Автоматическая генерация анализаторов трафика локальных сетей | |||||||
О проекте | |||||||
В рамках проекта реализована идея автоматической генерации анализатора трафика локальной сети на основе ранее собранной статистики трафика в этой сети. Такой анализатор способен выделять из потока пакетов в сети аномальный трафик и извещать о нем администратора (либо сразу блокировать). Анализатор трафика — это набор правил iptables, описывающих трафик конкретной локальной сети. Особенности системы
Подробнее Разработана система, которая собирает статистику установки соединений в локальной сети и по ней создает правила (в формате iptables), с помощью которых можно выявить аномальный трафик. Под аномальным здесь понимается трафик, которого нет в статистике. Нормальный трафик (который есть в статистике) игнорируется. Набор таких правил и представляют собой автоматически сгенерированный анализатор трафика для данной локальной сети. Аномальный трафик записывается в системный журнал (iptables: -j LOG). В качестве основного варианта использования такого анализатора предлагается следующая схема. С помощью управляемого коммутатора настраивается зеркалирование трафика сети на определенный физический порт. К нему подключается компьютер с операционной системой Linux (возможен вариант с развертыванием ее внутри виртуальной машины). На этом компьютере устанавливаются правила, и таким образом происходит мониторинг трафика сети. С помощью специального скрипта системный журнал периодически просматривается, и в случае появления аномалий администратор извещается о них по электронной почте. Альтернативный вариант использования: размещение сгенерированных правил iptables непосредственно на маршрутизаторе. Еще подробнее: (doc). По всем вопросам просьба обращаться по адресу dsavenko at gmail dot com. Проект разрабатывается в лаборатории Parallels-НГУ при поддержке компании Parallels. |
|
||||||
Лаборатория Parallels-NSU
|