Способ мониторинга сетевой активности узлов компьютерной сети Российский патент 2023 года по МПК G06F21/50 H04L41/06 

ОБЛАСТЬ ТЕХНИКИ

Настоящее изобретение относится к средствам наблюдения за состоянием промышленных систем автоматизации и управления, а именно к способу мониторинга сетевой активности узлов компьютерной сети.

УРОВЕНЬ ТЕХНИКИ

Известен способ обнаружения аномальной работы сетевого сервера, раскрытый в патенте РФ на изобретение № 2630415 (опубликован 07.09.2017, МПК H04L 1/00). В известном способе запускают сервер в режиме контролируемой нормальной работы, формируют классификатор на основе метода опорных векторов в средстве обнаружения аномальной работы, при этом выполняют действия: запоминают и накапливают в единицу времени значения векторов динамического отклика сервера, вычисляемые на основе параметров: количество, размер и тип входных и выходных пакетов по всем обслуживаемым сервером протоколам, уровень загруженности процессора сервера, уровень использования оперативной памяти, уровень использования виртуальной памяти, количество операций ввода-вывода с дисковыми устройствами; формируют данные для настройки сформированного классификатора и настраивают его, вычисляют значение вектора динамического отклика сервера, по которому вычисляют значение ошибки классификации, формируют сигнал о наличии аномальной работы сервера при сравнении значения ошибки классификации с пороговым значением.

Недостаток известного способа - требование к наличию во входных данных информации о внутренних характеристиках сервера (уровень загруженности, уровень использования оперативной памяти и другое). Эти входные данные невозможно получить путём исключительно анализа трафика без нарушения целостности защищаемой системы. Другой недостаток известного способа - невозможность обнаружения аномальной работы сетевого устройства, тип которого отличается от единственного допустимого - “сервера”, при этом возможность обнаружения аномальной сетевой активности сетевых узлов других типов отсутствует, что не позволяет обеспечивать достаточное покрытие для защищаемой сети.

Известен способ блокирования передачи пакетов данных в технологической системе, раскрытый в патенте РФ на изобретение № 2747461 (опубликован 05.05.2021, МПК G06F 21/53). В известном способе с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы; по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных; с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы; с помощью средства контроля блокируют передачу перехваченного входящего пакета данных элементу технологической системы в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.

Недостаток известного способа - возможность изменения (блокирования) части сетевого трафика, ведущая к нарушению целостности процессов защищаемой системы. Другой недостаток известного способа - работа в режиме последовательной передачи данных через средство контроля, что ограничивает сверху пропускную способность канала передачи соответствующей характеристикой упомянутого средства контроля, и, таким образом, также нарушает целостность защищаемой системы. Другой недостаток известного способа - анализ трафика для каждого сетевого узла в отдельности, что не позволяет определять количественные характеристики аномалии (например, критичность) в приложении к конкретной защищаемой системе.

Известен способ выявления аномалий в технологической системе, раскрытый в патенте РФ на изобретение № 2750629 (опубликован 30.06.2021, МПК G06F 21/55, G06F 11/22, H04L 29/08). В известном способе с помощью средства дублирования перехватывают по меньшей мере один исходящий пакет данных, адресованный элементу технологической системы, по безопасному соединению передают средством дублирования средству контроля информацию об упомянутом перехваченном пакете данных, с помощью средства контроля перехватывают по меньшей мере один входящий пакет данных, адресованный элементу технологической системы, и выявляют аномалию в технологической системе в случае, если перехваченный входящий пакет данных не соответствует упомянутой информации, полученной от средства дублирования.

Недостаток известного способа - анализ трафика для каждого сетевого узла в отдельности, что не позволяет определять количественные характеристики аномалии (например, критичность) в приложении к конкретной защищаемой системе. Другой недостаток известного способа - отсутствие сформулированного алгоритмического аппарата для определения аномальности: в патенте предлагается определять несоответствие отправленных и принятых сетевым узлом пакетов, но алгоритм определения соответствия или несоответствия явно не сформулирован, что не позволяет интерпретировать результат работы способ (объяснять причину возникновения аномалии). Неявно указано на проверку адресов источника и получателя контролируемых сетевых пакетов, но такой метод выявления аномалий может оказаться неэффективным в случае нарушения работы инициирующего соединение защищаемого узла (например, новое подключение во внешнюю сеть, инициатором которого является защищаемый узел).

Известен способ использования модели устройства для определения аномалий в работе устройства, раскрытый в патенте РФ на изобретение № 2772072 (опубликован 16.05.2022, МПК G06F 11/07, G06N 20/00). Известный способ включает этапы, на которых определяют новое устройство, получают данные об устройстве для формирования профиля, создают свертку устройства на основании профиля, выбирают из базы данных сверток свертку, схожую с созданной сверткой. Если существует известная модель, то используют уже известную модель поведения устройства, связанную с выбранной свёрткой, в ином случае собирают данные в профиле устройства для создания и обучения модели устройства и последующего использования обученной модели, при этом использование модели предполагает определение аномалий в работе устройства. Определение профиля устройства проводят на основе анализа частот появления в сетевом трафике исследуемых устройств n-грамм и лексем. Определение аномалий в работе устройства проводят на основе контроля отклонения сетевой активности устройства от выбранного профиля.

Недостатком известного способа является высокая нагрузка на аппаратные ресурсы по причине необходимости проведения анализа содержимого сетевых пакетов. При интенсивном обмене сетевыми пакетами в промышленных системах автоматизации и управления необходимость анализа содержимого каждого пакета существенно повышает требования к аппаратным ресурсам, что также негативно может сказаться на точности и своевременности реакции на выявленную аномальную активность. Другим недостатком является невысокая точность механизма обнаружения аномалии (отклонения от нормального поведения узла), обусловленная тем, что построение профиля устройства осуществляется без возможности адаптации к изменениям в поведении устройства с течением времени. Профиль устройства в таком случае понимается как неизменяемая модель, не учитывающая отклонения в активности, которые для устройства являются нормальными. Это приводит к возникновению ошибок первого и второго рода (ложноположительные и ложноотрицательные срабатывания), что потребует вмешательства обслуживающего персонала и негативно скажется на автоматизации и надежности процесса.

РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ

Техническая задача, положенная в основу настоящего изобретения, заключается в создании надежного средства мониторинга активности узлов компьютерной сети.

Технический результат, достигаемый настоящим изобретением, заключается в обеспечении возможности реагирования на выявленную аномальную активность узлов компьютерной сети.

В качестве изобретения предложен способ мониторинга сетевой активности узлов компьютерной сети, содержащий следующие шаги:

а) формирование первой группы кластеров состояний узлов компьютерной сети для первого временного интервала;

б) формирование второй группы кластеров состояний узлов компьютерной сети для второго временного интервала, причем для формирования каждого кластера проводят:

– перехват сетевых пакетов, которыми обмениваются узлы компьютерной сети в пределах временного интервала;

– выявление сетевых протоколов, которые каждый узел использовал для обмена сетевыми пакетами в пределах временного интервала;

– формирование для каждого узла характеристического вектора, элементы которого представлены частотами появления сетевых протоколов, использованных сетевым узлом в пределах временного интервала;

– передача сформированных характеристических векторов на средство кластеризации, способное формировать группу кластеров состояний узлов компьютерной сети на основании частот использования сетевых протоколов в пределах временного интервала;

в) формирование на средстве кластеризации смешанных групп кластеров состояний, каждая из которых включает в себя первую группу кластеров состояний и один из характеристических векторов из второй группы кластеров состояний, при этом количество смешанных групп кластеров состояний соответствует числу характеристических векторов из второй группы кластеров состояний;

г) поиск отклонений между состояниями узлов внутри смешанных групп кластеров состояний на основе анализа близости характеристических векторов каждого узла компьютерной сети из первой группы кластеров состояний и соответствующих характеристических векторов из второй группы кластеров состояний;

д) определение степени критичности каждого найденного отклонения;

е) передача управляющего сигнала на средство выработки реакции на отклонение в соответствии со степенью критичности найденного отклонения.

Для большей ясности отметим, что шаги предложенного способа «а» – «е» проводят последовательно; шаги, требуемые для формирования первого и второго кластера состояний, проводят в первый раз перед формированием первой группы кластеров и во второй раз перед формированием второй группы кластеров, независимо для каждой группы кластеров.

Дополнительные преимущества и существенные признаки настоящего изобретения представлены в следующих частных вариантах его осуществления.

В частности, перехват сетевых пакетов осуществляют на коммутаторе компьютерной сети при помощи средства зеркалирования сетевого трафика.

В частности, по меньшей мере часть узлов компьютерной сети выбраны из группы, включающей сервер, автоматизированное рабочее место, программируемый логический контроллер, сетевое оборудование, сетевое средство защиты.

В частности, выявление сетевых протоколов, использованных сетевым узлом, осуществляют на основании анализа заголовков сетевых пакетов, в которых такой сетевой узел является получателем.

В частности, выявление сетевых протоколов, использованных сетевым узлом, осуществляют на основании анализа заголовков сетевых пакетов, в которых такой сетевой узел является источником.

В частности, выявление сетевых протоколов, использованных сетевым узлом, осуществляют с помощью средства учета сетевого трафика с поддержкой протокола NetFlow.

В частности, формирование характеристического вектора осуществляют с помощью рекуррентной нейронной сети с долгой краткосрочной памятью.

В частности, формирование характеристического вектора осуществляют с помощью алгоритма, вычисляющего частоту использования каждого сетевого протокола в отправленных сетевым узлом сетевых пакетах относительно общего количества сетевых пакетов, отправленных сетевым узлом и использующих один из сетевых протоколов на уровне модели OSI, соответствующем исследуемому сетевому протоколу.

В частности, кластер состояний узлов компьютерной сети имеет древовидную структуру, в которой листья отражают состояние узла компьютерной сети, а расстояния между позициями листьев отражают сходства характеристических векторов, соответствующих узлам.

В частности, определение степени критичности найденного отклонения осуществляют на основании кофенетического расстояния между состоянием узла из первого временного интервала и второго временного интервала.

В частности, отклонение между состоянием узла из первого и второго кластера состояний, которое имеет высокую критичность, указывает на аномальную активность сетевого узла.

В частности, средство выработки реакций на отклонение в зависимости от степени критичности найденного отклонения способно вырабатывать одну или несколько реакций, выбранных из следующей группы реакций:

– игнорирование отклонения;

– отключение узла от компьютерной сети;

– оповещение администратора компьютерной сети;

– передача сигнала в стороннее автоматизированное средство управления компьютерной сетью.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Настоящее изобретение проиллюстрировано следующими материалами, поясняющими его сущность:

– ФИГ.1 иллюстрирует блок-схему примерной компьютерной сети, для которой возможно проведение мониторинга сетевой активности узлов;

– ФИГ.2 иллюстрирует блок-схему способа мониторинга сетевой активности узлов компьютерной сети;

– ФИГ.3 иллюстрирует пример иерархической кластеризации компьютерной сети в пределах первого временного интервала;

– ФИГ.4 иллюстрирует пример определения кофенетических расстояний между листьями дендрограммы, отражающей состояние компьютерной сети в пределах примерного временного интервала;

– ФИГ.5a, ФИГ.5b, ФИГ.5c, ФИГ.5d, ФИГ.5e, ФИГ.5f иллюстрируют пример выявления аномальной активности узла компьютерной сети, связанный с подменой узла;

– ФИГ.6a, ФИГ.6b, ФИГ.6c, ФИГ.6d, ФИГ.6e, ФИГ.6f иллюстрирует пример выявления аномальной активности узла компьютерной сети, связанной с изменением в сетевых протоколах, используемых таким узлом;

– ФИГ.7a, ФИГ.7b, ФИГ.7c, ФИГ.7d, ФИГ.7e иллюстрируют пример выявления аномальной активности узла компьютерной сети, связанной с остановкой обмена сетевыми пакетами со стороны такого узла.

ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ

В соответствии с ФИГ.1 компьютерная сеть состоит из узлов, относящихся к средствам вычислительной техники, и линий связи, которые объединены в локальную вычислительную сеть (ЛВС) при помощи коммутационного оборудования. Компьютерная сеть может быть представлена промышленной системой автоматизации и управления (ПСАиУ) или по меньшей мере одним из сегментов этой системы.

В частных случаях, ПСАиУ могут быть представлены следующими автоматизированными системами:

– автоматизированные системы управления технологическими процессами (АСУ ТП);

– системы управления производством;

– системы автоматизации и мониторинга инженерного оборудования жилых и нежилых помещений (системы класса «умный» дом, «умный» офис);

– системы автоматизации и мониторинга центров обработки данных;

– сети интеллектуальных устройств («интернет вещей» и «индустриальный интернет вещей»);

– корпоративные информационные системы.

Узлы компьютерной сети могут быть представлены пользовательскими устройствами 101, серверами 102, программируемыми логическими контроллерами (ПЛК) 103. Помимо этого, в качестве узлов компьютерной сети могут быть задействованы переносные, носимые вычислительные устройства, например, мобильные компьютеры. К мобильным компьютерам относятся смартфоны 104 или ноутбуки 105, но не ограничиваются лишь этими примерами узлов. В настоящем описании термин «узел» использован в широком смысле и относится к средствам вычислительной техники, способным осуществлять обмен, прием, передачу сетевых пакетов с использованием по меньшей мере одного сетевого протокола. В качестве шлюза для установления связи с внешними компьютерными системами может быть использован коммутатор 106, относящийся к коммутационному оборудованию компьютерной сети. Узлы компьютерной сети объединены в локальную вычислительную сеть посредством проводных или беспроводных линий связи 107. В качестве узлов компьютерной сети также могут быть задействованы аппаратные средства защиты, такие как межсетевые экраны.

Сетевой пакет представляет собой блок данных, передаваемый внутри ЛВС в пакетном режиме. Сетевой пакет включает в себя адресные поля, содержащие данные о получателе и источнике сетевого пакета, семантические поля, которые содержат полезную нагрузку, и другие типы полей в соответствии с протоколом передачи данных. Совокупность сетевых пакетов образует сетевой трафик внутри ЛВС.

В соответствии с ФИГ.2, иллюстрирующей блок-схему способа мониторинга сетевой активности узлов компьютерной сети, вариант осуществления предложенного способа включает следующие шаги.

На шаге 201 осуществляют перехват сетевых пакетов, которыми обмениваются узлы компьютерной сети в пределах первого временного интервала.

Порядковые числительные «первый» и «второй» применительно к периоду мониторинга активности узлов компьютерной сети следует понимать в качестве такой характеристики периода, которая делает различие между предшествующим и последующим периодом мониторинга. Это означает, что поиск отклонений между состояниями узлов возможен только в том случае, когда сформированы по меньшей мере два кластера состояний узлов. Мониторинг активности узлов реальной компьютерной сети допускает неограниченное количество периодов мониторинга, за которые формируют группы кластеров состояний. Таким образом, поиск отклонений возможен в любой паре упомянутых групп кластеров, причем таких групп может быть неограниченное количество.

Перехват сетевых пакетов осуществляют на коммутаторе 106 компьютерной сети с использованием средства зеркалирования сетевого трафика. Средство зеркалирования сетевого трафика представляет собой часть вычислительной системы или вычислительное устройство, включающие в себя связанные между собой с возможностью обмена данными по меньшей мере один процессор, по меньшей мере один элемент оперативной памяти и по меньшей мере один сетевой интерфейс, способный принимать сетевые пакеты от узлов компьютерной сети, а также передавать такие сетевые пакеты дальнейшему адресату. Совокупность компонентов средства зеркалирования сетевого трафика конфигурируется таким образом, чтобы иметь возможность устанавливать связь с коммутатором 106 компьютерной сети, создавать копию сетевого трафика и передавать упомянутую копию на вход. Средство зеркалирования способно устанавливать связь с коммутатором 106 компьютерной сети посредством подключения одного или нескольких своих сетевых интерфейсов к одному или нескольким сетевым интерфейсам коммутатора 106 компьютерной сети. Примерами средства зеркалирования могут являться части вычислительных систем или вычислительные устройства, основанные на технологиях SPAN (Switch Port Analyzer) и RSPAN (Remote Switch Port Analyzer), которые используются в оборудовании Cisco® Systems. Средство зеркалирования позволяет настроить коммутатор так, чтобы все сетевые пакеты, поступающие на один сетевой интерфейс или порт либо группу сетевых интерфейсов или группу портов коммутатора 106, дублировались на другом сетевом интерфейсе или порте либо группах сетевых интерфейсов или группах портов, с целью дальнейшего анализа дублированных сетевых пакетов. Далее по тексту в качестве сетевого трафика понимается дублированный сетевой трафик, перехваченный из компьютерной сети средством зеркалирования, если из контекста описания не следует обратного. Средство зеркалирования сетевого трафика может быть частью коммутатора 106 компьютерной сети. В таком случае функционирование средства зеркалирования обеспечивается аппаратной и программной базой коммутатора 106, при этом коммутатор снабжается дополнительным физическим сетевым интерфейсом, предназначенным для передачи дублированного сетевого трафика.

Сетевой интерфейс представляет собой программно-аппаратное средство, обеспечивающее прием и декодирование сетевых пакетов, полученных от коммутатора 104 компьютерной сети, а также дублированных сетевых пакетов, полученных от средства зеркалирования сетевого трафика..

На шаге 202 осуществляют выявление сетевых протоколов, которые каждый узел использовал для обмена сетевыми пакетами в пределах первого временного интервала. В одном варианте осуществления выявление сетевых протоколов, использованных сетевым узлом, осуществляют на основании анализа заголовков сетевых пакетов, в которых такой сетевой узел является источником или получателем. В частности, упомянутый анализ может осуществляться в ситуациях, в которых сетевой узел является источником. В таком случае формируемый впоследствии характеристический вектор содержит больше информации о самом узле. В частности, упомянутый анализ может осуществляться в ситуациях, в которых сетевой узел является либо источником, либо получателем. В таком случае формируемый впоследствии характеристический вектор содержит больше информации о воздействии на этот узел других узлов. В другом варианте осуществления выявление сетевых протоколов, использованных сетевым узлом, осуществляют с помощью средства учета сетевого трафика. Средство учета сетевого трафика представляет собой часть вычислительной системы или вычислительное устройство, включающие в себя связанные между собой с возможностью обмена данными по меньшей мере один процессор, по меньшей мере один элемент оперативной памяти и по меньшей мере один сетевой интерфейс, способный принимать сетевые пакеты от узлов компьютерной сети, а также передавать такие сетевые пакеты дальнейшему адресату. Совокупность компонентов средства учета сетевого трафика конфигурируется таким образом, чтобы принимать сетевые пакеты от коммутатора, средства зеркалирования сетевого трафика или напрямую от узлов компьютерной сети, и передавать такие пакеты дальнейшему адресату. В частности, компоненты средства учета сетевого трафика сконфигурированы таким образом, чтобы поддерживать протокол NetFlow. Однако настоящее изобретение не ограничивается лишь этими возможными действиями и средствами, обеспечивающими выявление сетевых протоколов, которые каждый узел использовал для обмена сетевыми пакетами в пределах временного интервала. Перечисленные действия и средства приведены только с целью иллюстрации сущности изобретения и являются примерами, не ограничивающими сущность изобретения.

На шаге 203 осуществляют формирование для каждого узла характеристического вектора, элементы которого представлены частотами появления сетевых протоколов, использованных сетевым узлом в пределах первого временного интервала.

Формирование характеристического вектора для каждого узла компьютерной сети осуществляется с помощью рекуррентной нейронной сети с долгой краткосрочной памятью и содержит следующие шаги. Сначала для всех узлов создается единый фиксированный двумерный массив известных сетевых протоколов. Первое измерение массива протоколов определяет сетевой уровень в модели OSI (англ. The Open Systems Interconnection model), а второе измерение - порядковый номер протокола в формируемом списке. В качестве сетевых протоколов рассматриваются произвольные протоколы, включенные в модель OSI. Упомянутый массив протоколов формируется на основе экспертных знаний о работе защищаемой компьютерной сети или на основе списка протоколов, полученного при анализе передаваемых сетевыми узлами сетевых пакетов. Количество элементов упомянутого массива протоколов зависит от первоначальной настройки экспертом и может быть адаптировано к условиям конкретной компьютерной сети, для которой осуществляют мониторинг состояния ее узлов.

Затем для каждого протокола каждого уровня модели OSI определяется относительная частота отправки таким узлом сетевых пакетов, содержащих этот протокол. Значение относительной частоты определяется относительно количества отправленных пакетов, содержащих любой протокол соответствующего уровня модели OSI. Как следствие, численное выражение относительной частоты находится в диапазоне от 0 до 1. Частота записывается в соответствующую протоколу ячейку соответствующей уровню модели OSI строки двумерного массива, соответствующего узлу.

Полученный в результате двумерный массив конвертируется в одномерный путем последовательного объединения строк, и в результате для узла определяется характеристический вектор, состоящий из чисел от 0 до 1, в котором числа последовательно описывают частоты использования протоколов из определенного выше двумерного массива известных протоколов.

На шаге 204 осуществляют передачу сформированных характеристических векторов на средство кластеризации, способное формировать группу кластеров состояний узлов компьютерной сети на основании частот использования сетевых протоколов в пределах временного интервала.

Состояние узла компьютерной сети - это значение его характеристического вектора в определенный момент времени. Состояние узла компьютерной сети является результатом мониторинга поведения узла в течение заданного временного интервала.

Средство кластеризации представляет собой часть вычислительной системы или вычислительное устройство, включающие в себя связанные между собой с возможностью обмена данными по меньшей мере один процессор, по меньшей мере один элемент оперативной памяти и по меньшей мере один интерфейс связи, способный вести прием характеристических векторов, сформированных для узлов компьютерной сети. Совокупность компонентов средства кластеризации конфигурируется таким образом, чтобы иметь возможность применять алгоритм построения древовидной структуры состояний узлов компьютерной сети, называемой дендрограммой. Для программной реализации алгоритма могут быть применены библиотеки “scikit-learn” или “SciPy” на языке Python, но не ограничиваясь лишь этими примерами библиотек и этим примером языка. Дендрограмма строится на основе матрицы сходства (расстояний между каждой парой объектов, в качестве которых рассматриваются узлы компьютерной сети). Иерархическая кластеризация строится основе <одиночной, полной, средней> связи, метода Уорда и других. Построенная дендрограмма узлов компьютерной сети состоит из листьев и ветвей. Листья дендрограммы узлов представляют собой характеристические вектора узлов компьютерной сети. Ветви дендрограммы узлов представляют собой кластеры состояний. В результате работы средства кластеризации формируется дендрограмма, при движении от корня которой на каждом шаге происходит деление одной из ветвей на две дочерние ветви до тех пор, пока в каждой ветви не останется ровно по одному характеристическому вектору сетевого узла. Сформированная дендрограмма отражает группу кластеров состояний узлов компьютерной сети.

В качестве метрики для оценки расстояния между двумя характеристическими векторами узлов используется Евклидово расстояние между соответствующими элементами двух векторов.

На каждом шаге построения дендрограммы узлов для выбора деления ветви определяется такое разбиение, которое обеспечивает максимальное расстояние между двумя кластерами, определяемое по методу Уорда (Ward’s method), имеющее смысл минимизации дисперсии в каждом кластере.

В результате формируется дерево, в котором узлы компьютерной сети, характеризующиеся схожим поведением, разделены в узле дерева дальше от корня, а узлы компьютерной сети, характеризующиеся менее схожим поведением, разделяются в узле дерева ближе к корню.

На шаге 205 осуществляют формирование первой группы кластеров состояний узлов компьютерной сети для первого временного интервала.

На ФИГ.3 представлен пример дендрограммы 301 узлов компьютерной сети, сформированной при помощи средства кластеризации для первого временного интервала. Дендрограмма 301 включает ветви, часть которых для большей ясности отмечены позициями 302, 303, 304 и 305, и листья, часть которых для большей ясности отмечены позициями 306, 307, 308, 309. Листья дендрограммы описывают состояние узла компьютерной сети, а расстояния между позициями листьев описывают сходства характеристических векторов, соответствующих узлам компьютерной сети.

Ветви дендрограммы соединены точками разветвлениями. Например, ветви 303 и 304 соединены точкой разветвления 310. Соединенные такой точкой ветви относятся к одному кластеру состояний. Разделение ветвей на кластеры происходит до тех пор, пока для каждого характеристического вектора состояний, отраженного на дендрограмме листом, не будет найдена своя ветвь. Наиболее похожие характеристические векторы расположены в одном кластере. Менее похожие характеристические векторы расположены в разных кластерах.

На шаге 206 осуществляют перехват сетевых пакетов, которыми обмениваются узлы компьютерной сети в пределах второго временного интервала. На шаге 207 осуществляют выявление сетевых протоколов, которые каждый узел использовал для обмена сетевыми пакетами в пределах второго временного интервала. На шаге 208 осуществляют формирование для каждого узла характеристического вектора, элементы которого представлены частотами появления сетевых протоколов, использованных сетевым узлом в пределах второго временного интервала. На шаге 209 осуществляют передачу сформированных характеристических векторов на средство кластеризации, способное формировать кластер состояний узлов компьютерной сети на основании частот использования сетевых протоколов в пределах второго временного интервала. Дополнительные существенные признаки и конкретные примеры осуществления, свойственные шагам 206-209 являются эквивалентными признакам и примерам, свойственным шагам 201-204, кроме указания на временной интервал, в пределах которого осуществляют указанные шаги.

Далее на шаге 211 на средстве кластеризации осуществляют формирование смешанных групп векторов состояний. Каждая смешанная группа кластеров состояний включает в себя первую группу кластеров состояний и один из характеристических векторов из второй группы кластеров состояний. Количество смешанных групп кластеров состояний соответствует числу характеристических векторов из второй группы кластеров состояний. Формирование смешанных групп осуществляется путем поочередного добавления характеристических векторов из второго временного интервала в список характеристических векторов первого временного интервала. На каждой итерации на шаге 211 для полученного набора характеристических векторов выполняется кластеризация и построение дендрограммы.

На шаге 212 осуществляют поиск отклонений между состояниями узлов внутри смешанных групп кластеров состояний на основе анализа близости характеристических векторов каждого узла компьютерной сети из первой группы кластеров состояний и соответствующих характеристических векторов из второй группы кластеров состояний. Если в сформированной дендрограмме добавленный характеристический вектор, полученный во втором временном интервале, является братом соответствующего характеристического вектора первого временного интервала, то принимается решение об отсутствии аномальной активности для этого сетевого узла. Если это условие не выполняется, то принимается решение о наличии аномальной сетевой активности исследуемого сетевого узла, критичность которой на шаге 213 определяется как кофенетическое расстояние между двумя рассматриваемыми характеристическими векторами.

На ФИГ.4 показана дендрограмма, для листьев 401, 402, 403, 404, 405, 406, 407 которой определено кофенетическое расстояние. Вертикальная ось 408 - порядковые номера ветвлений от листьев к корню, горизонтальная ось 409 - номера листьев. Кофенетическое расстояние определяется как координата по вертикальной оси, соответствующая точке объединения ветвей, содержащих эти листья. Например, для дендрограммы на ФИГ.4 кофенетическое расстояние между узлами приведено в таблице ниже (индексы в строке и столбце - номера узлов, данные в таблице - кофенетическое расстояние между соответствующими узлами).

Таблица - Пример определения кофенетического расстояния между узлами 401-407

401 402 403 404 405 406 407 401 0 4 4 4 6 6 6 402 4 0 3 3 6 6 6 403 4 3 0 1 6 6 6 404 4 3 1 0 6 6 6 405 6 6 6 6 0 5 5 406 6 6 6 6 5 0 2 407 6 6 6 6 5 2 0

Например, на ФИГ.4 расстояние между двумя узлами 401 и 402 равно координате по вертикальной оси “Мера критичности”. Если бы узел 402 был расположен в одном из листьев дендрограммы правее, то критичность отклонения была бы меньше, т.к. меньше была бы координата, соответствующая точке объединения ветвей, на оси “Мера критичности” (меньше было бы кофенетическое расстояние).

Отклонение между состоянием узла из первого и второго кластера состояний, которое имеет высокую критичность, может указывать как на аномальную, так и нормальную активность узла компьютерной сети.

Критичность определяется в виде целого числа. Отнесение активности узла к нормальной или аномальной происходит по задаваемому при эксплуатации порогу нормальности отклонения: если значение критичности больше этого порога, то сетевая активность считается аномальной, если меньше, то нормальной.

Например, при изменении характеристического вектора узла, соответствующего добавлению к использованию протокола HTTP нового протокола HTTPS, критичность отклонения может быть равна 1, а при изменении характеристического вектора, соответствующего добавлению к использованию протоколов Ethernet, IPv4, TCP и HTTP протоколов DHCP, ICMP, SSH и SMTP, критичность отклонения может быть равна 20. Если порог нормальности отклонения, заданный при эксплуатации системы, равен 10, то в первом случае сетевая активность будет считаться нормальной, а во втором - аномальной.

Подбор порога нормальности может осуществляться на основе сравнения с другими событиями отклонения активности сетевых узлов из этой же сети.

На шаге 214 осуществляют передачу управляющего сигнала на средство выработки реакции на отклонение в соответствии со степенью критичности найденного отклонения. Средство выработки реакций на отклонение в зависимости от степени критичности найденного отклонения способно вырабатывать одну или несколько реакций, выбранных из следующей группы реакций: игнорирование отклонения; отключение узла от компьютерной сети; оповещение администратора компьютерной сети; передача сигнала в стороннее автоматизированное средство управления компьютерной сетью, но не ограничивается лишь этими примерами реакций.

Настоящее изобретение иллюстрируется следующим примерами осуществления.

При описании примеров предположим, что словарь известных сетевых протоколов known_protocols состоит из Ethernet на 2 (канальном) уровне модели OSI, IPv4 и ICMP на 3 (сетевом) уровне, TCP на 4 (транспортном) уровне, HTTP, HTTPS, SSH и SMTP на 7 (транспортном) уровне:

known_protocols = [[‘Ethernet’], [‘IPv4’, ‘ICMP’], [‘TCP’], [‘HTTP’, ‘HTTPS’, ‘SSH’, ‘SMTP’]].

Пример 1. Выявление аномальной активности узла компьютерной сети, связанной с подменой узла.

ФИГ.5а и ФИГ.5b иллюстрируют схему компьютерной сети, в которой один из узлов во втором временном интервале проявляет подозрительную активность. На ФИГ.5a сеть состоит из одного сервера 501 и двух АРМ 502 и 503, каждое из которых при работе использует известный набор сетевых протоколов.

В первый временной интервал АРМ 502 использует сетевой протокол Ethernet на 2 (канальном) уровне модели OSI, IPv4 на 3 (сетевом) уровне, TCP на 4 (транспортном) уровне, SSH и SMTP на 7 (транспортном) уровне, АРМ 503 - Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, HTTPS на 7 уровне, сервер 501 - для взаимодействия с АРМ 502 и АРМ 503 использует протоколы Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, SSH, SMTP и HTTPS на 7 уровне.

Тогда прообразы V характеристических векторов соответствующих узлов имеют следующий вид (с учетом списка известных протоколов):

V_501 = [[1], [1, 0], [1], [0, 1/3, 1/3, 1/3]]

V_502 = [[1], [1, 0], [1], [0, 0, 1/2, 1/2]]

V_503 = [[1], [1, 0], [1], [0, 1, 0, 0]]

При описании характеристических векторов CV двумерные массивы преобразуются в одномерные путём объединения вложенных списков:

CV_501 = [1, 1, 0, 1, 0, 1/3, 1/3, 1/3]

CV_502 = [1, 1, 0, 1, 0, 0, 1/2, 1/2]

CV_503 = [1, 1, 0, 1, 0, 1, 0, 0]

Для построения дендрограммы для первого временного интервала вычисляются Евклидовы расстояния для каждой пары узлов (расстояние симметрично):

D_502_503 = ( (1-1)^2 + (1-1)^2 + (0-0)^2 + (1-1)^2 + (0-0)^2 + (0-1)^2 + (0.5-0)^2 + (0.5-0)^2 ) ^0.5 =(0 + 0 + 0 + 1 + 0 + 0.25 + 0.25)^0.5 =1.5^0.5 = 1.225

Аналогично вычисляются:

D_501_502 = 0.408

D_501_503 = 0.817

Далее выполняется иерархическая кластеризация. Необходимо итеративно выполнять разделение набора узлов так, чтобы при каждом разделении внутрикластерные расстояния были минимальны.

Для первого разделения есть 3 варианта деления на два кластера с соответствующими внутрикластерными расстояниями d1 и d2:

1. (501, 502), 503; d1 = D_501_502 = 0.408, d2 = 0.

2. (501, 503), 502; d1 = D_501_503 = 0.817, d2 = 0.

3. (502, 503), 501; d1 = D_502_503 = 1.225, d2 = 0.

Видно, что минимальное внутрикластерное расстояние соответствует варианту разделения “1”, в котором узлы 501 и 502 объединяются в один кластер (ветвь), а узел 503 - в другой кластер (ветвь).

На текущем шаге хотя бы одна ветвь содержит более одного узла, поэтому деление продолжается. Выберем все ветви - в данном примере это единственная ветвь, содержащая узлы 501 и 502. Вариант разделения также единственный, поэтому он выбирается итоговым.

Графические представление полученного разделения проиллюстрировано ФИГ.5c, на которой по вертикальной оси отмечены порядковые номера узлов из рассмотренного выше примера.

В соответствии с ФИГ.6b, злоумышленник физически отключил одну АРМ 503 и вместо него подключил к сети своё устройство 504, задав ему сетевой адрес отключенного АРМ 503. Для подключения к серверу 501 вместе с HTTPS АРМ 503 стал использовать сетевые протоколы HTTP и SSH.

Во второй временной интервал для АРМ 504, который является теперь подключенным устройством злоумышленника, а для остальных устройств в сети представляется как АРМ 503, характеристический вектор определяется так:

CV_503 = [1, 1, 0, 1, 1/3, 1/3, 1/3, 0]

При изменении характеристического вектора АРМ 503 (504) изменился и характеристический вектор сервера 501, с которым АРМ 503 взаимодействовал по изменившемуся списку протоколов:

CV_501 = [1, 1, 0, 1, 1/5, 1/5, 2/5, 1/5]

Характеристический вектор АРМ 502 во втором временном интервале не изменился по сравнению с состоянием в первом временном интервале:

CV_502 = [1, 1, 0, 1, 0, 0, 1/2, 1/2]

После вычисления характеристических векторов для всех узлов сети во втором временном интервале каждый узел поочередно добавляется в список узлов первого временного интервала. На каждом шаге для полученного набора узлов выполняется кластеризация и построение дендрограммы. Если в полученной дендрограмме характеристический вектор исследуемого узла, полученный во втором временном интервале, является братом характеристического вектора исследуемого узла, полученного в первом временном интервале, то принимается решение об отсутствии аномальной активности для этого сетевого узла. Если это условие не выполняется, то принимается решение об обнаружении аномальной сетевой активности исследуемого сетевого узла, критичность которой определяется как кофенетическое расстояние между двумя рассматриваемыми характеристическими векторами сетевых узлов.

При добавлении характеристического вектора сервера 501 второго временного интервала к ранее вычисленным характеристическим векторам первого временного интервала создаётся следующий список векторов:

CV_501 = [1, 1, 0, 1, 0, 1/3, 1/3, 1/3]

CV_502 = [1, 1, 0, 1, 0, 0, 1/2, 1/2]

CV_503 = [1, 1, 0, 1, 0, 1, 0, 0]

CV_501’ = [1, 1, 0, 1, 1/5, 1/5, 2/5, 1/5]

Для указанных векторов выполняется расчёт попарных расстояний аналогично первому временному интервалу:

D_501_502 = 0.408

D_501_503 = 0.817

D_501_501' = 0.281

D_502_503 = 1.225

D_502_501' = 0.424

D_503_501' = 0.938

Кластеризация выполняется аналогично первому временному интервалу. Графические представление полученного разделения проиллюстрировано ФИГ.5d, на которой по вертикальной оси отмечены порядковые номера узлов из рассмотренного выше примера.

Из схемы дендрограммы на ФИГ.5c следует, что характеристический вектор сервера 501’ второго временного интервала является братом характеристического вектора сервера 501 первого временного интервала, и принимается решение об отсутствии аномальной сетевой активности сервера 501. Вывод о схожести характеристических векторов делается на основании их принадлежности к одному кластеру.

Для характеристических векторов АРМ 502 и 503 выполняются действия, описанные для сервера 501. В результате формируются дендрограммы.

Для АРМ 502’ видно отсутствие аномальной активности по причине, аналогичной описанной для сервера 501. Этот вывод проиллюстрирован дендрограммой, представленной на ФИГ.5e.

Для АРМ 503 видно, что его характеристический вектор, сформированный во втором временном интервале не является братом характеристического вектора, сформированного в первом временном интервале (векторы 503 и 503’ находятся в разных кластерах, из чего следует, что поведения узла в первом и втором временном интервале различаются), поэтому принимается решение о наличии аномальной сетевой активности АРМ 503. Этот вывод проиллюстрирован дендрограммой, представленной на ФИГ.5f. При этом критичность аномалии равна кофенетическому расстоянию между характеристическими векторами исследуемого сетевого узла для первого и второго временного интервалов.

Выявленное изменение активности можно считать аномальным, потому что подключение по HTTP или HTTPS, как правило, имеет смысл использования сервера в качестве веб-ресурса, в то время как подключение к серверу по SSH выполняется для управления сервером. Подключение АРМ злоумышленника (или сетевого узла, которому не было разрешено управление сервером) к серверу по SSH можно считать аномальным сетевым трафиком.

После обнаружения аномалии возможны, в зависимости от настройки, варианты действий: передать сигнал в стороннее автоматизированное средство управления компьютерной сетью, оповестить администратора компьютерной сети или другое.

Пример 2. Выявление аномальной активности узла компьютерной сети, связанной с изменением в сетевых протоколах, используемых таким узлом.

ФИГ.6 иллюстрирует схему компьютерной сети, в которой некоторые сетевые узлы проявляют подозрительную активность. Сеть состоит из одного сервера 601 и трёх АРМ 602, 603 и 604. Одно из АРМ кроме HTTP начало использовать HTTPS. Это изменение не было отмечено как аномалия, т.к. изменение в векторном пространстве за единицу времени небольшое и не ведет к перемещению характеристического вектора узла в другой кластер. Затем другое АРМ стало использовать существенно отличные протоколы на нескольких уровнях модели OSI. Это изменение было отмечено как аномалия, т.к. изменение в векторном пространстве за единицу времени существенное и ведет к перемещению характеристического вектора узла в другой кластер.

В первом временном интервале АРМ 602 и АРМ 604 используют для связи с сервером Ethernet на 2 (канальном) уровне модели OSI, IPv4 на 3 (сетевом) уровне, TCP на 4 (транспортном) уровне, HTTP и SMTP на 7 (транспортном) уровне, АРМ 602 для связи с сервером использует Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, HTTP и SSH на 7 уровне, сервер 601 для связи с АРМ использует Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, HTTP, SSH и SMTP на 7 уровне, причём HTTP - для связи с 3 АРМ (3 раза), SSH - 1 раз, SMTP - 2 раза.

Характеристические векторы сетевых узлов имеют следующий вид:

CV_601 = [1, 1, 0, 1, 3/6, 0, 1/6, 2/6]

CV_602 = [1, 1, 0, 1, 1/2, 0, 0, 1/2]

CV_603 = [1, 1, 0, 1, 1/2, 0, 1/2, 0]]

CV_604 = [1, 1, 0, 1, 1/2, 0, 0, 1/2]

Для указанных выше характеристических векторов проводится вычисление попарных расстояний, кластеризация и построение дендрограммы. Построенная дендрограмма представлена на ФИГ. 7b.

Во втором временном интервале АРМ 603 для связи с сервером 601 использует на 7 уровне модели OSI, кроме HTTP и SSH, ещё протокол HTTPS. При этом изменяются характеристические вектора АРМ 603 и сервера 601:

CV_601' = [1, 1, 0, 1, 3/7, 1/7, 1/7, 2/7]

CV_603' = [1, 1, 0, 1, 1/3, 1/3, 1/3, 0]

Для узлов, характеристические вектора которых во втором временном интервале не изменились, принимается решение об отсутствии аномальной сетевой активности: при добавлении их в дендрограмму они будут братьями характеристических векторов первого временного интервала. В рассматриваемом случае для АРМ 602 и 604 принимается решение об отсутствии аномальной сетевой активности.

Для остальных характеристических векторов выполняется расчёт попарных расстояний. Кластеризация и построение дендрограммы происходит по принципу “все характеристические векторы из первого временного интервала и один изменившийся характеристический вектор из второго временного интервала”.

Для характеристического вектора сервера 601, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано ФИГ. 7c.

Исходя из дендрограммы на ФИГ.6c следует, что характеристический вектор сервера 601’ второго временного интервала является братом характеристического вектора сервера 601 первого временного интервала, и принимается решение об отсутствии аномальной сетевой активности сервера 601.

Для характеристического вектора АРМ 603, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано ФИГ. 7d.

Видно, что характеристический вектор АРМ 603’ второго временного интервала является братом характеристического вектора АРМ 603 первого временного интервала, и принимается решение об отсутствии аномальной сетевой активности сервера 603.

По результатам анализа характеристических векторов принимается решение об отсутствии аномальной сетевой активности во втором временном интервале.

В следующем (третьем) временном интервале для ФИГ.6 описанный второй временной интервал становится первым (предыдущим).

В третьем временном интервале АРМ 604 для связи с сервером 601 использует на 3 уровне модели OSI, кроме IPv4, ещё протокол ICMP, а на 7 уровне - кроме HTTP и SMTP, ещё протоколы HTTPS и SSH. При этом изменяются характеристические вектора АРМ 604 и сервера 601:

CV_601' = [1, 9/10, 1/10, 1, 3/7, 2/7, 2/7, 2/7]

CV_604' = [1, 4/5, 1/5, 1, 1/4, 1/4, 1/4, 1/4]

В рассматриваемом случае для АРМ 602 и 604 принимается решение об отсутствии аномальной сетевой активности по причине отсутствия изменений характеристического вектора в третьем временном интервале по сравнению со вторым.

Для характеристического вектора сервера 601, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано ФИГ. 7e.

Исходя из дендрограммы на ФИГ.6e следует, что характеристический вектор сервера 601’ третьего временного интервала не является братом характеристического вектора второго временного интервала, поэтому принимается решение о наличии аномальной сетевой активности сервера 601. При этом критичность аномалии равна кофенетическому расстоянию между характеристическими векторами исследуемого сетевого узла для второго и третьего временного интервалов.

Для характеристического вектора АРМ 604, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано ФИГ. 7f.

Исходя из дендрограммы на ФИГ.6f следует, что характеристический вектор сервера 604’ третьего временного интервала не является братом характеристического вектора второго временного интервала, поэтому принимается решение о наличии аномальной сетевой активности АРМ 604. При этом критичность аномалии равна кофенетическому расстоянию между характеристическими векторами исследуемого сетевого узла для второго и третьего временных интервалов.

После обнаружения аномалий возможны, в зависимости от настройки, варианты действий: передать сигнал в стороннее автоматизированное средство управления компьютерной сетью, оповестить администратора компьютерной сети или другое.

Пример 3. Выявление аномальной активности узла компьютерной сети, связанной с остановкой обмена сетевыми пакетами со стороны такого узла.

ФИГ.7a и ФИГ.7b иллюстрируют схему компьютерной сети из одного сервера и трёх АРМ, в которой АРМ 704 во втором временном интервале был отключен и не участвовал в обмене сетевыми пакетами. Это изменение было отмечено как аномалия, т.к. изменение в векторном пространстве за единицу времени существенное и ведет к перемещению характеристического вектора узла в другой кластер.

В первом временном интервале АРМ 702, 703 и 704 используют для связи с сервером 701 Ethernet на 2 (канальном) уровне модели OSI, IPv4 на 3 (сетевом) уровне, TCP на 4 (транспортном) уровне, HTTP и SMTP на 7 (транспортном) уровне, АРМ 602 для связи с сервером использует Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, HTTP и SSH на 7 уровне, сервер 701 для связи с АРМ использует Ethernet на 2 уровне, IPv4 на 3 уровне, TCP на 4 уровне, HTTP, SSH и SMTP на 7 уровне, причём HTTP - для связи с 3 АРМ (3 раза), SSH - 1 раз, SMTP - 2 раза.

Характеристические векторы сетевых узлов имеют следующий вид:

CV_701 = [1, 1, 0, 1, 3/6, 0, 1/6, 2/6]

CV_702 = [1, 1, 0, 1, 1/2, 0, 0, 1/2]

CV_703 = [1, 1, 0, 1, 1/2, 0, 1/2, 0]]

CV_704 = [1, 1, 0, 1, 1/2, 0, 0, 1/2]

Для указанных выше характеристических векторов проводится вычисление попарных расстояний, кластеризация и построение дендрограммы. Построенная дендрограмма представлена на ФИГ.8c. Во втором временном интервале АРМ 703 не использует сетевые протоколы, при этом изменяются характеристические вектора АРМ 703’ и сервера 701’:

CV_701' = [1, 1, 0, 1, 2/4, 0, 1/4, 1/4]

CV_703' = [0, 0, 0, 0, 0, 0, 0, 0]

Для узлов, характеристические вектора которых во втором временном интервале не изменились, принимается решение об отсутствии аномальной сетевой активности: при добавлении их в дендрограмму они будут братьями характеристических векторов первого временного интервала. В рассматриваемом случае для АРМ 702 и 704 принимается решение об отсутствии аномальной сетевой активности.

Для остальных характеристических векторов выполняется расчёт попарных расстояний. Кластеризация и построение дендрограммы происходит по принципу “все характеристические векторы из первого временного интервала и один изменившийся характеристический вектор из второго временного интервала”.

Для характеристического вектора сервера 701, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано на ФИГ.7d.:

Исходя из дендрограммы на ФИГ.7d следует, что характеристический вектор сервера 701 второго временного интервала является братом характеристического вектора сервера 701 первого временного интервала, и принимается решение об отсутствии аномальной сетевой активности сервера 701.

Для характеристического вектора АРМ 704, изменившегося во втором временном интервале, графическое представление дендрограммы проиллюстрировано на ФИГ.7e.

Исходя из дендрограммы на ФИГ.7e следует, что характеристический вектор АРМ 704’ третьего временного интервала не является братом характеристического вектора второго временного интервала, поэтому принимается решение о наличии аномальной сетевой активности АРМ 704. При этом критичность аномалии равна кофенетическому расстоянию между характеристическими векторами исследуемого сетевого узла для первого и второго временных интервалов.

Таким образом, иллюстрируется техническая возможность выявления аномальной активности узлов компьютерной сети, что обеспечивается признаками настоящего изобретения.

Стоит отметить, что представленное выше описание приведено в качестве примера, и не должно быть истолковано как ограничивающее объем охраны настоящего изобретения, определяемым исключительно объемом приложенной формулы изобретения.

Несмотря на то, что описанные выше частные случаи осуществления приведены со ссылкой на конкретные шаги, выполняемые в определенном порядке, и программно-аппаратные средства, осуществляющие выполнение этих шагов, должно быть очевидно, что эти шаги, средства на практике могут быть дополнены какими-либо иными признаками, без отклонения от сущности настоящего изобретения.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности реагирования на выявленную аномальную активность узлов компьютерной сети. Способ мониторинга сетевой активности узлов компьютерной сети содержит следующие шаги: формирование первой и второй групп кластеров состояний узлов компьютерной сети для первого и второго временных интервалов; формирование для каждого узла характеристического вектора, элементы которого представлены частотами появления сетевых протоколов, использованных сетевым узлом в пределах временного интервала; передача сформированных векторов на средство кластеризации, способное формировать группу кластеров состояний узлов компьютерной сети на основании частот использования сетевых протоколов в пределах временного интервала; формирование на средстве кластеризации смешанных групп кластеров состояний, каждая из которых включает в себя первую группу кластеров состояний и один из характеристических векторов из второй группы кластеров состояний; поиск отклонений между состояниями узлов внутри смешанных групп кластеров состояний; определение степени критичности каждого найденного отклонения; передача управляющего сигнала на средство выработки реакции на отклонение. 11 з.п. ф-лы, 21 ил., 1 табл.

1. Способ мониторинга сетевой активности узлов компьютерной сети, содержащий следующие шаги:

а) формирование первой группы кластеров состояний узлов компьютерной сети для первого временного интервала;

б) формирование второй группы кластеров состояний узлов компьютерной сети для второго временного интервала, причем для формирования каждого кластера проводят:

– перехват сетевых пакетов, которыми обмениваются узлы компьютерной сети в пределах временного интервала;

– выявление сетевых протоколов, которые каждый узел использовал для обмена сетевыми пакетами в пределах временного интервала;

– формирование для каждого узла характеристического вектора, элементы которого представлены частотами появления сетевых протоколов, использованных сетевым узлом в пределах временного интервала;

– передача сформированных характеристических векторов на средство кластеризации, способное формировать группу кластеров состояний узлов компьютерной сети на основании частот использования сетевых протоколов в пределах временного интервала;

в) формирование на средстве кластеризации смешанных групп кластеров состояний, каждая из которых включает в себя первую группу кластеров состояний и один из характеристических векторов из второй группы кластеров состояний, при этом количество смешанных групп кластеров состояний соответствует числу характеристических векторов из второй группы кластеров состояний;

г) поиск отклонений между состояниями узлов внутри смешанных групп кластеров состояний на основе анализа близости характеристических векторов каждого узла компьютерной сети из первой группы кластеров состояний и соответствующих характеристических векторов из второй группы кластеров состояний;

д) определение степени критичности каждого найденного отклонения;

е) передача управляющего сигнала на средство выработки реакции на отклонение в соответствии со степенью критичности найденного отклонения.

2. Способ по п.1, в котором перехват сетевых пакетов осуществляют на коммутаторе компьютерной сети при помощи средства зеркалирования сетевого трафика.

3. Способ по п.1, в котором по меньшей мере часть узлов компьютерной сети выбрана из группы, включающей сервер, автоматизированное рабочее место, программируемый логический контроллер, сетевое оборудование, сетевое средство защиты.

4. Способ по п.1, в котором выявление сетевых протоколов, использованных сетевым узлом, осуществляют на основании анализа заголовков сетевых пакетов, в которых такой сетевой узел является получателем.

5. Способ по п.1, в котором выявление сетевых протоколов, использованных сетевым узлом, осуществляют на основании анализа заголовков сетевых пакетов, в которых такой сетевой узел является источником.

6. Способ по п.1, в котором выявление сетевых протоколов, использованных сетевым узлом, осуществляют с помощью средства учета сетевого трафика с поддержкой протокола NetFlow.

7. Способ по п.1, в котором формирование характеристического вектора осуществляют с помощью рекуррентной нейронной сети с долгой краткосрочной памятью.

8. Способ по п.1, в котором формирование характеристического вектора осуществляют с помощью алгоритма, вычисляющего частоту использования каждого сетевого протокола в отправленных сетевым узлом сетевых пакетах относительно общего количества сетевых пакетов, отправленных сетевым узлом и использующих один из сетевых протоколов на уровне модели OSI, соответствующем исследуемому сетевому протоколу.

9. Способ по п.1, в котором кластер состояний узлов компьютерной сети имеет древовидную структуру, в которой листья отражают состояние узла компьютерной сети, а расстояния между позициями листьев отражают сходства характеристических векторов, соответствующих узлам.

10. Способ по п.1, в котором определение степени критичности найденного отклонения осуществляют на основании кофенетического расстояния между состоянием узла из первого временного интервала и второго временного интервала.

11. Способ по п.1, в котором отклонение между состоянием узла из первого и второго кластера состояний, которое имеет высокую критичность, указывает на аномальную активность сетевого узла.

12. Способ по п.1, в котором средство выработки реакций на отклонение в зависимости от степени критичности найденного отклонения способно вырабатывать одну или несколько реакций, выбранных из следующей группы реакций:

– игнорирование отклонения;

– отключение узла от компьютерной сети;

– оповещение администратора компьютерной сети;

– передача сигнала в стороннее автоматизированное средство управления компьютерной сетью.