# Методы оптимизации нагрузки на KICS for Networks

**Метод 1: Настройка типов подсетей**

Можно снизить нагрузку, обусловленную работой технологии <span lang="EN-US" style="mso-ansi-language: EN-US;">NIC</span> путем корректного назначения типов подсетей в адресных пространствах, тогда контроль целостности сети будет выполняться только для нужных подсетей и направлений передачи данных, как указано в таблице ниже:

<span style="mso-no-proof: yes;"></span>

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/image.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/image.png)

Подробнее в онлайн-справке: [https://support.kaspersky.com/KICSforNetworks/4.3/ru-RU/134913.htm](https://support.kaspersky.com/KICSforNetworks/4.3/ru-RU/134913.htm)

**Метод 2: Использование <span lang="EN-US" style="mso-ansi-language: EN-US;">BPF</span> для фильтрации сохраняемого трафика**

Использование технологии <span lang="EN-US" style="mso-ansi-language: EN-US;">BPF</span> (Berkley Packet Filter) позволяет отсечь заранее неинтересную часть трафика, чтобы не тратить на него ресурсы. Трафик, отсекаемый фильтром, не пишется на диск и никак не анализируется <span lang="EN-US" style="mso-ansi-language: EN-US;">KICS</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">for</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">Networks</span>. Благодаря этому снижается нагрузка на CPU и дисковую подсистему.

Наиболее типичные кейсы применения:

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>видеонаблюдение, где объём трафика значительный, но зачастую, не представляющий большой ценности для анализа;

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>наличие «неинтересного» корпоративного трафика в анализируемом <span lang="EN-US" style="mso-ansi-language: EN-US;">SPAN</span>-трафике.

**Включить <span lang="EN-US" style="mso-ansi-language: EN-US;">BPF</span>-фильтр можно вот где:**

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/yOOimage.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/yOOimage.png)

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/uK2image.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/uK2image.png)

Однако при использовании фильтрации вам нужно учитывать, что программа может получать в отфильтрованном трафике не все данные, необходимые для качественного анализа трафика. Вам нужно настроить фильтрацию таким образом, чтобы в файлах дампа трафика сохранялись все сетевые пакеты, которые требуются для анализа трафика в соответствии с функциональностью программы.

**<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Примеры фильтров</span>**

<table border="0" cellpadding="0" cellspacing="0" class="MsoNormalTable" id="bkmrk-%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5-bpf-%D0%98%D1%81%D0%BA%D0%BB%D1%8E%D1%87%D0%B8" style="border-collapse: collapse; mso-yfti-tbllook: 1184; mso-padding-alt: 0cm 0cm 0cm 0cm;"><thead><tr style="mso-yfti-irow: 0; mso-yfti-firstrow: yes;"><td style="border: solid #C1C7D0 1.0pt; mso-border-alt: solid #C1C7D0 .75pt; background: #F4F5F7; padding: 0cm 0cm 0cm 0cm;" valign="top">**<span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; color: #54585a; mso-fareast-language: RU;">Описание</span>**

</td><td style="border: solid #C1C7D0 1.0pt; border-left: none; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; background: #F4F5F7; padding: 0cm 0cm 0cm 0cm;" valign="top">**<span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; color: #54585a; mso-fareast-language: RU;">BPF</span>**

</td></tr></thead><tbody><tr style="mso-yfti-irow: 1;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить TCP трафик с портом 80</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">not tcp port 80</span>

</td></tr><tr style="mso-yfti-irow: 2;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить TCP трафик с портами 80 и 22</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span lang="EN-US" style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US; mso-fareast-language: RU;">not(tcp port 80 or tcp port 21)</span>

</td></tr><tr style="mso-yfti-irow: 3;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить видеонаблюдение RTP</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span lang="EN-US" style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US; mso-fareast-language: RU;">not(udp port 5004 or udp port 5005)</span>

</td></tr><tr style="mso-yfti-irow: 4;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить коммуникации в/из подсети 10.42.0.0/16</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">not net 10.42.0.0/16</span>

</td></tr><tr style="mso-yfti-irow: 5;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить коммуникации в/из подсетей 10.42.0.0/16 и 192.168.0.0/16</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">not(net 10.42.0.0/16 or net 192.168.0.0/16)</span>

</td></tr><tr style="mso-yfti-irow: 6; mso-yfti-lastrow: yes;"><td style="border: solid #C1C7D0 1.0pt; border-top: none; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-fareast-language: RU;">Исключить TCP трафик с портом 80 только для коммуникаций в подсетях 10.42.0.0/16 и 192.168.0.0/16</span>

</td><td style="border-top: none; border-left: none; border-bottom: solid #C1C7D0 1.0pt; border-right: solid #C1C7D0 1.0pt; mso-border-top-alt: solid #C1C7D0 .75pt; mso-border-left-alt: solid #C1C7D0 .75pt; mso-border-alt: solid #C1C7D0 .75pt; padding: 5.25pt 7.5pt 5.25pt 7.5pt;" valign="top"><span lang="EN-US" style="mso-fareast-font-family: 'Times New Roman'; mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US; mso-fareast-language: RU;">not(tcp port 80 and (net 10.42.0.0/16 or net 192.168.0.0/16))</span>

</td></tr></tbody></table>

<span lang="EN-US" style="mso-ansi-language: EN-US;"> </span>

**<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Проверка фильтра</span>**

<span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">Убедиться в работоспособности и правильности фильтра можно при помощи утилиты tcpdump:</span>

**<span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US;">tcpdump -n -r &lt;pcapfile&gt; 'BPF filter text'</span>**

<span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US;">\# </span><span style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin;">например</span>

**<span lang="EN-US" style="mso-bidi-font-family: Calibri; mso-bidi-theme-font: minor-latin; mso-ansi-language: EN-US;">tcpdump -n -r capture.pcap 'udp portrange not 6970-6973'</span>**

**<span style="font-size: 12.0pt; line-height: 107%;">Метод 3: Оптимизация разрешающих правил</span>**

Большое количество разрешающих правил может создавать повышенную нагрузку на продукт, поэтому следует контролировать их количество в период обучения <span lang="EN-US" style="mso-ansi-language: EN-US;">KICS</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">for</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">Networks</span>. Часто, большое количество разрешающих правил обусловлено тем, что для каждой новой сессии на отправителе выбирается случайный порт из динамического диапазона 49152-65535 (<span lang="EN-US" style="mso-ansi-language: EN-US;">RFC</span> 6335), поэтому для таких правил можно вместо конкретного порта, например, 55555 указать диапазон 49152-65535, после чего <span lang="EN-US" style="mso-ansi-language: EN-US;">KICS</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">for</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">Networks</span> предложит удалить все частные правила, подходящие под это - более общее. Удобно это сделать следующим образом:

**Отсортировать разрешающие правила по убыванию портов.**

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/cQRimage.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/cQRimage.png)

<span style="mso-no-proof: yes;">  
</span>

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/WuMimage.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/WuMimage.png)

<span lang="EN-US" style="mso-ansi-language: EN-US; mso-no-proof: yes;">  
</span>

**<span style="font-size: 12.0pt; line-height: 107%;">Метод 4: Выделение достаточного места под сырой трафик</span>**

Если выделить мало места для хранения файлов дампа трафика, то при высокой скорости поступления трафика на сервер будет тратиться много ресурсов сервера на частое стирание устаревшего трафика.

**<span style="font-size: 12.0pt; line-height: 107%;">Метод 5: Отключение ненужных технологий</span>**

Для снижения нагрузки на сервер можно отключить технологии детектирования, которые всё равно не планируется использовать в контексте мониторинга конкретной системы АСУ ТП. Наиболее частый случай отключение технологий <span lang="EN-US" style="mso-ansi-language: EN-US;">DPI</span>, если не планируется контролировать технологические параметры.

[![image.png](https://www.ics-community.ru/uploads/images/gallery/2025-11/scaled-1680-/ipRimage.png)](https://www.ics-community.ru/uploads/images/gallery/2025-11/ipRimage.png)

<span style="mso-no-proof: yes;">  
</span>

**<span style="font-size: 12.0pt; line-height: 107%;">Метод 6: Оптимизация архитектуры</span>**

Для оптимизации нагрузки на сервер рекомендуются следующие архитектурные решения:

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>весь трафик подавать на сенсоры, чтобы предварительная обработка трафика выполнялась на них;

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>на сенсорах задействовать не более 4 точек мониторинга из 8 доступных.