Multikriteriální analýza a predikce incidentů v síti

Abstract

Dnešní síťové technologie dosahují vysokých přenosových rychlostí a kapacit. V~době psaní této práce se již běžně používají spoje o~kapacitě 10Gbps a nezřídka i 100Gbps. Je stále náročnější provádět analýzy síťového provozu, protože na ně je potřeba stále výkonnější hardware a software. Metody dnes používané jsou založeny na analýzách síťových toků či záznamech síťového provozu. Hledání incidentu na velmi rychlé lince je skoro nemožné, protože samotný incident v~rámci toku může znamenat pouze velmi malé výchylky. Tato práce má za cíl nalézt vhodné zdroje síťových dat a kritéria k~nim, aby analýza mohla být více cílená a aby se některé situace, vznikající na síti, daly predikovat. K~tomu se nejlépe jeví využít stávajících monitorovacích systémů jako jádra nové analýzy. Data jsou k~dispozici skoro ve všech monitorovaných sítích a jsou tedy dostupná širšímu okruhu uživatelů na rozdíl od různých hardware sond. Vhodným zpracováním těchto dat a vhodným použitím matematických metod se z~původně nezajímavých dat stává zdroj velmi užitečných informací. Bylo ověřeno, že již korelační analýzou dat, získaných monitorovacím systémem Zabbix, bylo nalezeno několik nezvyklostí v~chování sítě, které je možno dále blíže sledovat. Vhodnou kombinací a předzpracováním dat pak byla provedena hlubší analýza, která umožní klasifikaci serverů, přepínačů a všech dalších monitorovaných zařízení na základě jejich chování v~čase. Dá se poznamenat, že nástup Zabbixu jako otevřeného, modulárního systému s~dokumentovaným API a SQL byl první krok k~další analýze dat většiny monitorovaných sítí. Přínosem práce je nový přístup k~analýze, obsahující algoritmy, které umožňují identifikovat signifikantní položky v~monitorovacím systému.

Network technologies today can handle very high transfer speeds. At this monent, it is common to have 10Gbps even 100Gbps links. It is still more difficult to do network flow analysis because of high speed and needs of more powerful hardware. Todays methods are based mainly to analyze data flows and patterns. It is quite impossible to find abnormalities on high speed link because small amount of change in flows can mean big excesses in incidents. Thesis will focus on multi criteria analysis of data to be able to predict incidents. From this reason, monitoring system seems to be good core for it. Data from monitoring systems are available for bigger community than only owners of hardware probes. It is enough to use right mathematical methods to analyze data and get useful informations. Some interesting abnormalities in network were found even using simple correlations of data. Next stage was to prepare and preprocess data to classify servers and hosts by their behavior. It is possible to say that deeper analysis is possible due to Zabbix monitoring system and its features like Open-Source core, documented API and SQL backend for data. Benefit of this thesis is new approach to analysis containing algoritms which allow to identify significant items in monitoring system.