В ходе проекта создается комплекс научно-технических решений в области высокопроизводительного потокового кодирования сетевого трафика при обеспечении информационной безопасности доступа к широкополосным мультимедийным услугам за счет обеспечения масштабируемости и повышения производительности подсистемы защиты информационно-телекоммуникационных систем. Это позволит увеличить объем имеющихся знаний для более глубокого понимания принципов организации высокопроизводительных подсистем защиты, построенных на базе средств виртуализации, в современных и перспективных инфраструктурах распределенных информационно-телекоммуникационных систем, поддерживающих широкополосный доступ к мультимедийным услугам.

Ключевые задачи проекта:

  1. Исследование современных средств сетевой защиты, интегрируемых в инфраструктуру современных и перспективных распределенных информационно-телекоммуникационных систем, поддерживающих широкополосный доступ к мультимедийным услугам, а также методов повышения их производительности. Для решения этой задачи выполняется аналитический обзор научных и информационных источников, затрагивающих проблему, исследуемую в рамках проекта, в том числе статьи в ведущих зарубежных и российских научных журналах, монографии, патенты. Проводятся патентные исследования в соответствии ГОСТ Р 15.011-96. В результате разрабатываются варианты возможных решений задачи, проводится их сравнительная оценка и обоснование предлагаемых методов повышения производительности и обеспечения масштабируемости подсистемы защиты информационно-телекоммуникационных систем за счет использования возможностей и свойств виртуализированной среды.
  1. Разработка и обоснование метода обеспечения масштабируемости подсистемы защиты информационно-телекоммуникационных систем. Метод основан на динамическом распределении сетевого трафика и на управлении виртуальными машинами в виртуализированной вычислительной среде в зависимости от уровня текущей сетевой нагрузки. Повышение производительности подсистемы защиты информационно-телекоммуникационных систем основано на интеллектуальной диспетчеризации (планировании) вычислительных процессов обработки сетевого трафика в условиях повышенных требований к эффективному использованию ресурсов и пропускной способности каналов широкополосного доступа. Предлагаемые методы основаны на классификации входных сетевых потоков и на реализации принципа балансировки нагрузки на физическом сервере за счет внедрения технологии виртуализации. Предлагаемый подход основан на интеллектуальной обработке входного трафика: сетевые потоки попадают на входной модуль балансировки сетевой нагрузки, который классифицирует потоки и распределяет трафик на кластер виртуальных вычислительных машин. Машины кластера предоставляют среду исполнения средств защиты. Экземпляры виртуальных машин идентичны, что позволяет в случае выхода из строя одного сервера перераспределять сетевые потоки на другие серверы прозрачно для клиента за счет использования механизма динамической миграции виртуальных машин без дополнительных затрат на перенос контекста. В каждой машине кластера потоки трафика распределяются по процессорным ядрам, что способствует повышению производительности за счет одновременного запуска нескольких копий вычислительных процессов по обработке сетевого трафика. После обработки на процессорных ядрах трафик собирается на выходной модуль балансировки, который осуществляет сбор потоков трафика и отправляет системе предоставления электронных услуг уже кодированные, обработанные, данные. На практике кластер, осуществляющий обработку сетевого трафика состоит из обычных серверов, на которых работает операционная система общего назначения, например ОС из семейства Linux. Такое решение позволяет обеспечить универсальность и легкость в переносе существующих программных реализаций средств кодирования и обработки данных, но и для реализации различных средств защиты, в том числе межсетевых экранов, систем обнаружения вторжений и т.д. Разрабатываемый подход обеспечивает такие выгодные преимущества, как:
  • сведение функций обработки трафика в отдельный компонент, что позволяет избежать необходимой адаптации системы, поскольку все функции безопасности выполняются на отдельном кластере серверов;
  • распараллеливание вычислений, что направлено на повышение эффективность обработки сетевого трафика;
  • балансировка нагрузки в системе и повышение отказоустойчивости программного комплекса;
  • сокращение расходов на обслуживание ввиду упрощения инфраструктуры всей информационной системы за счет использования кластера виртуальных машин.

На базе создаваемых методов реализуются соответствующие им алгоритмы, а также общая методика построения высокопроизводительной подсистемы управления сетевой нагрузкой и вычислительными процессами обработки трафика на базе виртуализированных вычислительных сред для систем с поддержкой широкополосного доступа к мультимедийным услугам.

  1. Создание экспериментальной реализации предложенных методов в виде экспериментального образца программного комплекса управления сетевыми потоками, обеспечивающего масштабируемость и повышение производительности подсистемы защиты информационно-телекоммуникационных систем при обработке сетевого трафика в виртуализированной вычислительной среде. Созданная в результате выполнения проекта экспериментальная реализация обеспечивает:
  • динамическое распределение сетевого трафика по виртуальным машинам;
  • управление виртуальными машинами путем их подключения, выключения и динамической миграции в виртуализированной вычислительной среде в зависимости от уровня текущей сетевой нагрузки;
  • планирование вычислительных процессов обработки сетевого трафика в зависимости от текущего распределения ресурсов виртуальных машин в составе виртуализированной вычислительной среды: загруженности процессора и объема используемой памяти.
  1. Проведение экспериментальных исследований. В ходе экспериментов проводится оценка предложенных научно-технических решений на предмет выполнения технических требований, в том числе:
  • управление вычислительными процессами на основе текущего параметрического представления ресурсов виртуальных машин: загруженности процессора и объема используемой памяти;
  • обеспечение распределения сетевого трафика по виртуальным машинам виртуализированной вычислительной среды;
  • поддержка многопоточности обработки трафика – не менее 8 параллельно обрабатываемых сетевых потоков в виртуализированной вычислительной среде;
  • управление миграцией и подключением виртуальных машин при изменении уровня сетевой нагрузки на ПЗИТКС;
  • повышение производительности ПЗИТКС на не менее, чем на 50%, по сравнению с известными решениями, используемыми для потоковой обработки трафика в системах доступа к широкополосным мультимедийным услугам и выявленными на этапе 1 ПНИ;
  • обработка сетевого трафика при показателях пропускной способности сети не менее 1Гбит/с.