Модульная архитектура и гибридная модель данных для анализа сетевого трафика и обнаружения аномалий Печать
Автор: Самохина Н. С.   
24.04.2026 09:39

МОДУЛЬНАЯ АРХИТЕКТУРА И ГИБРИДНАЯ МОДЕЛЬ ДАННЫХ ДЛЯ АНАЛИЗА СЕТЕВОГО ТРАФИКА И ОБНАРУЖЕНИЯ АНОМАЛИЙ

 

Самохина Н.С., к.т.н., доцент,

ФГБОУ ВО «Поволжский государственный университет сервиса»,

г. Тольятти, Россия

 

Аннотация. В статье рассматривается проектирование специализированного программного обеспечения для мониторинга и анализа сетевого трафика с возможностью выявления аномалий и инцидентов безопасности. Предложена модульная архитектура, включающая модули сбора, обработки, хранения и анализа данных, а также веб-интерфейс. Описана гибридная модель хранения. Реализован полный журнал аудита для обеспечения безопасности самой системы мониторинга.

Ключевые слова: проектирование архитектуры, модульная архитектура, анализ сетевого трафика, обнаружение аномалий.

 

Современные корпоративные и образовательные сети характеризуются значительным ростом объёма передаваемых данных, разнообразием протоколов и увеличением числа уязвимостей. Традиционные средства мониторинга (например, системы на основе NetFlow или простые снифферы) часто не справляются с задачами глубокого анализа, выявления неочевидных аномалий и обеспечения безопасности при сохранении производительности. В связи с этим актуальна разработка специализированного программного обеспечения, сочетающего масштабируемость, гибкость хранения и интеллектуальные методы анализа.


На основании сформулированных требований была разработана модульная архитектура специализированного программного обеспечения, которая обеспечивает масштабируемость, производительность и удобство сопровождения системы. Архитектура строится по принципу разделения ответственности между независимыми модулями, взаимодействующими через четко определенные интерфейсы. На рисунке 1 представлена общая схема системы. Данная блок-схема демонстрирует горизонтальный поток данных между основными модулями системы.

 

Рисунок 1 – Общая схема системы

 

Архитектура построена по принципу последовательной обработки, где каждый модуль выполняет строго определенную функцию:

-                   модуль сбора данных отвечает за получение сетевой информации из двух основных источников, это захват сырых пакетов и сбор статистики NetFlow с сетевого оборудования;

-                   центральный обработчик выполняет критически важные функции нормализации и предварительной обработки данных. Очередь сообщений обеспечивает буферизацию и устойчивость к пиковым нагрузкам, а модуль декодирования преобразует сырые данные в структурированный формат;

-                   модуль хранения данных реализует гибридный подход: реляционная база данных хранит метаданные и результаты анализа, а файловое хранилище сохраняет полные дампы трафика для глубокого исследования инцидентов;

-                   модуль анализа содержит два взаимодополняющих компонента: статистический анализ для выявления тенденций и мониторинга производительности, и обнаружение аномалий для выявления угроз безопасности;

-                   веб-интерфейс предоставляет единую точку доступа ко всем функциям системы, включая визуализацию в реальном времени, генерацию отчетов и управление настройками. Предложенная архитектура обеспечивает масштабируемость за счёт горизонтального добавления экземпляров модулей обработки и хранения, а также отказоустойчивость благодаря буферизации и репликации БД.


Модель построена с учётом принципов нормализации (третья нормальная форма) и оптимизирована для выполнения сложных аналитических запросов на больших объёмах сетевой информации.


Логическая модель данных реализована в виде шести нормализованных таблиц, каждая из которых отвечает за хранение определенного типа информации и связана с другими таблицами через систему внешних ключей.


Общая архитектура модели обеспечивает высокую производительность за счет продуманной системы индексов, нормализации данных и использования специализированных типов PostgreSQL. Модель масштабируема и поддерживает как оперативную работу в реальном времени, так и глубокий ретроспективный анализ сетевой активности.

Практическая значимость работы заключается в возможности использования предложенной архитектуры как основы для создания системы сетевой аналитики в образовательных учреждениях, научных лабораториях и корпоративных сетях. Дальнейшие исследования могут быть направлены на внедрение алгоритмов машинного обучения в модуль обнаружения аномалий и разработку адаптивных порогов срабатывания.

 

Литература

1. Земсков М.А. Использование модульных монолитов для разработки масштабируемых web-приложений // Universum: технические науки. 2024. №10 (127). URL: https://cyberleninka.ru/article/n/ispolzovanie-modulnyh-monolitov-dlya-razrabotki-masshtabiruemyh-web-prilozheniy (дата обращения: 23.04.2026).

2. Клычков И. А. Методы предиктивной аналитики для построения проактивной системы мониторинга сети // ИВД. 2025. №7 (127). URL: https://cyberleninka.ru/article/n/metody-prediktivnoy-analitiki-dlya-postroeniya-proaktivnoy-sistemy-monitoringa-seti (дата обращения: 23.04.2026).

3. Самохина Н. С. Разработка и исследование гибридного алгоритма обнаружения аномалий сетевого трафика для систем безопасности энергетических компаний / Н. С. Самохина // Актуальные направления фундаментальных и прикладных исследований : Материалы XXXVIII международной научно-практической конференции, Bengaluru, India, 19–20 января 2026 года. – Bengaluru, India: Pothi.com, 2026. – С. 228-232.