На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

1
Ожидается:
16 Марта 2024

Оценка состояния безопасности интернет-сайтов как плохо формализуемых объектов на основе методов нечеткой логики

Estimation of website security status as badly formalizable objects based on fuzzy logic methods
Дата подачи статьи: 27.06.2017
УДК: 004.0
Статья опубликована в выпуске журнала № 4 за 2017 год. [ на стр. 647-653 ]
Аннотация:Статья посвящена анализу времени загрузки страницы, что является важным показателем для любого web-сайта. Как правило, сайты размещены на web-серверах с определенными характеристиками. Они взаимодействуют с окружающей средой, которая в большей части агрессивна и неопределенна (внешние угрозы, такие как проникновение, отказ в обслуживании, внедрение кода в язык структурированных запросов SQL и т.д.). Нужно отметить, что существуют и неопределенности, порождаемые аппаратным и программным обеспечением. Любой сайт может быть подвержен влиянию внешнего окружения и различных подсистем обслуживания функций web-сайтов, что приводит к возникновению нештатных ситуаций и порождает неопределенность его работы. Степень неопределенности практически не всегда можно оценить только на основании статистического материала. Это приводит к увеличению количества методов и средств интеллектуализации выполнения оценок на основе методов искусственного интеллекта, в частности, методов, построенных на применении нечетких оценок.
Abstract:The article analyzes page load time, which is an important indicator for any website. Websites are typically hosted on web servers with certain characteristics. These websites interact with the environment, which is mostly aggressive and undefined (external threats, such as penetration, service denial, SQL code injection, etc.). It should be noted that there are uncertainties caused by hardware and software, which arise due to the reliability properties of software and hardware products. Thus, any website can be influenced by external factors and various subsystems serving website functions, which leads to abnormal situations and website operation uncertainty. The degree of uncertainty is not always practically feasible to estimate only based on statistical material. This leads to increasing the number of methods and means for intellectualizing the performance of estimations based on artificial intelligence methods, particularly fuzzy estimate methods.
Авторы: Дим Д.Т. (dim.dike@yahoo.com) - Тверской государственный технический университет (аспирант), Тверь, Россия, Богатиков В.Н. (VNBGTK@mail.ru) - Тверской государственный технический университет (профессор), Тверь, Россия, доктор технических наук, Клюшин А.Ю. (klalex@inbox.ru) - Тверской государственный технический университет (доцент), Тверь, Россия, кандидат технических наук
Ключевые слова: метрики, анализ и особенности web-сайта, нечеткая логика, методы системного анализа, принятие решений, интеллектуальная система
Keywords: metrics, website analysis and characteristics, fuzzy logic, system analysis methods, decision making, intellectual system
Количество просмотров: 11672
Статья в формате PDF
Выпуск в формате PDF (29.80Мб)

Размер шрифта:       Шрифт:

В настоящее время активно развиваются информационные системы (ИС), в том числе интеллектуальные. Важным звеном развития информационных технологий являются web-сайты, которых насчитывается более 4 миллиардов [1–3], и их число сремительно растет. Поэтому к анализу качества и надежности создаваемых и эксплуатируемых программ, лежащих в основе работы web-сайтов, предъявляются особые требования.

Web-сайты в зависимости от расположения элементов (страниц, разделов, навигации) и их связи между собой могут иметь различную структуру [4]. Ключевыми являются линейная, иерархическая и решетчатая (см. табл. 1).

При проектировании, разработке и функционировании web-сайта как информационного ресурса основными являются критерии и показатели оценки его качества, надежности и эффективности.

Описание метрики web-сайтов

Подбор наилучших характеристик, которые включены в основу работы веб-приложения, подразумевает использование такого понятия, как «метрики». В основном метрика представляет собой числовую характеристику системы. При формировании этих характеристик учитываются различные факторы [6]. Наиболее распространенные из них – средняя наработка на отказ MTBF (мс), доступность (%), задержка (мс), полоса пропускания канала (Кб), время до первого байта TTFB (мс), время поиска домен-сервера DNS (мс), перенаправление универсального указателя ресурса URL, количество HTTP-запросов, размер главной страницы (Кб), время соединения (мс).

Выделяют три типа метрики оценки web-сайтов: серверные, пользовательские и сетевые.

Серверные метрики позволяют определять используемые системные ресурсы и возможность возникновения конфликтов ресурсов. Эти метрики направлены на отслеживание ресурсов машинного уровня, таких как сеть, память, процессор и утилизация диска. Они дают представление о внутренних конфликтах, лежащих в основе компьютера. Выделяют аппаратные и программные метрики серверных систем (см. табл. 2, 3).

Таблица 3

Программные метрики серверных систем

Table 3

Software metrics of server appliances

Метрика

Расчет/диапазон

Комментарий

Число потоков

NTh

Многопоточность

Задержка репликации

Параметр – время в мс

Можно отслеживать метрики с целью определения аспектов производительности и надежности: необходимо осознавать, имеется ли взаимозависимость между системными показателями и нагрузкой на приложение. Вероятно, системе потребуются дополнительные аппаратные ресурсы (реальные или виртуальные). В случае постоянной нагрузки происходит повышение значений данных метрик. Это может быть обусловлено внешними причинами: фоновыми задачами, постоянно выполняющимися заданиями, сетевой активностью или устройствами ввода/вывода (I/O).

WebPageTest.org определяет TTFB как время ожидания браузера до получения первого байта запрашиваемого ресурса, которое начинается после времени поиска DNS и времени подключения [7]. Некоторые источники объединяют время DNS, время соединения и ожидания в TTFB-метрике, так как TTFB представляет количество времени, необходимое для ответа сервера и создания web-страницы.

На рисунке 1 показано значение TTFB – 168 мс, которое по сути идеально. Как правило, оптимальное TTFB должно быть в диапазоне 5–180 мс. Считается, что web-страница является медленной, если она имеет большое TTFB, поскольку время начала отображения будет задержано. Это форма обратной связи, используемой для оценки web-сайтов при исследовании эффективности. Следует отметить, что mail.ru загружает большинство компонентов, таких как Java Script JS, таблицы стилей CSS, Flas-анимации, не сразу, поэтому задержка web-сайта минимальна.

О задержках web-страницы упоминается в разных источниках [2, 6–10]. Четырьмя ключевыми метриками (рис. 2) являются следующие:

-     время поиска DNS – время поиска IP-адреса для соответствующего домена;

-     время соединения – время, требуемое для установления соединения TCP;

-     время ожидания – время ожидания до получения первого байта после установки подключения;

-     время загрузки контента – время, необходимое для полной загрузки объекта.

Таблица 4

Аппаратные метрики пользовательских систем

Table 4

Hardware metrics of user systems

Метрика

Расчет/диапазон

Комментарий

Запросов в секунду RPS

P – память, PO – оперативная память, TZ – заданное время

Объем памяти под программы

-

Измеряется в Мб

Пользовательские метрики ориентируются на измерение производительности клиентской части, особенно клиентских приложений, например, требуемого времени для выполнения локальных действий и обработки ответа от сервера. Метрики покрывают такие свойства, как объем используемой памяти и загрузка процессора. Как и в предыдущем случае, выделяют аппаратные и программные метрики пользовательских систем (см. табл. 4, 5).

Таблица 5

Программные метрики пользовательских систем

Table 5

Software metrics of user systems

Метрика

Расчет/ диапазон

Комментарий

Пропускная способность канала

RTT – круговая задержка, RWIN – окно приема TCP

Одновременные пользователи

-

Число

Время отклика приложения

100~300

Интегральная характеристика производительности ИС с точки зрения пользователя [8].

Промежуток времени между появлением запроса пользователя к приложению и получением ответа на запрос.

Зависит от типа запроса пользователя, от какого пользователя и к какому серверу обращается, от текущего состояния элементов сети и настроек операционных систем и СУБД [9]

Время загрузки

1–10

Время, требуемое для полной загрузки web-страницы браузером. Измеряется в секундах

Время отклика приложения, как правило, формируется из времени

-     подготовки запросов пользователя;

-     передачи запросов между пользователем и сервером через сегменты сети и промежуточное коммуникационное оборудование;

-     обработки запросов на сервере и передачи ответов пользователю;

-     обработки полученных ответов на устройстве пользователя.

Для определения оптимальной производительности ИС, чтобы установить, какие метрики определяющие, между различными службами должен быть составлен договор об уровне обслуживания.

Web-страницы часто сжимаются в формате Gzip для уменьшения размера загружаемого файла, что препятствует отправлению первого байта, пока сжатие не будет завершено, и значительно увеличивает TTFB. Этапы загрузки web-страницы: запросÞ пересылкаÞ поиск в кэшÞ DNSÞ TCPÞ Þ получениеÞ обработкаÞ ответÞ загрузка.

TTFB может составлять от 1–5 с до 100–200 мс, но страница загружается гораздо быстрее и будет готова к использованию в более короткое время. Многие web-сайты видят общее увеличение TTFB в 5–10 раз. Также существуют некоторые недостатки сжатия Gzip:

-     увеличивается общая нагрузка сервера при сжатии;

-     обработка данных может занять достаточно долгое время, так как первый байт не посылается до завершения сжатия;

-     большое TTFB часто заставляет пользователя повторно создавать текущий запрос к web-сер­веру, что приводит к увеличению общей загрузки и требуемых ресурсов из-за последовательных запросов.

Сетевые метрики связаны с появлением сетевых проблем, которые сопровождаются снижением производительности. Сетевые задержки приводят к повышению длительности выполнения запросов (табл. 6).

Время отклика – важный показатель, в первую очередь, для любого посетителя сайта. Следовательно, и для владельца сайта важна скорость загрузки главной страницы web-сайта. Многие пользователи не располагают достаточной скоростью для быстрой загрузки крупных порталов. Ожидание полной загрузки страницы не должно превышать 5–10 секунд. На сегодняшний день, например, MS Windows не имеет счетчиков производительности для измерения латентности запросов отдельных приложений. Однако существует «Мониторинг ресурсов» (см. рисунки на сайте http://www.swsys.ru/uploaded/image/2017_4/2017-4-dop/8.jpg и http://www.swsys.ru/uploaded/image/2017_4/2017-4-dop/9.jpg), который является отличным инструментом для анализа сетевого трафика на локальной машине. «Мониторинг ресурсов» предоставляет информацию о потерянных пакетах и дополни- тельную информацию о задержке текущих TCP/IP сессий. Информация о потерянных пакетах дает возможность представить качество соединения. Задержка описывает время, необходимое для полного прохождения маршрута TCP/IP пакетом.

Надежность системы может быть измерена в процентах (обычно не менее 99 %) или как абсолютное значение от фактического времени безотказной работы сервера к идеальному времени безотказной работы сервера. Например, если сервер работает в период 1 мая 2016 г. и время бесперебойной работы равно 31 дню, то вся продолжительность составляет 2 678 400 секунд. Если сервер был остановлен в течение этого периода на 1 000 секунд, процент допустимости будет равен: Uptime = = 100 * (1 – (1000/2678400)) = 99,963 %. Как правило, если сервер находится в производстве, значение менее 99 % должно привлечь внимание и далее не должно быть меньше 98 %.

Подходы к определению состояния

Определение состояния безопасности интернет-сайтов является сложной задачей, решение которой требует комплексного или системного подхода. Диагностика выполняется на основе нечеткого множества. Для этого необходимо определить степень нечеткости всех термов относительно центра [11].

Пусть Х = {x} – семейство объектов, обозначенных х, тогда множеством А в Х является A= {x, µA(x)}, xÎX, где µA(x) – степень принадлежности х к А [12]. При объединении множеств А и В (АÈВ) имеем соотношение

µAÈB(x) = max(µA(x), µB(x)), xÎX.                   (1)

Пересечение А и В (АÇВ) имеет соотношение

µAÇB(x)= min(µA(x), µB(x)), xÎX.                    (2)

Степень нечеткости определяется из импликации А на В, затем находим обратную импликацию В на А и сравниваем полученные импликации [13]:

A→B = max(, B) = max(1 – A, B);               (3)

B→A = max(, A) = max(A, 1 – B);               (4)

A ≡ B = min(A, B) =

= min(max(1 – A, B), max(A, 1 – B)).              (5)

Предлагаются критерии оценки на основе данных, собранных из общедоступных источников.

Исходя из таблицы 7, построим диаграмму (рис. 3), которая показывает положение возможных состояний работы web-сайта в пространстве. Можно сделать вывод, что, чем ближе к центру, тем выше безопасность работы сайта.

Функции принадлежности с выделением наилучших положений для метрик таблицы 7 соответствуют рисунку 3, что показано на рисунке 4. Они также имеют индексы, вычисленные по методу дефаззификации центра максимумов (рис. 5).

Выводы

Рассмотренная в статье оценка состояния безо­пасности интернет-сайтов как плохо формализуемых объектов на основе методов нечеткой логики реализована в виде технологии оценки состояний надежности web-сайта. Предложенный подход обеспечивает более гибкую адаптацию к конкретной задаче и позволяет выполнять диагностирование объекта уже на этапе расчета интегрального показателя надежности. Гибкость достигается за счет того, что состояние надежности может оцениваться сразу по нескольким надежностным показателям. Диагностика на этапе вычисления интегрального показателя состояний безопасности достигается за счет того, что вычисления можно разделить на разные этапы. Каждый этап оценивает какой-либо из отдельных показателей, что в конеч- ном итоге позволяет сделать вывод о состоянии соответствующего элемента.

Работа выполнена при поддержке РФФИ, грант № 17-07-01368-а.

Литература

1.     Инькова Н.А., Зайцева Е.А., Кузьмина Н.В., Толстых С.Г. Создание web-сайтов. 2002. URL: http://www.ict.edu.ru/ft/ 004738/p5.pdf. (дата обращения: 26.06.2017).

2.     Kunder M. Geschatte grootte van het geïndexeerde, 2007. URL: http://www.dekunder.nl/Media/Scriptie%20Maurice%20de% 20Kunder%20-%20Grootte%20geindexeerde%20web.pdf (дата обращения: 26.06.2017).

3.     Internet Growth Statistics. URL: http://www.internetworldstats.com/emarketing.htm (дата обращения: 26.06.2017).

4.     Фельке-Моррис Т. Большая книга веб-дизайна. М.: Эксмо, 2012. 210 с.

5.     Давлетханов М. Структура сайта: Описание различных структур сайта. 2004. URL: http://hostinfo.ru/articles/408 (дата обращения: 26.06.2017).

6.     Souders S. Even faster web sites, 2009, 221 p.

7.     WebPageTest.org. URL: https://www.webpagetest.org/ (дата обращения: 26.06.2017).

8.     Clifton B. Advanced web metrics with Google analytics. Sybex, John Wiley & Sons, Inc., Indianapolis, Indiana, 2012, pp. 25–33.

9.     Claypool M., Claypool K. Latency can kill: precision and deadline in online games. Proc. MMSys '10 Conf. NY, ACM, 2010. pp. 215–222. DOI: 10.1145/1730836.1730863.

10.   Бехтерев А. Качество сетей передачи данных. Программные и аппаратные измерения. URL: https://habrahabr.ru/ post/250821/ (дата обращения: 26.06.2017).

11.   Богатиков В.Н., Алексеев В.В., Пророков А.Е. Приложения метода разделения состояний к управлению технологической безопасностью на основе индекса безопасности. Тверь: Изд-во ТГТУ, 2009. 398 с.

12.   Беллман Р., Заде Л. Принятие решений в расплывчатых условиях. М., 1976. С. 172–191.

13.   Ротштейн А.П., Штовба С.Д. Нечеткая надежность алгоритмических процессов. 1997. 142 с.

14.   Белоцерковский А. Анализ ключевых показателей производительности. URL: https://msdn.microsoft.com/ru-ru/ mt631603.aspx (дата обращения: 26.06.2017).

References

  1. Inkova N.A., Zaytseva E.A., Kuzmina N.V., Tolstykh S.G. Sozdanie web-saytov [Websites Creation]. 2002. Available at: http://www.ict.edu.ru/ft/004738/p5.pdf (accessed June 26, 2017).
  2. Kunder M. Geschatte grootte van het geïndexeerde [Estimated size of the indexed WWW]. 2007. Available at: http://www.dekunder.nl/Media/Scriptie%20Maurice%20de%20Kunder%20-%20Grootte%20geindexeerde%20web.pdf (accessed June 26, 2017).
  3. Internet Growth Statistics. Available at: http://www.internetworldstats.com/emarketing.htm (accessed June 26, 2017).
  4. Felke-Morris T. Web Development & Design Foundation with HTML5. Pearsom Publ., 2012, 672 p. (Russ. ed.: Moscow, Eksmo Publ., 2012, 210 p.).
  5. Davletkhanov M. Struktura sayta: Opisanie razlichnykh struktur sayta [Website Structure: Description of Various Website Structures]. 2004. Available at: http://hostinfo.ru/articles/408 (accessed June 26, 2017).
  6. Souders S. Even Faster Web Sites. 2009, 221 p.
  7. WebPageTest.org. Available at: https://www.webpagetest.org/ (accessed June 26, 2017).
  8. Clifton B. Advanced Web Metrics with Google Analytics. 3rd ed. Sybex, John Wiley & Sons Publ., Indianapolis, Indiana, 2012, 600 p.
  9. Claypool M., Claypool K. Latency can kill: precision and deadline in online games. Proc. MMSys '10 Proc. 1st annual ACM SIGMM Conf. on Multimedia systems. NY, ACM, 2010, pp. 215–222.
  10. Bekhterev A. Kachestvo setey peredachi dannykh. Programmnye i apparatnye izmereniya [Quality of Data Transmission Networks. Software and Hardware Measurements]. Available at: https://habrahabr.ru/post/250821/ (accessed June 26, 2017).
  11. Bogatikov V.N., Alekseev V.V., Prorokov A.E. Prilozheniya metoda razdeleniya sostoyany k upravleniyu tekhnologicheskoy bezopasnostyu na osnove indeksa bezopasnosti [Annexes of the State Division Method to Technological Safety Management Based on a Safety Index]. Tver, TGTU Publ., 2009, 398 p.
  12. Bellman R., Zadeh L. Prinyatie resheny v rasplyvchatykh usloviyakh [Decision-making in Indistinct Conditions]. Moscow, 1976, 191 p.
  13. Rotstein A.P., Shtovba S.D. Nechetkaya nadezhnost algoritmicheskikh protsessov [Indistinct Reliability of Algorithmic Processes]. 1997, 142 p.
  14. Belotserkovsky A. Analiz klyuchevykh pokazateley proizvoditelnosti [Analysis of Key Indicators of Productivity]. Available at: https://msdn.microsoft.com/ru-ru/mt631603.aspx (accessed June 26, 2017).

Постоянный адрес статьи:
http://swsys.ru/index.php?id=4361&page=article
Статья в формате PDF
Выпуск в формате PDF (29.80Мб)
Статья опубликована в выпуске журнала № 4 за 2017 год. [ на стр. 647-653 ]

Возможно, Вас заинтересуют следующие статьи схожих тематик: