976. -756 с.

7. Арнольд К., Гослинг Дж. Язык программирования Java. СПб.: Питер, 2002.

8. Афонцев Э.В. Статистические свойства интернет-трафика. http://www.nag.ru.

9. Баранов Л.А. Квантование по уровню и временная дискретизация в цифровых системах управления. М.: Энергоатомиздат, 1990. - 304с.

10. Бараш Л. Архитектура коммутаторов. Основные принципы // Компьютерное обозрение. — 2000. №28. http://www.itconline.ru.

11. Бараш Л. Коммутируемые сети альтернатива отсутствует // Компьютерное обозрение. -2000. - №15. http://www.itconline.ru.

12. Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите информации // Экспресс-Электроника №2, 2004 г. С. 86 - 96.

13. Бендат Дж., Пирсол А. Прикладной анализ случайных данных / М.: Мир, 1989. 540 с.

14. Бишоп Дж. Эффективная работа: Java 2. СПб.: Питер, 2002. - 592 с.

15. Блюмин С.Л., Самордин П.В. Рандомизация процедур обработки данных при моделировании технологических зависимостей // Известия вузов. Чёрная металлургия, №8. 1992. С. 1-4.

16. Блюмин С.Л., Самордин П.В. Рандомизированное моделирование технологических зависимостей: Учебное пособие. Липецк: Липецкий государственный технический университет, 1995. - 67 с.

17. Бокс Дж., Г. Дженкинс Анализ временных рядов. Прогноз и управление. Вып. 1.-М.: Мир, 1974.-401 с.

18. Бриллинджер Д. Временные ряды. Обработка данных и теория. М.: Мир, 1980.-268с.

19. Вентцель Е.С., Овчаров Л.А. Теория случайных процессов и ее инженерные приложения. М.: Высш. шк., 2000. - 383 с.

20. Гнеденко Б.В., Коваленко И.Н. Введение в теорию массового обслуживания. М.: КомКнига, 2005. - 400 с.

21. Городецкий А.Я., Заборовский B.C. Информатика. Фрактальные процессы в компьютерных сетях: Учебное пособие. СПб.: СПбГПУ, 2000.

22. Городецкий А.Я. Информационные системы. Вероятностные модели и статистические решения: Учебное пособие. СПб.: СПбГПУ, 2003. - 326 с.

23. Гренандер У. Случайные процессы и статистические выводы. — М.: ИЛ, 1961.-168 с.

24. Демиденко Е.З. Линейная и нелинейная регрессии. — М.: Финансы и статистика, 1981.-519 с.

25. Дрейпер Н. Прикладной регрессионный анализ / Н. Дрейпер, Г. Смит М.: Финансы и статистика, 1986. - 514 с.

26. Дружинин Е.Л., Гребенников B.C., Жинкин Д.В., Самохин A.M., Чернышев Ю.А. Исследование возможностей статистических методов для обнаружения аномалий в работе сети. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 6162.

27. Дружинин Е.Л., Жданова М.С., Самохин A.M., Чернышев Ю.А. Поиск методов выявления аномалий в поведении сетевых устройств на основе анализа сетевого трафика. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 33-34.

28. Дружинин Е.Л., Родин А.В., Самохин A.M., Чернышев Ю.А. Выявление статистических закономерностей поведения сетевых устройств. Научная сессия МИФИ-2004. Сб. науч. тр. Т. 10. С. 46-47.

29. Дынкин Е.Б. Марковские процессы. М.: Физматгиз, 1963 - 860 с.

30. Дынкин Е.Б., Юшкевич А.А. Теория вероятности и марковские процессы. -М.: Физматгиз, 1966 237 с.

31. Еремеев В.Б. Вероятностное прогнозирование состояния компьютерной сети на основе данных мониторинга // Информационные технологии моделирования и управления, №8(42), Воронеж: Научная книга. 2007. - С.937-944.

32. Еремеев В.Б. Влияние консолидации серверов на потоки данных СПД ОАО "НЛМК" // Сборник тезисов инженерных проектов Лучших молодых специалистов ОАО "НЛМК" 2006г. Липецк: Новолипецкий металлургический комбинат. - 2007. - С.64-68.

33. Еремеев В.Б. Мониторинг и статистическое прогнозирование состояния компьютерной сети // Информационные технологии моделирования и управления, №5(39), Воронеж: Научная книга. 2007. - С.566-574.f

34. Еремеев В.Б. О проблеме консолидации серверов // Современные проблемы информатизации в информационных системах и телекоммуникациях. — Воронеж: Научная книга. 2006. — С. 431.

35. Еремеев В.Б. Подход к мониторингу сети как рассмотрению совокупностей реализаций случайных величин // Компьютерные технологии в технике и экономике. — Воронеж: Международный институт компьютерных технологий. -2007. С. 23-26.

36. Еремеев В.Б. Построение стохастической модели прогнозирования состояния вычислительной сети как решение задачи классификации и снижения размерности // Информационные технологии и системы (ИТиС'08): Сборник трудов. Москва: ИППИ РАН, 2008. - С. 121-125.

37. Еремеев В.Б. Разработка математического и программного обеспечения активного мониторинга вычислительной сети // V Всероссийская школа-семинар молодых ученых «Управление большими системами»: Сборник трудов. — Т2. — Липецк, ЛГТУ, 2008. С.33-39.

38. Еремеев В.Б. Разработка требований к программному обеспечению мониторинга компьютерной сети // Современные проблемы информатизации в проектировании и информационных системах. — Воронеж: Научная книга. 2008. — С. 468-470.

39. Еремеев В.Б. Создание методики активного мониторинга вычислительной сети // Всероссийская молодежная конференция по проблемам управления (ВМКПУ'2008): Труды. Москва: ИПУ РАН, 2008. - С.240-242.

40. Еремеев В.Б., Блюмин C.JI. Программа «Построение основы типового профиля поведения вычислительной сети». М.: ФАП ВНТИЦ, 2009. Per. №50200900411 от 08.04.09.

41. Еремеев В.Б., Блюмин C.JI. Создание средств активного мониторинга вычислительных сетей на основе стохастической модели прогнозирования// Системы управления и информационные технологии. 2008. - № 3.3(33). - С. 337-341.

42. Иваненко С. Введение в SNMP. Информационно-аналитические материалы / Центр Информационных Технологий CITFORUM. http://www.citforum.ru.

43. Казаков В.А. Введение в теорию марковских процессов и некоторые радиотехнические задачи. — М.: Советское радио, 1973. 232 с.

44. Кендалл М., Стьюарт А. Многомерный статистический анализ и временные ряды. М.: Наука, 1976. - 575 с.

45. Кильдишев Г.С. Анализ временных рядов и прогнозирование / Г.С. Киль-дишев, А.А. Френкель М.: Статистика, 1973. — 116с.

46. Клейнрок Л. Теория массового обслуживания. — М.: Машиностроение, 1979. 432с.

47. Коваленко И.Н., Кузнецов Н.Ю., Шуренков В.М. Случайные процессы: Справочник. Киев: Наукова думка, 1983. — 369 с.

48. Кравец О .Я. Оптимизация управления распределёнными информационно-вычислительными сетями на основе мультиагентных технологий: монография / О.Я. Кравец, Т. Н. Моисеев Воронеж: Научная книга, 2007. - 187 с.

49. Кульгин М. Технологии корпоративных сетей. Энциклопедия. СПб.: Питер, 1999.

50. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы / СПб.: Издательство «Питер», 2004.

51. Олифер В.Г., Олифер Н.А. Локальные сети на основе коммутаторов. Информационно-аналитические материалы / Центр Информационных Технологий CITFORUM. http://www.citforum.ru.

52. Олифер В.Г., Олифер Н.А. Средства анализа и оптимизации локальных сетей. Информационно-аналитические материалы / Центр Информационных Технологий CITFORUM, http://www.citforum.ru.

53. Песаран М. Динамическая регрессия: теория и алгоритмы / М. Песаран, Л. Слейтер М.: Финансы и статистика, 1984.-188с.

54. Понизовкин А.С. Моделирование и алгоритмы прогнозирования в компьютерных сетях // IX Всероссийская научно-методическая конференция "Телема-тика'2002". http://www.ict.edu.ru/vconf/.

55. Протасов К.В., Статистический анализ экспериментальных данных. — М.: Мир, 2005.

56. Прохоренков A.M., Качала Н.М. Классификация случайных процессов //

57. Информационные технологии моделирования и управления №1(26). Воронеж:i

58. Научная книга. — 2006. С. 71-78.

59. Прэтт У.К. Цифровая обработка изображений. М.: Мир, 1982 - 480 с.

60. Пугачев B.C., Теория вероятностей и математическая статистика М.: Наука, 1979.-496 с.

61. Райская Н.Н., Френкель А.А. Опыт применения метода джекнайф в регрессионном анализе // Экономика и математические методы, №10. 1991. С. 86-90.

62. Семёнов Ю.А. Телекоммуникационные технологии. 2004. http://book.itep.ru

63. Симонина О.А., Яновский Г.Г. Характеристики трафика в сетях IP // Труды учебных заведений связи. — СПб: Санкт-Петербургский государственный университет телекоммуникаций. 2004. - С. 8-13.

64. Спеллман Э., Эриксон К., Рейнолдс Дж. Консолидация серверов // Открытые системы. 2004. - №5. - С.27-35.

65. Таненбаум Э. Компьютерные сети. 4-е издание. СПб.: Питер, 2003 - 992 с.

66. Тихонов В.И., Миронов М.А. Марковские процессы. М.: Советское радио,1977-488с.

67. Хеннан Э. Многомерные временные ряды. М.: Мир, 1974. - 448 с.

68. Чашков Ю. Поддержка протокола SNMP в JAVA-приложениях // Сети и системы связи. — 2002. №5. http://www.ccc.ru.

69. Abry P., Veitch D. Wavelet analysis of long range dependent traffic / IEEE Transactions on Information Theory, vol. 44, no. 1, 1998.

70. Agilent WireScope 350 Specification, http://www.home.agilent.com.

71. Akaike H. Fitting Autoregressions for Predictions // Ann. Inst. Statist. Math. 1969. №21. pp.243-247.

72. Barford P., Kline J., Plonka D., Ron A. A Signal Analysis of Network Traffic Anomalies / Proceedings of ACM SIGCOMM Internet Measurement Workshop, 2002.

73. Barford P., Plonka D. Characteristics of Network Traffic Flow Anomalies / Proceedings of ACM SIGCOMM Internet Measurement Workshop, San Francisco, CA, November 2001.

74. Brutlag J. Aberrant behavior detection in time series for network monitoring /

75. Proceedings of the USENIX Fourteenth System Administration Conference LISA *

76. XIV, New Orleans, LA, December 2000.

77. Bykova M. Statistical analysis of malformed packets and their origins in the modern Internet. School of Electrical Engineering & Computer Science Ohio University, 2002.

78. Caceres R. Measurements of wide-area Internet traffic / Tech. Rep. UCB/CSD 89/550, Computer Science Department, University of California, Berkeley, 1989.

79. Case J., Fedor M., Schoffstall M., Davin J. A Simple Network Management Protocol (SNMP), Request for Comments 1157, SNMP Research Inc., May 1990.

80. Cisco IDS 4200 Series Sensors, http://www.cisco.com.

81. Claffy K. Internet Traffic Characterization. / Ph.D. thesis. University of California, San Diego, 1994.

82. Cooperative Association for Internet Data Analysis (CAIDA). Cflowd: traffic flow analysis tool / Technical documentation, 1998.

83. Ethereal User's Guide, http://www.ethereal.com.

84. FAQ: Network Intrusion Detection Systems, http://www.robertgraham.com/pubs.

85. Feather F., Siewiorek D., Maxion R. Fault detection in an Ethernet network using anomaly signature matching / Proceedings of ACM SIGCOMM '93, San Francisco, CA, September 2000.

86. Hlavacs H., Kotsis G., Steinkellner C. Traffic Source Modeling / Institute of Applied Computer Science and Information Systems, University of Vienna, 1999.

87. Hood C., Ji C. Proactive network fault detection / Proceedings of IEEE INFO-COM '97, Kobe, Japan, April 1997, INFOCOM, pp.342-351.

88. Iris Network Traffic Analyzer, http://www.eeye.com.

89. Jagerman D.L., Melamed В., Willinger W. Stochastic modeling of traffic processes / Frontiers in Queueing: Models, Methods and Problems. 1996.

90. Katzela I., Schwartz M. Schemes for fault identification in communications networks / IEEE/ACM Transactions on Networking, vol. 3(6), pp. 753—764, December 1995.

91. Keys K. et. al. The Architecture of CoralReef: An Internet traffic monitoring software suite / Cooperative Association for Internet Data Analysis (CAIDA).

92. Lakhina A., Crovella M., Diot C. Diagnosing Network-Wide Traffic Anomalies / ACM SIGCOMM, Portland, August 2004.

93. Lee. W., Xiang D. Information-Theoretic Measures for Anomaly Detection // Proc. of the 2001 IEEE Symposium on Security and Privacy, pp. 130-143, May 2001.

94. Man tcpdump, http://www.tcpdump.org/tcpdump man.html.

95. McCloghrie K. Management Information Base for Network Management of TCP/IP-based internets, Request for Comments 1156, May 1990.

96. McCloghrie K., Rose M. Management information base for network management of ТСРЛР-based internets: MIB-II, Request for Comments 1213, March 1991.

97. MicroScanner Pro User's Manual, http://www.flikenetworks.com.

98. Multi Router Traffic Grapher MRTG. http://www.mrtg.org.

99. Network traffic probe NTOP. http://www.ntop.org.

100. Observer product family, http://www.networkinstruments.com.

101. Paxson V. Measurements and Analysis of End-to-End Internet traffic, Ph.D. thesis.

102. Paxson V., Floyd S. Wide-Area Traffic: the Failure of Poisson Modeling // IEEE/ACM Transaction on Networking, pp.226-244, 1995.

103. Plonka D. Flowscan: A network traffic flow reporting and visualization tool / Proceedings of the USENIX Fourteenth System Administration Conference LISA XIV, New Orleans, LA, 2000.

104. Portnoy L., Eskin E., Stolfo S. Intrusion Detection with Unlabeled Data Using Clustering, Department of Computer Science Columbia University, New York, 2001.

105. PRTG Traffic Grapher Manual, http://www.paessler.com.

106. RealSecure Guard User Guide, http://www.iss.net/support/documentation/index.php.

107. Rose M. Bulk A Convention for Defining Traps for use with the SNMP, Request for Comments 1215, March 1991.

108. Rose M., McCloghrie K., Davin J. Bulk Table Retrieval with the SNMP, Request for Comments 1187, October 1990.

109. Salvador P., Nogueira A., Valadas R. Modeling local area network traffic with Markovian traffic models / Institute of Telecommunications, University of Aveiro, Portugal, 2001.

110. Sang A., Li S. Q. A Predictability Analysis of Network Traffic // Proceedings of IEEE

111. Schoffstall M., Davin J., Fedor M., Case J. SNMP over Ethernet, Request for Comments 1089, February 1989.

112. Shah H., Undercoffer J., Joshi A. Fuzzy Clustering for Intrusion Detection // Proceedings of the 12th IEEE International Conference on Fuzzy Systems, 2003.

113. Snort User's Manual, http://www.snort.org/docs/snortmanual/.

114. Solar Winds Toolset Administrator Guide, http://www.solarwinds.net

115. Stamford S., Hogland J.A., McAlemey J M. Practical automated detection of Stealthy Portscans // In Proceedings of the IDS Workshop of the 7th Computer and Communication Security Conference, Athens, 2000.

116. Thottan M., Ji С. Adaptive Thresholding for Proactive Network Problem Detection / Third IEEE International Workshop on Systems Management, pp. 108-116, Newport, Rhode Island, April, 1998.

117. Thottan M., Ji С Anomaly detection in IP Networks // IEEE Transactions on signal processings, vol.51, no.8, 2003, University of California Berkeley, 1997.

118. Waldbusser S. Remote network monitoring management information base, Request for Comments 1271, November 1991.

119. Warrier U., Besaw L. The Common Management Information Services and Protocol over TCP/IP (CMOT), Request for Comments 1095, April 1989.

120. Willinger W., Taqqu M., Sherman R., Wilson D. Self-similarity through high-variability: Statistical analysis of Ethernet LAN traffic at the source level // IEEE/ACM Transactions on Networking, vol. 5, no.l, pp.71-86, February 1997.

121. Ye N. A markov chain model of temporal behavior for anomaly detection / Workshop on Information Assurance and Security, West Point, NY, June 2000.

122. Спериодизированные исходные данные