VodoCom, ООО «Эксперт Связи», г. Новосибирск

Выявление аномалий в работе абонетов
(выявление необычных схем использования сети)

  У региональных операторов фиксированной связи, предоставляющих услуги по доступу в сеть Internet, и при этом имеющих значительную зону покрытия, всегда возникает ряд идентичных проблем, связанных с технико-экономическими дисбалансами. В частности, исходя из технических либо топологических аспектов построения СПД, принято различать условия доступа пользователя к IP сетям внутри «домашнего региона» (такого как: район большого города, город, область) и к IP сетям других «регионов», пиринговым сетям, а так же к сети Internet в целом. Существует множество схем организации уровня доступа СПД (последней мили) и сервисной модели, однако в любой из схем существует ряд технических аспектов, которые позволяют отдельному пользователю нестандартно пользоваться той или иной особенностью организации сети в своих целях. Конечно, таких пользователей - единицы, и, как правило, они достаточно технически грамотны, чтобы разобраться в модели: найти в ней недостатки, а так же организовать использование данных недостатков. Но в техническом, а иногда и в экономическом плане, они доставляют наибольшие неприятности. В частности, можно отметить следующие виды «ненормального» использования сетей ПД подобными пользователями:
• «Плотная» утилизация полосы пропускания в рамках имеющегося тарифа.
• «Односторонний» IP трафик, например, только исходящий.
• Чрезмерный показатель pps (фреймов/пакетов в секунду) на порту подключения.
• Чрезмерный показатель уникальных «IP сессий».
• Постоянная и равномерная утилизация полосы пропускания.
• Постоянное присутствие IP трафика только в рамках «домашних IP сетей».
Чем могут быть вызваны такие отклонения? Попыткой заработать деньги на имеющихся дисбалансах в схеме построения СПД. А у любого крупного оператора существует целый ряд одновременно действующих моделей, имеющих свои дисбалансы. При этом убытки, которые в результате может понести оператор, такого пользователя не интересуют. Для каких целей, могут использовать СПД «продвинутые злоумышленники»?
• Перепродажа канала по «подпольным» или даже полулегальным коммерческим схемам.
• Транзит IP трафика в «домашней» сети оператора, вплоть до TDMoIP трафика.
• Активный файловый обмен, создание распределенных сетей, SPAM, DDoS, и т.д.
Чем мешает такая деятельность? Данная сетевая активность перегружает оборудование, требует внепланового его обновления (upgrade), мешает работе других, «обычных» пользователей, которые используют доступ в Internet в домашних целях, либо для сопровождения своего основного бизнеса. Помимо этого, подобная деятельность может подрывать финансовые интересы оператора. При «подпольной» редистрибуции трафика снижается показатель ARPU на соответствующих зонах, за счет уменьшения числа фактически подключенных клиентов, при сохранении нагрузки на оборудование. Каким образом можно бороться с подобной деятельностью? В рамках законодательства? Прежде всего: выявлять использование СПД для построения подобных «схем». При выявлении конкретных портов подключения, IP адресов, учетных записей (в случае сессионной схемы построения сервисной модели), можно действовать по следующим схемам:
   Юридическая схема (Актирование, Представления, Исковые заявления и т.д.);
   Техническая схема (Изменение параметров функционирования СПД)
В частности, применительно к конкретному подключению, таким образом, чтобы «нелегальное» использование СПД становилось проблематичным: ограничение числа «сессий» с IP адреса, ввод дополнительных ограничений на полосу пропускания, не предусмотренных сервисной моделью, и т.п.
Чем бы мы могли помочь вам в данном вопросе? Имея некоторые собственные ресурсы и большой опыт в эксплуатации сетей передачи данных ШПД, IP, мы бы могли для конкретных сетей построить оптимальные модели анализа, подобрать и запрограммировать инструментарий для решения задач по выявлению и локализации подобных проблем. Для работы по анализу «мишеней» обычно требуется: статистика NetFlow, sFlow, и т.п. При её анализе нами используются механизмы автоматизированного выявления аномалий в трафике. В ходе обработки, для экономии вычислительных ресурсов и ресурсов для хранения информации, анализируемая статистика размещается на выделенном оборудовании. Используется статистика от оборудования c аппаратной реализацией «глубокого» анализа (DPI), таких, как Cisco SCE, Huawei-Symantec, либо тех решений, которые использует оператор, в т.ч. триггеры и скрипты на UNIX-серверах мониторинга и управления сетью оператора. В ходе работы используется целевой захват «RAW» трафика в определенных точках инфраструктуры от подозрительных пользователей и сегментов СПД, в том числе с использованием механизма RSPAN, с целью дальнейшего автоматизированного анализа данного трафика. Так же, обычно, требуется информация из биллинга, для сопоставления активности пользователей в соответствии с его тарифными планами. Персональные данные в этом случае, для соблюдения закона, должны быть исключены из обработки и кодифицированы. В случае, если такая работа покажет свою эффективность, она масштабируется для применения по всей сети оператора. Её результаты можно сделать элементом общей системы безопасности СПД. Выстроить логику работы соответствующих подразделений.