Статья посвящена проблеме мониторинга и диагностики состояния компьютерных сетей предприятия. Проанализированы характерные особенности системы, производящей анализ состояния сети. Выявлена и обоснована необходимость использования методов нейросетевых технологий для анализа трафика сети. На базе проведенного исследования автором формулируются основные черты и качества системы, предназначенной для мониторинга и диагностики сети.
Ключевые слова: корпоративная локальная сеть, мониторинг сети, диагностика сети, экспертная система, искусственные нейронные сети
Компьютерная сеть является сложной совокупностью устройств, которые должны обеспечивать обмен сообщениями между всеми оконечными устройствами. Таким образом, проблемы в сети влияют на возможности получения или отправки информации.
Особенно остра проблема поддержки сетей передачи данных в связи с тем, что они являются основной линией передачи информации между сотрудниками на данный момент на большом числе предприятий. Недостаточная пропускная способность сети, наиболее сильно проявляющаяся в пиковые моменты, вызывает снижение производительности работы сотрудников, а также простои в работе.
Таким образом, для поддержания работоспособности сети необходим тщательный мониторинг и диагностика ее состояния.
На этапе мониторинга выполняется процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т. п. [1, с. 4].
Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети.
На крупных предприятиях указанные задачи осложнены размером сети и сложностью топологии, необходимостью быстрой реакции на неполадки, что зачастую приводит к несоответствию возможностей администратора сети требованиям эффективно управлять сетью.
В основном задачи анализа и диагностики сетей сводятся к поиску отклонений от нормального режима функционирования — сетевых аномалий [2, с. 19]. Рассматривая сетевые аномалии, вызванные программно-аппаратными отклонениями, можно выделить методы диагностики сетевых аномалий, представленные в таблице 1, а также отметить их достоинства и недостатки.
Таблица 1
Сравнительный анализ моделей диагностики сетевых аномалий [2, с. 42]
|
Модели диагностики сетевых аномалий |
Достоинства |
Недостатки |
|
Сигнатурный метод |
1. Высокая производительность. 2. Наработан большой опыт в использовании таких систем. 3. Небольшое число ложных тревог. 4. Обоснованность решений. |
1. Затруднительно обновление базы данных сигнатур. 2. Не обнаруживаются новые сигнатуры. 3. Период обновления базы данных сигнатур должен быть невелик. |
|
Статистические методы |
1. Не требуются точные данные о сетевых аномалиях. 2. Можно обнаруживать новые сетевые аномалии. 3. Простота в эксплуатации. 4. Высокая эффективность обнаружения сетевых аномалий. 5. Универсальность и обоснованность решений. |
1. Системы, использующие статистические методы необходимо обучать на длинной выборке. 2. Сложно задать пороговое значение сетевых аномалий. 3. Метод не работает без шаблона типичного поведения. |
|
Экспертные системы |
1. Отсутствие ложных тревог. 2. Использование огромного накопленного опыта специалистов-экспертов для диагностики сетевых аномалий. |
1. Экспертная система требует постоянного обновления своей базы знаний. 2. Неумение выявлять неизвестные сетевые аномалии. |
|
Нейронные сети и генетические алгоритмы |
1. Возможность адаптации к различным средам. 2. Способность анализировать сетевые аномалии, даже если они неполные или искаженные. 3. Возможность прогнозирования сетевых аномалий. |
1. Не видна логика принятия решения. 2. Большое время обучения. 3. Высокий уровень ложных тревог. 4. Нейронная сеть требует серьезных знаний в области настройки топологии и параметров сети. |
Сигнатурный анализ базируется на простом понятии совпадения с эталонным образцом. Входящая информация байт за байтом просматривается и сравнивается с сигнатурой — характерной строкой программы, указывающей на наличие вредного трафика [2, с. 28].
При использовании статистических методов в качестве объектов исследования берутся отдельные сетевые устройства, характеристики трафика которых являются случайными величинами, изменяющимися во времени и определяющими работу сетевых устройств [3. с. 6]. Для отдельных характеристик объектов вычисляются значения заранее выбранных функций, которые затем сравниваются с показателями, характерными для нормального состояния
Экспертные системы [4, с. 39] — это сложные программные комплексы, аккумулирующие знания специалистов в конкретных предметных областяхи тиражирующие этот опыт для консультаций менее квалифицированных пользователей.
Обобщенная структура экспертной системы представлена на рисунке 1. Блоки, изображенные на рисунке, присутствуют в любой экспертной системе.
В целом процесс функционирования экспертной системы можно представить следующим образом: пользователь, желающий получить необходимую информацию, через пользовательский интерфейс посылает запрос к экспертной системе; решатель, пользуясь базой знаний, генерирует и выдает пользователю подходящую рекомендацию, объясняя ход своих рассуждений при помощи подсистемы объяснений.
Рис. 1. Структура экспертной системы [4, с. 40]
Суть генетических алгоритмов состоит в следующем: фиксируется начальная популяция, то есть множество наборов решений задачи, которые достаточно далеки от точного решения. Для каждого члена популяции вычисляется значение функции «согласия» с решением.
Генетический алгоритм формирует новую популяцию таким образом, чтобы средняя ценность составляющих ее строк увеличилась. Алгоритм состоит в последовательном выполнении ряда шагов до получения решения. На каждом шаге работы генетического алгоритма к членам популяции применяются операторы селекции, скрещивания и мутации.
Нейронные сети — это составляющая часть искусственного интеллекта, в которой для обработки сигналов используют явления, аналогичные происходящим в нейронах живых существ [5, с. 17].
Нейронная сеть представляет собой систему, которая на основе некоторой функции сопоставляет входную информацию и выходную. Эта функция выявляется сетью на этапе обучения и остается неизвестной пользователю.
Важнейшей особенностью сети является возможность параллельной обработки информации сразу всеми звеньями нейронной сети, что значительно ускоряет информационные процессы. Другое не менее важное свойство — способность к обучению и обобщению накопленных знаний [5, с. 23–24]. В процессе обучения нейронная сеть учится тому, что является нормальным, а что — аномальным.
Таким образом, самая главная задача в использовании нейронной сети для диагностики состояния сети передачи данных — это обучить нейронную сеть правильно распознавать все аномальные состояния сети.
Использование нейронных сетей обеспечивает следующие полезные свойства систем [6, с. 86–87]:
- Решение задач при неизвестных закономерностях.
Обучение на большом количестве примеров дает нейронной сети способность решать задачи, в которых неизвестны закономерности развития ситуации и зависимости между входными и выходными данными.
- Устойчивость к шумам во входных данных.
Нейронная сеть сама может определить, какие сигналы являются неинформативными, шумными для решения задачи, и отсеять их.
- Адаптирование к изменениям окружающей среды.
Нейронные сети могут адаптироваться к изменениям окружающей среды. Например, нейронные сети, которые обучены работе в определенной среде, также могут быть легко обучены работе в условиях незначительных колебаний параметров среды.
В информационной системе, которая могла бы оперативно выявлять сетевые аномалии, а также предлагать возможные варианты их устранения, эффективно совокупное использование методов экспертных систем и нейронных сетей. В то время как экспертные системы используют правила импликации и логический вывод, нейронные сети имеют способность к обучению. Эта совокупность качеств делает нейронные сети и экспертные системы достойными претендентами на формирование гибридной интеллектуальной системы.
В подобной системе вместо базы знаний используется обученная нейронная сеть. В отличие от обычных экспертных систем, которые основаны на знаниях, система такого типа может оперировать недостоверными и неполными данными. Знания проблемной области могут быть использованы при обучении сети, а после обучения нейронная сеть будет играть роль набора правил ЕСЛИ-ТО — базы знаний.
Таким образом, взаимодействие нейронных сетей и экспертных систем позволяет минимизировать недостатки данных моделей диагностики сетевых аномалий, что дает объединению данных подходов преимущество перед прочими.
Заключение.
Проблема мониторинга и диагностики локальной сети предприятия очень важна и требует самого пристального внимания в связи с тем, что в данный момент эти сети являются главной линией получения и передачи информации. Данные задачи на предприятии решаться оперативно и точно, и для этого предлагается использование информационной системы, использующей методы экспертных систем и нейронных сетей.
Литература:
- Ениватов А. А. Мониторинг трафика локальных сетей // APRIORI. Серия: Естественные и технические науки. — 2015. — Вып. 6. — Режим доступа: http://www.apriori-journal.ru/seria2/6–2015/Enivatov.pdf
- Кучер А. В. Интеллектуальная система поддержки принятия решения на основе нечеткой логики для диагностики состояния сети передачи данных / А. В. Кучер. — Краснодар: ГОУ ВПО «Кубанский государственный технологический университет», 2007. — 221 с.
- Кучер А. В. Интеллектуальная система поддержки принятия решения на основе нечеткой логики для диагностики состояния сети передачи данных / А. В. Кучер, А. С. Магомадов, Н. Д. Чигликова // Научный журнал КубГАУ. — 2015. — Вып. 06. — Режим доступа: http://ej.kubagro.ru/2015/06/pdf/120.pdf
- Гаврилова Т. А. Базы знаний интеллектуальных систем / Т. А. Гаврилова, В. Ф. Хорошевский. — СПб: Питер, 2000. — 384 с.
- Осовский С. Нейронные сети для обработки информации: пер. с польского / С. Осовский. – М: Финансы и статистика, 2002. — 344 с.
- Пампуха И. В. Обоснование использования нейронных сетей в системах поддержки принятия решений при функционировании сложных систем / И. В. Пампуха, Ю. В. Березовская // Сборник научных трудов Военного института Киевского национального университета имени Тараса Шевченко. — 2013. Вып. 42. — С. 85–89.
