Исследование сетевого трафика является важным этапом в задаче обеспечения безопасности и оптимизации производительности компьютерных сетей. Анализ разнообразных характеристик сетевого трафика (в том числе предельных вероятностных распределений скорости передачи данных), понимание особенностей поведения сетевого трафика и выявление аномалий (в том числе в результате DDoS атак) являются ключевыми аспектами этого вида исследований. Данная работа описывает разработку и использование инструментария, обеспечивающего полный спектр задач по анализу сетевого трафика от его сбора с разных типов компьютерных сетей и заканчивая визуализацией результатов анализа.

Огромные объемы (в случае исследования сетевого трафика в крупных магистральных каналах, насчитывающих миллионы сетевых устройств) и разнообразие сетевого трафика (в случае исследования сетевого трафика в небольших компьютерных сетях, в том числе домашних компьютерных сетях) требуют с одной стороны высокой производительности, а с другой – гибкости управления и тонкой настройки, которые часто не удовлетворяются стандартным инструментарием. В рамках исследования сетевого трафика пришлось столкнуться с необходимостью разработки кастомного инструментария, достаточно гибкого и мощного для эффективного анализа масштабных объемов сетевых данных.

Для выполнения задач по исследованию сетевого трафика был разработан комплекс инструментов, охватывающих все этапы анализа сетевого трафика, включая перехват данных, хранение, непосредственно анализ сохраненных данных и визуализацию результатов. Каждый компонент инструментария оптимизирован для предоставления высокой эффективности и точности в ходе обработки и интерпретации сетевых данных.

Каждый этап анализа сетевого трафика потребовал применения собственных подходов для достижения поставленных целей. Например, на этапе перехвата и сохранения сетевого трафика потребовалась постобработка для существенного уменьшения как объема сохраняемых данных, так и увеличения скорости последующего считывания сохраненных данных, на этапе анализа сетевого трафика потребовались алгоритмы быстрого расчёта параметров для аппроксимирующих кривых и т.д.