Распределение количества потоков, генерируемых одиночным IP-адресом

Цель данного раздела состоит в уточнении параметров трафика, которые используются в программном обеспечении для предотвращения атак. Наиболее важными являются два параметра, а именно: максимальное число активных потоков, которое может генерировать один IP адрес и тип распределения ранжированного по популярности количества потоков с одного IP адреса. Следует отметить, что сбор статистики для анализа производится программным обеспечением один раз в минуту и все данные, которые анализируются относятся именно к этому временному промежутку.

Для нахождения переменных были использованы данные Netflow статистики с внешнего маршрутизирующего сервера СГАУ. Полученные результаты изображены графически на Рис. 2.1.

Рисунок 2.1. Количество активных потоков на один IP адрес в порядке убывания

Типичный график распределения активных потоков с одного IP адреса, ранжированных по популярности изображен на Рис.2.1. По осям в логарифмическом масштабе отложены количество активных потоков и порядковый номер адреса в ранжированном списке. Точки на графике ложатся на прямую, что свидетельствует о том, что данное распределение подчиняется закону Зипфа (уравнение (2.1))

Для нахождения максимального количества активных потоков, приходящихся на один IP-адрес, была проанализирована статистика потокового трафика за неделю и получены графики, изображенные на Рис. 2.2 и 2.3.

Рисунок 2.2. Динамика изменения количества активных потоков с сервера 91.222.128.200

Рисунок 2.3. Динамика изменения количества активных потоков с сервера 91.222.129.201

Графики с Рис. 2.2 и 2.3 показывают, что максимальное число потоков с одного IP адреса, при нормальной работе сети не превышает 100 для сервера 91.222.129.201 и не превышает 20 для 91.222.128.200.

Таким образом, на основании закона Зипфа и данных о потоках, получаемых с маршрутизаторов, можно сформулировать правило определения границы отсечения по числу потоков для подозрительных IP-адресов: уровнем отсечения будет являться верхняя граница среди максимального количества потоков, приходящихся на единичный IP-адрес.