Выявление шаблонов с помощью дерева решений

Механизм анализирует дампы легитимного трафика и трафика атаки и формирует набор правил фильтрации ACL. Анализируются пакеты протоколов IP, TCP, UDP и ICMP.

Дампы трафика выбираются из выпадающего списка, для чего они должны быть предварительно загружены на сервис на вкладке «Browser». Опционально можно указать дополнительные дампы, на которых будет проводиться тестирование полученных в ходе анализа правил. Если дополнительные дампы не заданы, то дампы для обучения делятся пропорционально на часть для обучения и часть для теста.

Из анализа можно исключить и не учитывать в генерируемых правилах:

  • «Src IP» — IP-адрес отправителя;
  • «Dst IP» — IP-адрес получателя;
  • «IPID» — идентификатор протокола IP;
  • «TCP sport» — порт отправителя TCP;
  • «UDP sport» — порт отправителя UDP;
  • «Seqnum» — TCP Sequence number;
  • «Acknum» — TCP Acknowledgment Number;
  • «MSS» — максимальный размер TCP сегмента;
  • «TSecr» — TCP Timestamps Option TS Echo Reply;
  • «TSVal» — TCP Timestamps Option TS Value.

Для анализа шаблонов с помощью дерева решений можно активировать следующие чекбоксы:

  • «Использовать стрижку» — добавить в отчет обобщенные деревья и правила вместо специфичных;
  • «Тест правил» — добавить в отчет информацию о результатах тестирования сгенерированных правил на загруженных дампах;
  • «Деревья текстом» — добавить в отчет деревья решений в текстовом виде;
  • «Деревья картинками» — сформировать архив с графическим представлением деревьев решений.

Отчет

Отчет состоит из принципиально одинаковых секций, записываемых для каждого из протоколов IP, TCP, UDP и ICMP, при условии нахождения в дампе пакетов соответствующих протоколов. Каждая секция содержит разделы:

  • TREE;

    Дерево решений в текстовом виде. Раздел формируется в отчете, если установлен чекбокс «Деревья текстом».

  • CAPTURE BY ACL FOR DDOS;

    Показатели сброса при применении сгенерированных в ходе анализа правил на легитимном трафике и трафике атаки, полученные в ходе тестирования в абсолютных и относительных величинах.

  • RULES;

    Правила фильтрации, сгенерированные механизмом в ходе анализа дампов трафика.

  • Duration:

    Продолжительность обработки.