Оценка производительности межсетевого экрана при ранжировании набора правил фильтрации

Обложка

Цитировать

Полный текст

Аннотация

Данная статья является продолжением ряда работ, посвящённых оценке вероятностно-временных характеристик межсетевых экранов при ранжировании набора правил фильтрации. В публикации рассматривается проблема снижения эффективности фильтрации информационных потоков. Проблема возникла из-за использования последовательной схемы проверки соответствия пакетов правилам, а также из-за неоднородности и изменчивости сетевого трафика. Порядок правил неоптимален, и это в многомерном списке существенно влияет на производительность межсетевого экрана, а также может вызывать значительную временную задержку и вариации в значениях времени обслуживания пакетов, что существенно важно для стабильной работы мультимедийных протоколов. Один из способов предотвратить снижение производительности - это ранжировать набор правил в соответствии с характеристиками входящих информационных потоков. В исследовании решаются следующие задачи: определение и анализ среднего времени фильтрации трафика основных передающих сетей; оценка эффективности ранжирования правил. Предложен метод ранжирования набора правил фильтрации и построена система массового обслуживания со сложной дисциплиной обслуживания запросов. Определённый порядок используется для описания того, как запросы обрабатываются в системе, и включает в себя выполнение операций с входящими пакетами и логическую структуру набора правил фильтрации. Таковы элементы обработки информационного потока в межсетевом экране. Подобный уровень детализации не полный, но его достаточно для создания модели. Характеристики СМО получены с помощью методов имитационного моделирования в среде Simulink матричной вычислительной системы MATLAB. На основании анализа полученных результатов были сделаны выводы о возможности повышения производительности межсетевого экрана за счёт ранжирования правил фильтрации для тех скриптов трафика, которые близки к реальным.

Об авторах

А. Ю. Ботвинко

Российский университет дружбы народов

Автор, ответственный за переписку.
Email: botviay@sci.pfu.edu.ru
ORCID iD: 0000-0003-1412-981X

postgraduate of Department of Applied Probability and Informatics

ул. Миклухо-Маклая, д. 6, Москва, 117198, Россия

К. Е. Самуйлов

Российский университет дружбы народов; Федеральный исследовательский центр «Информатика и управление» РАН

Email: samuylov-ke@rudn.ru
ORCID iD: 0000-0002-6368-9680

Doctor of Technical Sciences, Professor, Head of Department of Applied Probability and Informatics

ул. Миклухо-Маклая, д. 6, Москва, 117198, Россия; ул. Вавилова, д. 44, корп. 2, Москва, 119333, Россия

Список литературы

  1. S. V. Lebed, Firewall protection. Theory and practice of external perimeter protection [Mezhsetevoye ekranirovaniye. Teoriya i praktika zashchity vneshnego perimetra]. Moscow: BMSTU, Bauman Moscow State Technical University Publ., 2002, p. 304, in Russian.
  2. O. R. Laponina, The foundation of network security [Osnovy setevoy bezopasnosti]. Moscow: Publishing house of the national Open University «INTUIT», 2014, p. 377, in Russian.
  3. K. V. Ivanov and P. I. Tutubalin, Markov models of protection of automated control systems for special purposes [Markovskie modeli zashhity’ avtomatizirovanny’x sistem upravleniya special’nogo naznacheniya]. Kazan: Publishing house of GBU Republican center for monitoring the quality of education Publ., 2012, p. 216, in Russian.
  4. “Governing document. Computer aids. Firewall. Protection against unauthorized access to information. Indicators of security against unauthorized access to information [Rukovodyashhij dokument. Sredstva vy’chislitel’noj texniki. Mezhsetevy’e e’krany’. Zashhita ot nesankcionirovannogo dostupa k informacii. Pokazateli zashhishhennosti ot nesankcionirovannogo dostupa k informacii] approved by the decision of the Chairman of the State Technical Commission under the President of the Russian Federation dated July 25, 1997,” in Russian.
  5. H. Hamed, A. El-Atawy, and E. Al-Shaer, “On dynamic optimization of packet matching in high-speed firewalls,” IEEE Journal on Selected Areas in Communications, vol. 24, no. 10, pp. 1817-1830, 2006. doi: 10.1109/JSAC.2006.877140.
  6. R. Mohan, A. Yazidi, B. Feng, and J. Oommen, “On optimizing firewall performance in dynamic networks by invoking a novel swapping windowbased paradigm,” International Journal of Communication Systems, vol. 31, no. 15, e3773, 2018. doi: 10.1002/dac.3773.
  7. E. Al Shaer, Automated firewall analytics: Design, configuration and optimization. Springer International Publishing, 2014, p. 132. doi: 10.1007/978-3-319-10371-6.
  8. R. Mohan, A. Yazidi, B. Feng, and B. J. Oommen, “Dynamic ordering of firewall rules using a novel swapping window-based paradigm,” in Proceedings 6th International Conference on Communication and Network, ICCNS 2016, Singapore: ACM Proceedings, 2016, pp. 11-20. doi: 10.1145/3017971.3017975.
  9. Z. Trabelsi, S. Zeidan, M. M. Masud, and K. Ghoudi, “Statistical dynamic splay tree filters towards multilevel firewall packet filtering enhancement,” Computers & Security, vol. 53, pp. 109-131, 2015. doi: 10.1016/j.cose.2015.05.010.
  10. K. Salah, K. Elbadawi, and R. Boutaba, “Performance modeling and analysis of network firewalls,” IEEE Transactions on Network and Service Management, vol. 9, no. 1, pp. 12-21, 2012. doi: 10.1109/TNSM.2011. 122011.110151.
  11. C. Diekmann, L. Hupel, J. Michaelis, M. Haslbeck, and G. Carle, “Verified iptables firewall analysis and verification,” Journal of Automated Reasoning, vol. 61, no. 1-4, pp. 191-242, 2018. doi: 10.1007/s10817017-9445-1.
  12. S. Khummanee, “The semantics loss tracker of firewall rules,” Advances in Intelligent Systems and Computing, vol. 769, pp. 220-231, 2018. doi: 10.1007/978-3-319-93692-5_22.
  13. V. Clincy and H. Shahriar, “Detection of anomaly in firewall rule-sets,” Advances in Intelligent Systems and Computing, vol. 842, pp. 422-431, 2018. doi: 10.1007/978-3-319-98776-7_46.
  14. P. P. Bocharov and A. V. Pechenkin, Queuing theory [Teoriya massovogo obsluzhivaniya]. Moscow: Publishing RUDN, 1995, p. 529, in Russian.
  15. V. Y. Katkovnik, Non-parametric data identification and smoothing: local approximation method [Neparametricheskaya identifikatsiya i sglazhivaniye dannykh: metod lokal’noy approksimatsii]. Moscow: The science. Main editorial office of physical and mathematical literature Publ., 1985, in Russian.
  16. J. M. Bravo, T. Alamo, M. Vasallo, and M. E. Gegúndez, “A general framework for predictors based on bounding techniques and local approximation,” IEEE Transactions on Automatic Control, vol. 62, no. 7, pp. 3430-3435, 2017. doi: 10.1109/TAC.2016.2612538.
  17. H. Al-Shuka, “On local approximation-based adaptive control with applications to robotic manipulators and biped robots,” International Journal of Dynamics and Control, vol. 6, no. 1, pp. 339-353, 2018. doi: 10.1007/s40435-016-0302-6.
  18. D. E. Plotnikov, T. S. Miklashevich, and S. A. Bartalev, “Using local polynomial approximation within moving window for remote sensing data time-series smoothing and data gaps recovery [Vosstanovleniye vremennykh ryadov dannykh distantsionnykh izmereniy metodom polinomialnoy approksimatsii v skolzyashchem okne peremennogo razmera],” Modern problems of remote sensing of the Earth from space of the Russian Academy of Sciences, vol. 11, no. 2, pp. 103-110, 2014, in Russian.
  19. D. R. Cox, “A use of complex probabilities in the theory of stochastic processes,” Mathematical Proceedings of the Cambridge Philosophical Society, vol. 51, no. 2, pp. 313-319, 1955. doi: 10.1017/S0305004100030231.
  20. A. Y. Botvinko and K. E. Samouylov, “Adaptive ranking of the firewall rule set using local approximation [Adaptivnoye ranzhirovaniye nabora pravil mezhsetevogo ekrana metodom lokal’noy approksimatsii],” in Distributed Computer and Communication Networks: Control, Computation, Communications, in Russian, 2018, pp. 334-341.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».