Метод и алгоритмы мониторинга вычислительных сетей на основе совместного анализа временных и функциональных характеристик стека протоколов TCP/IP тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат наук Лавров, Андрей Александрович

ВВЕДЕНИЕ

Актуальность работы. В последние годы с ростом уровня автоматизации, проникновения информационных технологий во все сферы деятельности человека и значительным повышением требований отказоустойчивости и надежности к информационным системам важное значение приобретают вопросы разработки эффективных средств мониторинга и диагностики информационных систем. В связи с повсеместным использованием вычислительных сетей (ВС) и сетей передачи данных для организации взаимодействия как между отдельными рабочими станциями для передачи информации прикладного характера (например, при работе в глобальной сети Интернет), так и взаимодействия внутри замкнутых вычислительных кластеров, информационно-вычислительных комплексов обработки данных, корпоративных сетей и иных распределенных систем, основанных на использовании вычислительных сетей, остро встают вопросы мониторинга состояния подобных систем.

Классические системы мониторинга обеспечивают непрерывный мониторинг только текущего состояния узлов, входящих в состав ВС, но в условиях современных всё более усложняющихся распределенных систем и жестких требований к их отказоустойчивости и надежности, а также защищенности и информационной безопасности к современным системам мониторинга предъявляются также требования по обеспечению возможностей прогнозирования и диагностики состояния обслуживаемых информационных систем в краткосрочной и долгосрочной перспективах, а также реализации комплексного мониторинга, включающего анализ не только текущего состояния узлов ВС на основе формальных показателей их работоспособности, но и комплексный анализ более широкого спектра характеристик функционирования системы и входящих в её состав узлов, а также прогнозирование и диагностика потенциальных проблем в защищенности системы или отдельных её узлов от различных типов внешних вмешательств. Актуальность данных вопросов рассмотрена, в частности, в работах Р. Г. Шыхалиева, а также В.В. Коренькова и A.B. Ужинского.

Кроме того, актуальными проблемами разработки систем сетевого мониторинга является увеличение точности анализа состояния входящих в состав ВС узлов, т.е. обеспечение максимального соответствия показаний системы мониторинга реальному состоянию информационной системы, а также уменьшение интенсивности обмена служебным трафиком и минимизация влияния подсистемы мониторинга на функционирование других подсистем вычислительной сети или распределенной системы (например, подсистем обеспечения сетевой информационной безопасности - систем обнаружения вторжений и т.п.).

В связи с изложенным задачи исследования и разработки методов мониторинга и диагностики вычислительных сетей и распределенных систем, а также систем мониторинга на их основе в настоящее время являются актуальными.

Целью работы является разработка метода и алгоритмов мониторинга ВС, основанных на анализе временных закономерностей в работе стека протоколов TCP/IP, и построение системы сетевого мониторинга на их основе.

Для достижения поставленной цели были решены следующие задачи:

1. Исследование и анализ современных подходов к организации систем сетевого мониторинга (ССМ). Классификация и исследование методов и алгоритмов анализа характеристик функционирования стека протоколов TCP/IP удаленного сетевого узла, оценка существующих ССМ, использующих в своем составе методы и алгоритмы данного класса.

2. Разработка временной модели функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

3. Разработка метода и алгоритмов анализа стека протоколов TCP/IP удаленного сетевого узла, основанных на совместном анализе временных и функциональных характеристик TCP/IP с использованием методов многоклассовой классификации в качестве аналитического средства.

4. Исследование алгоритмов многоклассовой классификации и выбор классификатора для разработанных метода и алгоритмов; определение конфигурации классификатора, обеспечивающей наибольшую эффективность работы разработанных метода и алгоритмов.

5. Исследование и оценка разработанных алгоритмов и их применимости в ССМ; разработка алгоритма конвейерного опроса сетевых узлов.

6. Разработка комплекса программ, реализующих функции сетевого мониторинга на основе разработанных метода и алгоритмов, внедрение разработанных программных средств в реальную ССМ и исследование их работоспособности.

Объектом исследования в диссертационной работе являются процессы мониторинга и диагностики вычислительных сетей и построенных на их основе распределенных систем.

Предметом исследования являются методы анализа характеристик функционирования стека протоколов TCP/IP удаленных сетевых узлов и возможности их применения в системах сетевого мониторинга.

Методы исследования. Теоретическая часть работы выполнена на основе методов системного анализа, извлечения знаний и математической статистики. В экспериментальной и практической частях работы применяются методы распределенных вычислений, численные методы, методы извлечения знаний.

Научная новизна полученных результатов заключается в следующем:

1. Разработана временная модель функционирования стека протоколов TCP/IP при отработке механизма повторных передач.

2. Разработан метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

3. Определена конфигурация классификатора на базе метода опорных векторов (MOB), обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

4. На основе разработанной временной модели механизма повторных передач и результатов обобщения её реализаций для различных версий стека протоколов TCP/IP разработан алгоритм конвейерного опроса уз-

лов сети, предназначенный для извлечения значений анализируемых характеристик сетевого стека целевого узла.

Практическая значимость. Практическую ценность имеют следующие полученные автором результаты:

1. Методика идентификации версии стека протоколов TCP/IP на основе совместного анализа временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора.

2. Алгоритм конвейерного опроса узлов сети, предназначенный для извлечения значений анализируемых характеристик TCP/IP.

3. Программный комплекс мониторинга вычислительной сети, основанный на разработанных моделях и алгоритмах.

На защиту выносятся следующие основные результаты и положения:

1. Метод идентификации версии стека протоколов TCP/IP, основанный на совместном анализе временных и функциональных характеристик TCP/IP с использованием многоклассового классификатора, и набор реализующих его алгоритмов.

2. Конфигурация классификатора на базе MOB, обеспечивающая наибольшую эффективность работы разработанных алгоритмов.

3. Алгоритм конвейерного опроса узлов сети, предназначенный для практического применения разработанных метода и алгоритмов.

4. Комплекс программ сетевого мониторинга, основанных на разработанных моделях и алгоритмах.

Апробация работы. Основные результаты работы докладывались и обсуждались на XVII Международной открытой научной конференции «Современные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем» (Воронеж, ноябрь 2011 г. - январь 2012 г.), VII международной научно-практической конференции «Перспективные разработки науки и техники» (Przemysl, Польша, 7-15 ноября 2011 г.), 64-й и 65-й научно-технических конференциях профессорско-преподавательского

состава СПбГЭТУ «ЛЭТИ» (Санкт-Петербург, январь-февраль 2011 г. и январь-февраль 2012 г. соответственно).

Достоверность научных положений и результатов работы подтверждается результатами вычислительных экспериментов, результатами испытаний разработанных программных средств в условиях реальных вычислительных сетей, а также апробацией основных положений работы на международных и российских конференциях.

Реализация и внедрение результатов. Теоретические и практические результаты работы внедрены в рамках НИОКР «Разработка системы гидроакустического мониторинга акватории на базе покровных антенн», выполняемой по заказу ОАО «Концерн «Океанприбор», в составе подсистемы сетевого мониторинга цифрового вычислительного комплекса обработки гидроакустических сигналов. Разработанный комплекс программ используется также в качестве ССМ корпоративной сети кафедры Математического обеспечения и применения ЭВМ Санкт-Петербургского государственного Электротехнического университета «ЛЭТИ». Результаты работы используются в рамках учебного процесса по дисциплинам «Сети и телекоммуникации» и «Сетевые технологии» для подготовки бакалавров и магистров по направлениям 231000 «Программная инженерия» и 010400 «Прикладная математика и информатика».

Публикации. По теме работы опубликованы 11 научных работ, среди которых 3 публикации в ведущих рецензируемых изданиях, рекомендованных ВАК, 1 монография, 2 учебно-методических издания и 1 учебное пособие.

Структура и объем диссертации. Диссертация состоит из введения, 4 глав, заключения, списка сокращений и обозначений, библиографического списка, 3 приложений. Общий объем диссертации составляет 138 страниц, включая 31 рисунок и 16 таблиц. Библиографический список включает 102 наименования.

1 Обзор существующих методов и алгоритмов мониторинга вычислительных сетей

В условиях постоянного развития, усложнения и повсеместного внедрения во все сферы жизни человека распределенных информационных систем задачи постоянного контроля за работой вычислительной сети, составляющей основу любого современного цифрового вычислительного комплекса или другой распределенной системы, приобретают всё более важное значение, поскольку необходимы для поддержания системы в работоспособном состоянии и оперативного устранения сбоев и неполадок [1-3].

Данные задачи реализуются организацией процесса сетевого мониторинга.

1.1 Понятие и задачи сетевого мониторинга

Под мониторингом вычислительной сети понимают функции постоянного наблюдения в пределах сети с целью поиска медленных или неисправных систем, а также оповещение сетевых администраторов о сбоях и иных неисправностях с использование различных средств оповещения. Эти задачи являются подмножеством задач управления сетью [4,5].

В общем случае процесс мониторинга включает три основных этапа [6]:

1. Извлечение и сбор данных о состоянии компонентов сети.

2. Обработка и хранение данных.

3. Анализ данных, формирование оценки текущего состояния ВС и локализация сбоев и неполадок, выработка рекомендаций по их устранению.

Основными задачами сетевого мониторинга являются своевременное выявление отказов, разного рода неисправностей и аномалий в работе сетевых узлов и выработка рекомендаций по их устранению, а также диагностика и профилак-

тика неисправностей [7]. Одна из возможных классификаций задач сетевого мониторинга [6] представлена на рисунке 1.1.

К группе А относятся задачи мониторинга технического состояния узлов сети, включающего такие формальные показатели работоспособности как загрузка процессора, состояние оперативной памяти, состояние дисковой подсистемы, температура аппаратных компонентов и пр.

Мониторинг ВС

ГРУППА А

Мониторинг

сетевого оборудования

ГРУППА Б

Мониторинг внутренних и внешних каналов

ГРУППА С

Учет потребления ресурсов

ГРУППА Д

Мониторинг безопасности

Рисунок 1.1- Классификация задач сетевого мониторинга

В рамках группы Б решаются задачи контроля состояния внешних и внутренних каналов связи, реализуемые на основе анализа значений пропускной способности в различных метриках; количества ошибок, возникающих при передаче данных; учета различных особых случаев, характеризующих работоспособность каналов связи (увеличение количества коллизий, пропадание несущей и т.п.).

Группа задач С отвечает за сбор статистических данных для учета потребления ресурсов вычислительной сети и функционирующей на её основе информационной системы. К таким ресурсам относятся доступ в глобальную сеть Интернет, ресурсы печати, ресурсы систем хранения данных и др.

В составе задач мониторинга современных информационных систем присутствуют также задачи обеспечения безопасности (группа Д), включающие в себя обнаружение различных аномалий в работе сети, оперативное обнаружение атак, вторжений и др. инцидентов безопасности, а также анализ собранных данных и выработка рекомендаций по обеспечению сетевой информационной безопасности.

Функции мониторинга выполняет система (или подсистема) сетевого мониторинга (ССМ). Конкретные программно-аппаратные комплексы, реализую-

щие функции сетевого мониторинга, зачастую не покрывают все группы задач сетевого мониторинга, выделенные выше, и классификация, представленная на рисунке 1.1, в общих чертах соответствует классификации ССМ по функциональным возможностям. Так, например, существуют отдельные программные и программно-аппаратные решения, реализующие мониторинг состояния узлов ВС. Существуют средства, специализированные на задачах учета потребления ресурсов или мониторинге сетевой инфраструктуры (каналов связи). Средства же обеспечения сетевой информационной безопасности традиционно выделяются в отдельную группу программных и программно-аппаратных комплексов [8].

В работе рассматриваются методы и алгоритмы сетевого мониторинга и основанные на них ССМ, предназначенные для решения задач групп А и Д.

1.2 Методы мониторинга вычислительных сетей

Под методами мониторинга ВС понимают методы извлечения и сбора данных о состоянии ВС и входящих в её состав узлов. К числу методов сетевого мониторинга можно также отнести методы анализа данных мониторинга, формирования комплексной оценки текущего состояния ВС, локализации сбоев и неполадок и выработке рекомендаций по их устранению. Тем не менее, данные механизмы в широком смысле относятся к другим областям знаний - методам анализа данных, теории построения экспертных систем и т.п., возможности которых применяются и адаптируются для организации процессов сетевого мониторинга. В связи с этим в современной литературе методами сетевого мониторинга называют преимущественно методы сбора данных о состоянии и работоспособности ВС и её компонентов [9]. Далее рассматриваются методы организации процесса сбора данных сетевого мониторинга, а также основные методы анализа и интерпретации данных мониторинга и их представления пользователю ССМ.

1.2.1 Методы сбора данных сетевого мониторинга

Существуют следующие основные классификации методов сбора данных сетевого мониторинга [10].

1. По порядку проведения опроса.

2. По уровню воздействия на анализируемые системы и вычислительную сеть.

3. По критерию удаленности от анализируемой системы.

Детализированная классификация методов сетевого мониторинга иллюстрируется рисунком 1.2.

С точки зрения управления порядком опроса существуют следующие группы методов мониторинга [11,12]:

■ последовательный (однопоточный) интервальный опрос;

■ последовательно-параллельный (многопоточный) опрос;

■ метод «массовой рассылки»;

■ событийный мониторинг.

По порядку проведения опроса

/

Последовательный

Методы мониторинга ВС

I

По воздействию По критерию удаленности

на сеть от целевой системы

Активные Пассивные Ручной

«Массовая рассылка»

Последовательно-параллельный

Удаленный Псевдоудаленный

Событийный

Рисунок 1.2 - Классификация методов мониторинга ВС

Первые системы мониторинга были основаны на методе последовательного интервального опроса. Основой данному методу послужили работы Л. Клейнрока и А. Я. Хинчина в области исследования систем массового обслуживания. Метод заключается в последовательном опросе узлов по их 1Р-адресам

в заданном интервале времени. Основным достоинством подобных систем мониторинга является низкая загрузка сервера мониторинга и малый сетевой трафик в единицу времени [13,14,11].

Однако в связи с интенсивным развитием компьютерных сетей и всё больших требований по безопасности и отказоустойчивости на смену данному методу пришел метод последовательно-параллельного опроса. Основное его отличие от метода последовательного опроса состоит в том, что диапазон адресов разбивается на несколько групп, в каждой из которых параллельно реализуется последовательный интервальный опрос. Подобная организация процесса опроса узлов позволяет сократить время, затрачиваемое на мониторинг сети. Тем не менее, данный подход характеризуется следующими недостатками:

■ при неправильном выборе числа групп система мониторинга работает или неэффективно (если количество групп меньше оптимального) или, в худшем случае, приводит к перегрузке сервера;

■ затруднена адаптация к возможным изменениям в конфигурации сети, поскольку ССМ, организованная по принципу последовательно-параллельного опроса не полностью использует свободные ресурсы, когда это возможно.

В ряде случае современные ССМ используют метод «массовой рассылки» [11,15], суть которого заключается в первоначальной отправке запросов всем узлам ВС, состояние которых необходимо оценить, формировании очереди ответов и последующем последовательном анализе полученных данных. Данный метод является эффективным для малых и средних сетей, но не обеспечивает достоверности данных мониторинга для крупных корпоративных сетей. Это связано с тем, что между опросом устройства и обработкой информации может пройти значительное время, в течение которого состояние устройства может измениться. Кроме того, немаловажный недостаток заключается в том, что при использовании метода «массовой рассылки» могут возникать моменты генерации чрезмерного объема трафика, что способствует перегрузке сети.

Наиболее эффективным и получившим широкое распространение в современных ССМ является метод событийного опроса. Его идея состоит в том, что на устройствах, являющихся объектами мониторинга, устанавливаются агенты, которые при любом изменении параметров наблюдаемых устройств пересылают на сервер мониторинга информацию о произошедших изменениях. Недостатком данного подхода является необходимость унификации интерфейсов агентов. Зачастую такие интерфейсы очень разнообразны, что препятствует применению событийного подхода для мониторинга широкого спектра разнообразных устройств. В процессе развития методов мониторинга метод событийного опроса трансформировался в две основные методики получения характеристик функционирования системы. В первой сенсоры (агенты) опрашиваются постоянно с определенной периодичностью, во второй - только при необходимости, например, после возникновения какого-либо события, либо агенты самостоятельно отправляют серверу мониторинга данные об изменившемся состоянии наблюдаемого узла.

По воздействию на сеть методы мониторинга делятся на две категории: пассивные и активные методы. К пассивным методам относится прослушивание и анализ сетевого трафика. Активные методы мониторинга подразумевает опрос сетевых узлов на предмет сбора информации об их состоянии, инициируемый ССМ. К данной группе методов мониторинга относятся протокол SNMP [16], использование некоторых типов ICMP-сообщений, различные методы сканирования узлов сети на предмет получения сведений о запущенных на них службах и установленном ПО.

По критерию удаленности от анализируемой системы (сети) выделяют следующие группы методов [17,13]:

1. Ручной - подразумевает получение необходимых характеристик устройств при их визуальном осмотре или непосредственном физическом доступе к устройствам.

2. Удаленный - предполагает получение параметров устройства при обращении к нему с использованием тех или иных средств связи.

3. Псевдоудаленный - предусматривает получение параметров устройства с использованием временного промежуточного хранилища данных. Реализуется следующим образом:

a) запуск клиентского приложения на удаленном устройстве;

b) размещение клиентским приложением полученных данных во временном накопителе на сетевом диске;

c) обработка серверным приложением данных, хранящихся во временном накопителе.

Современные ССМ строятся на основе удаленных методов сетевого мониторинга. Псевдоудаленный мониторинг применяется в небольших сетях и при мониторинге сугубо специфических параметров, характерных для конкретного устройства. Ручной опрос сети является устаревшим способом.

1.2.2 Методы анализа данных сетевого мониторинга

Для решения задачи анализа и интерпретации данных в составе ССМ используются разнообразные подходы [18]. Рассмотрим основные методы обработки и анализа данных, получившие широкое распространение в современных ССМ [19].

1. Иерархическая архитектура. В большинстве случаев для анализа используются данные различных уровней. Самый нижний из уровней содержит информацию об отдельных пакетах либо суммарную информацию о сетевом трафике. На следующем уровне существуют так называемые «bunches» - наборы пакетов, не всегда упорядоченные, и «landmarks» - наборы пакетов, относящиеся к определенному узлу. Наборы пакетов объединяются в последовательности, а они, в свою очередь, в подключения. Информация о подключениях представляет данные о трафике, а полная информация обо всем сетевом трафике дает представление об общем состоянии сети.

2. Выборочная обработка данных. С развитием информационным систем стало очевидно, что обрабатывать в ССМ весь проходящий через ВС трафик

нецелесообразно. Системы мониторинга начали приобретать черты интеллектуальных систем, позволяя различать нетипичный для данной сети трафик, который затем анализировался. Информация о нетипичном (аномальном) трафике, такая как данные о пакетах, интервалы между пакетами, объемы передаваемой информации и т. д. в полном объеме хранилась и обрабатывалась ССМ, в то время как характерный для ВС трафик анализу не подвергался. Разработаны также механизмы выявления потенциально аномального трафика и управления категоризацией трафика, позволяющие автоматически формировать категории аномального трафика, подлежащего тщательному анализу.

В современных корпоративных ССМ также широко используются технологии Business intelligence, предназначенные для сбора, объединения, анализа и представления различной информации о бизнес-процессах [20]. К числу подобных технологий относятся:

■ Интеллектуальный анализ данных {Data Mining) - процесс обработки больших массивов данных с целью извлечения значимой информации,

■ Хранилища данных (Data Warehouse) - средства хранения данных, спроектированные специально с целью облегчения их анализа,

■ Аналитическая обработка данных в реальном времени (Online Analytical Processing, OLAP) - технологии для эффективной работы с многомерными данными.

1.3 Системы сетевого мониторинга

Система сетевого мониторинга (ССМ) представляет собой программный продукт или программно-аппаратный комплекс, обеспечивающий реализацию задач мониторинга ВС и/или распределенной системы [21].

В общем случае процесс сетевого мониторинга состояния узлов ВС реализуется взаимодействием трех основных составляющих ССМ: шасси мониторинга, датчиков и агентов (рисунок 1.3) [21].

Шасси (или менеджер) - базовый модуль ССМ, который предоставляет интерфейсы для подключения агентов, обеспечивает управление конфигурацией ССМ, ведет журнал событий, реализует функции оповещения и др. Агент представляет собой модуль опроса и/или получения информации от удаленных дат-

сбора значений анализируемых характеристик работоспособности узлов (таких как загрузка центрального и периферийных процессоров, состояние оперативной памяти, состояние дисковой подсистемы и пр.) и их отправку агентам.

К базовым возможностям современных ССМ относятся мониторинг производительности и доступности, мониторинг сервисов, управление событиями и комплексный мониторинг инфраструктуры [6,22].

Мониторинг производительности и доступности. Одной из базовых функциональных возможностей любой системы мониторинга является контроль доступности и производительности оборудования и сервисов. Кроме того, многие современные ССМ предоставляют различные технологии для предсказания ситуаций возникновения отказов на основе статистических алгоритмов.

Комплексный мониторинг сервисов. Существует ряд критичных сервисов (базы данных, почтовые службы и т.п.), отслеживание показателей работы которых не является тривиальной задачей, поскольку их работоспособность может быть нарушена даже при низкой загрузке серверов и нормальной работе сети. Для обеспечения надежного контроля работоспособности подобного рода приложений современные ССМ использует комплексные транзакции. Суть метода заключается в том, что к сервисам посылаются тестовые запросы, схожие с ре-

о о

чиков или напрямую от сервисов и устройств. Агенты принимают сообщения или опрашивают датчики, после чего шасси анализирует полученные данные и принимает ре-

Рисунок 1.3 - Базовая архитектура ССМ

шение о состоянии системы или сети. Датчики устанавливаются на узлах сети и реализуют функции

Список литературы

1. Aftimiei, С. Recent evolutions of GridlCE: a monitoring tool for grid systems / C. Aftimiei, S. An-dreozzi, G. Cuscela, G. Donvito, V. Dudhalkar, S. Fantineli, E. Fattibene, G. Maggi, G. Misurelli, A. Pierro // Proceedings of the 2007 workshop on Grid monitoring. - New York, 2007. - pp. 1-8.

2. Васенин, В. А. К созданию системы сетевого мониторинга / С. А. Афонин, А. Ф. Слепухин // Телематика'99: Труды VI Всероссийской научно-методической конференции. - Санкт-Петербург, 1999. - С. 54-55.

3. Кореньков, В. В. Архитектура и пути реализации системы локального мониторинга ресурсного центра [Электронный ресурс] / В. В. Кореньков, П. В. Дмитриенко // Системный анализ в науке и образовании. - Дубна, 2011. - №3. - Режим доступа: http://www.sanse.ru/download/96.

4. Кореньков, В. В. Архитектура системы мониторинга центрального информационно-вычислительного комплекса ОИЯИ / В. В. Кореньков, В. В. Ми-цын, П. В. Дмитриенко // Информационные технологии и вычислительные системы. - 2012.-№3.-С. 31-42.

5. Бройдо, В. JI. Вычислительные системы, сети и телекоммуникации / В. JI. Бройдо, О. П. Ильина. - СПб.: Питер, 2006. - 704 с.

6. Уилсон, Э. Мониторинг и анализ сетей. Методы выявления неисправностей / Э. Уилсон. - М.: Лори, 2002. - 350 с.

7. Сторожук, Д. О. Основные задачи управления корпоративных сетей / Д. О. Сторожук // Научная сессия МИФИ. - 2007. - 2 т. - С. 103-105.

8. Гусева, А. И. Увеличение безопасности работы в локальной сети при использовании систем мониторинга / А. И. Гусева, Д. О. Сторожук // Безопасность цифровых технологий. - 2007. - №1. - С. 46-50.

9. Gu, J. Efficient Network Monitoring System / J. Gu, Y. Wu, Z. Gu // Communications in Computer and Information Science. - 2012. - Vol. 308. - pp. 34-40.

10. Сторожук, Д. О. Методы и алгоритмы для систем мониторинга локальных компьютерных сетей: дис. канд. техн. наук: 05.13.13 / Сторожук Дмитрий Олегович. - М., 2008. - 121 с.

П.Олифер, В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г. Олифер, Н. А. Олифер. - 4-е изд. - СПб.: Питер, 2012. - 944 с.

12. Олифер, В. Г. Сетевые операционные системы / В. Г. Олифер, Н. А. Олифер. - 2-е изд. - СПб.: Питер, 2009. - 669 с.

13. Иртегов, Д. В. Введение в сетевые технологии / Д. В. Иртегов. - СПб.: БХВ-Петербург, 2004. - 560 с.

14. Казаков, С. И. Основы сетевых технологий / С. И. Казаков. - М.: ДМК, 1998.-87 с.

15. Попов, А. Администрирование Windows с помощью WMI и wMIC / А. Попов, Е. Шикин. - СПб.: БХВ-Петербург, 2003. - 752 с.

16. Case, J. D. Simple Network Management Protocol (SNMP) / J. D. Case, M. Fe-dor, M. L. Schoffstall, J. Davin. - RFC 1157. - May 1990.

17. Олифер, H. А. Средства анализа и оптимизации локальных сетей [Электронный ресурс] / Н. А. Олифер, Н. Г. Олифер. - М.: Центр Информационных Технологий, 1998. - Режим доступа: http://citforum.ru/nets/optimize/ index.shtml.

18. Максимов, Н. В. Компьютерные сети / Н. В. Максимов, И. И. Попов. - М.: Форум, 2010.-464 с.

19. Кореньков, В. В. История развития технологий мониторинга информационных систем / В. В. Кореньков, А. В. Ужинский // Системный анализ в науке и образовании. - 2007. - №1. - С. 36-49.

20. Chaudhuri, S. An Overview of Business Intelligence Technology / S. Chaudhuri, U. Dayal, V. Narasayya // Communications of the ACM. - New York, 2011. -Vol. 54.-No. 8.-pp. 88-98.

21. Лавров, А. А. Мониторинг и администрирование в корпоративных вычислительных сетях: монография / С. А. Ивановский, А. А. Лавров, В. В. Яновский. - СПб.: Изд-во «СПбГЭТУ «ЛЭТИ», 2013 - 160 с.

22. Раке, Э. Инструменты управления сетью / Э. Раке // Windows IT Pro. -2012.-№3.

23. Шыхалиев, Р. Г. О применении интеллектуальных технологий в мониторинге компьютерных сетей / Р. Г. Шыхалиев // Informasiya Texnologiyalari Problembri. - 2011. - №2. - С. 82-90.

24. Richardson, D. W. The limits of automatic OS fingerprint generation / D. W. Richardson, S. D. Gribble, T. Kohno // Proceedings of the 3rd ACM workshop on Artificial intelligence and security. - New York, 2010. - pp. 24-34.

25. Zalewski, M. Silence on the Wire: A Field Guide to Passive Reconnaissance and Indirect Attacks / M. Zalewski. - No Starch Press, 2005.

26. Gagnon, F. Using Answer Set Programming to Enhance Operating System Discovery / F. Gagnon, B. Esfandiari // Proceeding of the 10th International Conference LPNMR 2009. - Potsdam, September 2009. - Springer Berlin Heidelberg6, 2009. - pp. 579-584.

27. Gagnon, F. A. Hybrid Approach to Operating System Discovery using Answer Set Programming / F. Gagnon, B. Esfandiari, L. Bertossi // Proceeding of the 10th IFIP/IEEE International Symposium. - Munich, May 2007. - pp. 391-400.

28. Jiao, J. A. Method of Identify OS Based On TCP/IP Fingerprint / J. Jiao, W. Wu // IJCSNS International Journal of Computer Science and Network Security. -2006. - Vol. 6. - No. 7B. - pp. 77-82.

29. Taleck, G. Ambiguity Resolution via Passive OS Fingerprinting / G. Taleck // Proceedings of the 6th International Symposium RAID 2003. - Pittsburgh, USA. - Springer Berlin Heidelberg, 2003. - pp. 192-206.

30. Hitson, B. Knowledge-based monitoring and control: an approach to understanding behavior of TCP/IP network protocols / B. Hitson // ACM SIGCOMM Computer Communication Review. - 1988. - Vol. 18, Issue 4. - pp. 210-221.

31. Lyon, G. F. Nmap Network Scanning: The Official Nmap Project Guide to Network Discovery and Security Scanning / G. F. Lyon. - Nmap Project, 2009.

32. Ross, K. W. Computer Networking: A Top-Down Approach Featuring the Internet / K. W. Ross, J. F. Kurose. - Addison Wesley, 2004.

33. Braden, R. Requirements for Internet Hosts - Communication Layers / R. Bra-den. - RFC 1122. - October 1989.

34. Greensmith, J. Dendritic Cells for SYN Scan Detection / J. Greensmith, U. Aick-elin // Proceedings of the Genetic and Evolutionary Computation Conference. -New York, 2007. - pp. 49-56.

35. Arkin, O. ICMP usage in scanning: The complete know-how. Technical report / O. Arkin. - The Sys-Security Group, 2001.

36. Arkin, O. A. Remote Active OS Fingerprinting Tool Using ICMP / O. Arkin // ;login:. - 2002. - Vol. 27. - No. 2. - pp. 14-19.

37. Arkin, O. ICMP based remote OS TCP/IP stack fingerprinting techniques [Электронный ресурс] / О. Arkin, F. Yarochkin // Phrack Magazine. - 2001. - Vol. 11, Issue 57. - File 7 of 12. - Режим доступа: http://www.phrack.org/ issues.html?issue=57&id=7&mode=txt

38. Postel, J. Internet Control Message Protocol / J. Postel. - RFC 792. - September 1981.

39. Postel, J. Internet Protocol / J. Postel. - RFC 791. - September 1981.

40. Almquist, P. Type of Service in the Internet Protocol Suite / P. Almquist. -RFC1349. - July 1992.

41. Spangler, R. Analysis of remote active operating system fingerprinting tools / R. Spangler. - Whitewater, 2003.

42. Lippmann, R. Passive operating system identification from TCP/IP packet headers / R. Lippmann, D. Fried, K. Piwowarski, W. Streilein // Proceedings of the ICDM Workshop on Data Mining for Computer Security. - Melbourne, 2003. -p. 40.

43. Postel, J. Transmission Control Protocol / J. Postel. - RFC 793. - September 1981.

44. Ramakrishnan, K. The Addition of Explicit Congestion Notification (ECN) to IP / K. Ramakrishnan, S. Floyd, D. Black. - RFC 3168. - September 2001.

45. Jacobson, V. TCP Extensions for High Performance / V. Jacobson, R. Braden, D. Borman. - RFC 1323. - May 1992.

46. Лавров, А. А. Идентификация операционной системы удаленного хоста методами анализа временных характеристик / А. А. Лавров, В. В. Яновский // Известия СПбГЭТУ «ЛЭТИ». - 2011. - №3. - С. 34-39.

47. Ludwig, R. The Eifel retransmission timer / R. Ludwig, K. Sklower // ACM SIGCOMM Computer Communication Review. - New York, 2000. - Vol. 30, Issue 3. - pp. 17-27.

48. Fall, K. R. TCP/IP Illustrated. Vol. 1: The Protocols / K. R. Fall, W. R. Stevens. - Addison-Wesley, 2011.

49. Таненбаум, Э. С. Компьютерные сети / Э. С. Таненбаум. - 4-е изд. - СПб.: Питер, 2011.-992 с.

50. Kozierok, С. М. The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference / С. M. Kozierok. - No Starch Press, 2005.

51. Veysset, F. New Tool And Technique For Remote Operating System Fingerprinting / F. Veysset, O. Courtay, O. Heen. - Intranode Software Technologies, 2002. - 13 c.

52. Лавров, А. А. Метод идентификации ОС удаленного хоста на основе анализа временных характеристик стека TCP/IP в задачах сетевого мониторинга / А. А. Лавров, А. К. Болыпев // Сб. тр. 64-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ» - СПб, 2011. - С. 104-110.

53. Allman, М. A brief history of scanning / M. Allman, V. Paxson, J. Terrell // Proceedings of the 7th ACM SIGCOMM conference on Internet measurement. -New York, 2007. - pp. 77-82.

54. Lyon, G. Remote OS detection via TCP/IP Stack Fingerprinting [Электронный ресурс] / G. Lyon // Phrack Magazine. - 1998. - No. 8(54). - Article 09 of 12. -Режим доступа: http://www.phrack.org/issues.html?issue=54&id=9&mode=txt

55. Greenwald, L. G. Toward undetected operating system fingerprinting / L. G. Greenwald, T. J. Thomas // Proceedings of the First USENIX Workshop on Offensive Technologies. - Boston, 2007. - pp. 1-10.

56. Smart, M. Defeating TCP/IP stack fingerprinting / M. Smart, G. R. Malan, F. Ja-hanian // Proceedings of the 9th conference on USENIX Security Symposium. -Berkeley, 2000. - pp. 17-17.

57. Шиффман, M. Защита от хакеров: Анализ 20 сценариев взлома / М. Шиффман. - М.: Издательский дом «Вильяме», 2002. - 305 с.

58. Mitnick, К. The art of intrusion: the real stories behind the exploits of hackers, intruders & deceivers / K. Mitnick. - Wiley, 2005.

59. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие / В. Ф. Шаньгин - М.: Форум, 2008 - 416 с.

60. Beardsley, Т. A. Intrusion Detection and Analysis: Theory, Techniques, and Tools / T. A. Beardsley. - SANS Lone Star, 2002. - 70 c.

61. Lu, X. Design and research based on WinPcap network protocol analysis system / X. Lu, W. Sun, H. Li // Proceeding of the International Conference on Computer, Mechatronics, Control and Electronic Engineering (CMCE). - Changchun, 2010.-Vol. l.-pp. 486-488.

62. Lei, S. Research and Design for Stateful Firewall on Multi-core Network Processors / S. Lei, J. Hanping // Proceeding of International Conference on Networks Security, Wireless Communications and Trusted Computing. - Wuhan, 2009. -Vol. 2. - pp. 679-682.

63. Taleck, G. SYNSCAN: Towards Complete TCP/IP Fingerprinting / G. Taleck. -NFR Security, Inc., 2004. -12 c.

64. Лавров, А. А. Метод идентификации версии системного программного обеспечения удаленного сетевого узла, основанный на комплексном анализе характеристик TCP/IP / А. А. Лавров, А. К. Большев // Известия СПбГЭ-ТУ «ЛЭТИ». - 2012. -№1. - С. 45-51.

65. Лавров, А. А. Идентификация ОС удаленного сетевого узла на основе комплексного анализа характеристик стека TCP/IP / А. А.Лавров, А. К. Большев, В. В. Яновский // Материалы VII международной научно-практической конференции «Перспективные разработки науки и техни-

ки». - Przemysl, 07-15 ноября 2011 г. - Sp. z о.о. «Nauka I studia», 2011. -53 т.-С. 13-15.

66. Лавров, А. А. Метод идентификации ОС удаленного узла на основе анализа функциональных и временных характеристик стека TCP/IP / А. А. Лавров // Сборник трудов XVII Международной открытой научной конференции «Современные проблемы информатизации в анализе и синтезе технологических и программно-телекоммуникационных систем». - Воронеж, ноябрь 2011 г. - январь 2012 г. - Воронеж: Изд-во «Научная книга», 2012. -Вып. 17.-С. 271-273.

67. Burroni, J. Using neural networks for remote OS identification / J. Burroni, C. Sarraute // Proceedings of the 3rd ACM workshop on Artificial intelligence and security. - Tokyo, 2005. - pp. 24-34.

68. Schwartzenberg, J. Using Machine Learning Techniques for Advanced Passive Operating System Fingerprinting: Master Degree thesis / J. Schwartzenberg. -University of Twente, 2010.

69. Hsu, C.-W. A comparison of methods for multiclass support vector machines / C.-W. Hsu, C.-J. Lin // Neural Networks. - 2002. - Vol. 13, Issue 2. - pp. 415425.

70. Cristianini, N. An Introduction to Support Vector Machines and Other Kernelbased Learning Methods / N. Cristianini. - Cambridge University Press, 2000.

71. Лавров, А. А. Алгоритмы классификации в задаче идентификации версии ОС удаленного сетевого узла / А. А. Лавров // Сб. тр. 65-й науч.-техн. конф. проф.-преп. состава СПбГЭТУ «ЛЭТИ». - СПб, 2012. - С. 102-106.

72. Auffret, P. SinFP, unification of active and passive operating system fingerprinting / P. Auffret // Journal in Computer Virology. - 2010. - Vol. 6, Issue 3. - pp. 197-205.

73. Williamson, R. New Support Vector Algorithms / R. Williamson, A. J. Smola, B. Scholkopf. - Australian National University, 1998. - 28 c.

74. Wu, X. Support vector machines for text categorization: Ph. D. thesis / X. Wu. -State University of New York at Buffalo, 2004.

75. Bishop, C. M. Pattern recognition and machine learning / C. M. Bishop. - Springer, 2007.

76. Auria, L. Support Vector Machines (SVM) as a Technique for Solvency Analysis / L. Auria, R. A. Moro // German Institute for Economic Research. - 2008. -No. 811.-16 c.

77. Michie, D. Machine Learning: Neural and Statistical Classification / D. Michie, D. J. Spiegelhalter, C. C. Taylor. - Overseas Press, 2009.

78. Schlkopf, B. Learning with Kernels: Support Vector Machines, Regularization, Optimization, and Beyond / B. Schlkopf, A. J. Smola. - The MIT Press, 2001.

79. Yarochkin, F. V. Xprobe2++: Low Volume Remote Network Information Gathering Tool / F. V. Yarochkin, O. Arkin, M. Kydyraliev, S.-Y. Dai // Proceeding of the IEEE/IFIP International Conference on Dependable Systems & Networks. - Lisbon, 2009. - pp. 205-210.

80. Cao, B. Feature selection in a kernel space / B. Cao, D. Shen, J.-T. Sun, Q. Yang, Z. Chen // Proceedings of the 24th international conference on Machine learning. - Corvalis, 2007.-pp. 121-128.

81. Kira, K. A practical approach to feature selection / K. Kira, L. A. Rendell // Proceedings of the 9th international workshop on Machine learning. - Aberdeen, 1992.-pp. 249-256.

82. Liang, Z. Feature selection for linear support vector machines / Z. Liang, T. Zhao // Proceedings of the 18th International Conference on Pattern Recognition. - Hong Kong, 2006. - pp. 606-609.

83. Martin, S. Kernel/feature selection for support vector machines applied to materials design / S. Martin, M. Kirby, R. Miranda // Proceedings of the Symposium on Artificial Intelligence in Real Time Control. - Budapest, 2000. - pp. 29-34.

84. Verzani, J. Using R for Introductory Statistics / J. Verzani. - Chapman and Hall/CRC, 2004.

85. Chang, C.-C. LIBSVM: A library for support vector machines / C.-C. Chang, C.-J. Lin // ACM Transactions on Intelligent Systems and Technology. - 2011. -Vol. 2, Issue 3. - Article No. 27.

86. Angela, О. Nmap in the Enterprise: Your Guide to Network Scanning / O. Angela, B. Pinkard. - Syngress Publishing, 2008.

87. Arkin, O. The present and future of Xprobe2: The next generation of active operating system fingerprinting. Technical report / O. Arkin, F. Yarochkin, M. Ky-dyraliev. - The Sys-Security Group, 2003. - 35 c.

88. Лавров, А. А. Программные средства мониторинга целостности конфигурации цифрового вычислительного комплекса обработки гидроакустических сигналов / А. А. Лавров, А. Р. Лисс // Гидроакустика. - 2012. - Вып. 16(2).-С. 90-97.

89. Wang, J. Computer Network Security: Theory and Practice / J. Wang. - Springer, 2009.

90. Chuvakin, A. Security Warrior / A. Chuvakin, C. Peikari. - O'Reilly, 2004.

91. Зайцев, А. П. Технические средства и методы защиты информации / Зайцев А. П, Шелупанов А. А, Мещеряков Р. В. и др.; под ред. А. П. Зайцева и А. А. Шелупанова. - М.: Машиностроение, 2009. - 508 с.

92. Лепехин, В. Б. Сравнительный анализ сканеров безопасности / В. Б. Лепехин. - М.: Учебный центр «Информзащита», 2008 - 50 с.

93. Астахов, А. Анализ защищенности корпоративных автоматизированных систем / А. Астахов // Jetlnfo - 2002. - №7. - С. 1-28.

94. Ning, P. Techniques and tools for analyzing intrusion alerts / P. Ning, Y. Cui, D. S. Reeves, D. Xu // ACM Transactions on Information and System Security. -2004. - Vol. 7, Issue 2. - pp. 274-318.

95. Ермаков, А. В. Использование сетевого сканера для повышения защищенности корпоративной информационно-вычислительной сети / А. В. Ермаков. - М, 2001. - 16 с. (Препринт / Институт прикладной математики им. М. В. Келдыша РАН; №61).

96. Murphy, S. An Application of Deception in Cyberspace: Operation System Ob-fuscation / S. Murphy, T. McDonald, R. Mills // Proceedings of the 5th International Conference on Information Warfare and Security. - Ohio, 2010. - pp. 241-250.

97. Greenwald, L. G. Understanding and preventing network device fingerprinting / L. G. Greenwald, T. J. Thomas // Bell Labs Technical Journal. - 2007. - Vol. 12, Issue 3. - pp. 149-166.

98. Kalia, S. Masking approach to secure systems from operating system fingerprinting / S. Kalia, M. Singh // Proceeding of TENCON 2005 IEEE. - Melbourne, 2005.-pp. 1-6.

99. Stopforth, R. Techniques and countermeasures of TCP/IP OS fingerprinting on Linux Systems: Thesis / R. Stopforth. - University of KwaZulu-Natal, Durban. -2007.

100. McKellar, J. Twisted Network Programming Essentials / J. McKellar. - O'Reilly Media, 2013.

101. Donahoo, M. J. TCP/IP Sockets in C: Practical Guide for Programmers / M. J. Donahoo. - Morgan Kaufmann, 2009.

102. Suehring, S. Linux Firewalls / S. Suehring. - Novell Press, 2005.