Адаптивный метод обнаружения аномалий трафика в высокоскоростных мультисервисных сетях связи Текст научной статьи по специальности «Компьютерные и информационные науки»

W\\

НАУКОЕМКИЕ ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т 11 № 5-2019

щ

'АДИОТЕХНИКА И СВЯЗЬ

doi: 10.24411/2409-5419-2018-10282

АДАПТИВНЫМ МЕТОД ОБНАРУЖЕНИЯ АНОМАЛИЙ ТРАФИКА В ВЫСОКОСКОРОСТНЫХ МУЛЬТИСЕРВИСНЫХ СЕТЯХ СВЯЗИ

АГЕЕВ

Сергей Александрович1 ГЛАДКИХ

Анатолий Афанасьевич2

КУРНОСОВ Валерий Игорьевич3

ПРИВАЛОВ Андрей Андреевич4

Сведения об авторах:

1

к.т.н., доцент, начальник научно-исследовательского отдела ОАО «Радиоавионика», г. Санкт-Петербург, Россия, serg123_61@mail.ru

2д.т.н., профессор, профессор Ульяновского государственного технического университета, г. Ульяновск, Россия, a_gladkikh@mail.ru

3д.т.н., профессор, заместитель генерального директора по научной работе АО «Научно-исследовательский институт «Рубин», г. Санкт-Петербург, Россия, vi-kurnosov@mail.ru

4д.в.н., профессор, профессор Петербургского государственного университета путей сообщения Императора Александра I, г. Санкт-Петербург, Россия, aprivalov@inbox.ru

АННОТАЦИЯ

В работе предложен и исследован адаптивный эвристический (поведенческий) метод обнаружения аномалий трафика в высокоскоростных мультисервисных сетях связи, функционирующий в режиме реального времени. Актуальность данного исследования обусловлена тем, что многие процессы управления информационной и сетевой безопасностью, а также процессы управления рисками реализаций их угроз в высокоскоростных мультисервисных сетях связи необходимо реализовывать в режиме близком к режиму реального времени. В основу предлагаемого в работе подхода положена концепция условной нелинейной Парето - оптимальной фильтрации В. С. Пугачева. Суть данного подхода заключается в том, что оценка параметра трафика производится в два этапа: на первом этапе производится оценка прогноза значений параметров, а на втором, с получением следующих наблюдений параметров, корректировка их значений. В предлагаемых методе и алгоритме прогнозы значений параметров трафика производятся в небольшом по размеру скользящем окне, а адаптация реализуется на основе псевдоградиентных процедур, параметры которых регулируются с помощью метода нечеткого логического вывода Такаги - Сугено. Особенностью разработанных процедур оценки характеристик высокоскоростного трафика мультисервисных сетей связи является то, что они позволяют учитывать динамику изменения параметров сетевого трафика. Предложенный метод и алгоритм относятся к классу адаптивных методов и алгоритмов с предварительным обучением. Средняя относительная погрешность оценки оцениваемых параметров трафика не превышает 10 %, что является достаточным значением для реализации задач оперативного сетевого управления. Процедура обнаружения аномального поведения трафика высокоскоростной мульти-сервисной сети связи в работе реализована на основе метода нечеткого логического вывода Мамдани, в котором интервалы состояния параметров трафика определяются на основе принятой в сети политики безопасности. Проведенное в работе исследование предложенного метода обнаружения аномального поведения сетевого трафика показало его высокую эффективность.

КЛЮЧЕВЫЕ СЛОВА: псевдоградиентный алгоритм; условно нелинейная Парето - оптимальная фильтрация; нечеткий логический вывод Такаги-Сугено; нечеткая база правил; нечеткая база знаний.

Для цитирования: Агеев С.А., Гладких А.А., Курносов В.И., Привалов А.А. Адаптивный метод обнаружения аномалий трафика в высокоскоростных мультисервисных сетях связи // Наукоемкие технологии в космических исследованиях Земли. 2019. Т. 11. № 5. С. 4-13. doi: 10.24411/2409-5419-2018-10282

Vol 11 N

RF TECHNOLOGY AND COMMUN!

¿¿У

! Iff/ 114 //"

5-2019, H&ES RESEARC

Введение

Современный этап развития промышленности, бизнеса, транспортных и логистических систем, а также систем административного управления характеризуется успешным внедрением технологий высокоскоростных телекоммуникаций и сетей нового поколения (NGN). Достигнутые успехи в развитии технологий телекоммуникаций и связи привели к созданию и реализации концепции мультисервисной сети связи (МСС), ядром которой являются пакетные IP-сети, интегрирующие различные услуги передачи речи, данных и мультимедиа [1-2].

Основные сервисы, предоставляемые пользователям с помощью МСС, хорошо известны [2-3]. Однако появление большого количества дополнительных сервисов у МСС делает актуальной проблему надежного обеспечения ее сетевой и информационной безопасности (СИБ) [4].

Трафик в МСС является весьма разнообразным [3, 5-6]. Он состоит, в том числе, из мультимедийного трафика, который очень чувствителен к задержкам, трафика передачи данных, трафика передачи сигнальной информации, трафика электронной почты. При этом заданные требования к качеству сервисов должны выполняться полностью. Однако существуют объективные трудности в построении системы управления МСС и, в частности, в построении ее СИБ. Эти трудности вызваны сложностью структуры МСС, большим пространственным размахом сетевой инфраструктуры, необходимостью быстрого и качественного анализа большого количества различных динамично изменяющихся сетевых и информационных характеристик и параметров.

Следовательно, оперативное непрерывное оценивание и обнаружение аномального поведения высокоскоростного сетевого трафика с априори неизвестными, динамично изменяющимися характеристиками является одной из ключевых задач управления сетью МСС, а также ее СИБ, представляет собой актуальную научную проблему.

Анализ методов оценки характеристик

и параметров трафика в высокоскоростных

мультисервисных сетях связиСС

В работах [5-7] отмечается, что трафик для различных приложений в МСС может быть аппроксимирован с помощью вероятностных распределений, основными из которых являются распределение Пуассона, Парето, Вейбулла, логарифмически нормальное и экспоненциальное распределения.

Наиболее просто решить задачу оценивания текущих значений параметров трафика, если он является стационарным случайным процессом. Однако трафик в МСС является нестационарным по своей природе, а математические модели, адекватно описывающие его поведение,

являются нелинейными стохастическими моделями [6-7]. Это обстоятельство существенно осложняет разработку и реализацию процедур оценки параметров и характеристик сетевого мультисервисного трафика с требуемым качеством в условиях априорной неопределенности как относительно его текущего вероятностного закона распределения, так и относительно его параметров.

Следует отметить, что основными характеристиками мультисервисного трафика являются максимальное и минимальное значение его интенсивности, текущее значение математического ожидания, среднее квадратичное отклонение и коэффициент вариации его интенсивности [6-7].

Одним из конструктивных подходов к решению задачи оценки векторных параметров случайных процессов, при нелинейных моделях наблюдений, является метод условной нелинейной Парето — оптимальной фильтрации [9-10]. Суть данного подхода заключается в том, что оценка векторного неизвестного параметра производится в два этапа. На первом этапе вычисляется функция текущего прогноза оценок значений векторного параметра. На втором этапе с помощью корректирующих функций и полученной дополнительной апостериорной информации о значениях этих оценок, производят их коррекцию. Выбор класса и вида функций оценки текущего прогноза, класса и вида корректирующих функций является достаточно свободным и определяется конкретной постановкой решаемой проблемы.

В данной работе, на основе условной нелинейной Парето — оптимальной фильтрации, разработаны метод и алгоритм обнаружения аномального поведения трафика, с использованием совместных оценок текущего значения математического ожидания, среднего квадратичного отклонения (СКО) и коэффициента вариации интенсивности трафика МСС. Предлагается адаптацию корректирующих функций к неизвестным характеристикам интенсивности трафика МСС производить с помощью псевдоградиентных процедур, общая теория которых была заложена в работах [10-12]. При этом регулирование параметров корректирующих функций в зависимости от параметров случайной последовательности (СП) производится с помощью нечеткого логического вывода Такаги-Сугено [14-15], с учетом динамики изменения их значений.

Формулировка проблемы, теоретические основы,

метод и алгоритм оценки характеристик трафика

в высокоскоростных мультисервисных сетях связи

Пусть наблюдения трафика МСС на соответствующем сетевом интерфейсе сетевого элемента, например, маршрутизатора, представлены в виде СП х(/). Пусть СП х(0 задана в дискретные моменты времени t = t = {1,2,..., п, ...}. Пусть наблюдения СП х(/) описываются аддитивно-мультипликативной моделью в виде:

НАУКОЕМКИЕ ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т РАДИОТЕХНИКА И СВЯЗЬ

х(0 = 9(0 X ы (х(г -1)) + ^(0,

где м> (*) — некоторая случайная функция от наблюдений, 0(0 — некоторая случайная величина, а 4(0 — помеха наблюдений с нулевым математическим ожиданием и конечной дисперсией. Также пусть СП х(0 имеет конечные математическое ожидание и дисперсию.

Необходимо построить векторную рекуррентную процедуру оценки значений математического ожидания СП х(0, среднеквадратического отклонения СП и его коэффициента вариации по критерию минимума среднего квадрата ошибки, то есть необходимо обеспечить выполнения совместных условий:

7(0 = М{ё} = {М(т(0 - т(0) ) -> тт,

9

М(сг(0-ст(0) пин,

МСКу(О-^КО)2 -> пйп},

(2)

где т(0, сг(1), Ку(г) — оценки математического ожидания, СКО и коэффициента вариации СП х(0 на шаге /, а ш(1), с(0, К (0 — их истинные значения на этом шаге.

Функция прогноза для текущего значения математического ожидания СП определяется как:

где 4 — ошибка наблюдения градиента. Сделаем допущение о том, что 4 — центрированные, некоррелированные ошибки оценки градиента функционала качества. Минимизацию функционала (5) будем проводить с помощью рекуррентного алгоритма вида:

т(1 +1) = (I + 1^0(4, т(1 +1)),

(6)

где УО(4, т(1 +1)) —некоторое случайное направление движения в фазовом пространстве в точке ГТ1(1 +1), гп (I) — скорректированная оценка математического ожидания на предыдущем шаге, {^т(0} — последовательность положительных чисел, которая для стационарного СП, должна удовлетворять условиям:

I X (¡) =<», I X2 (¡) <ю. I = 1 I = 1

(8)

Эти числа называют коэффициентами шага алгоритма. В соответствии с [11-13] вектор УО(4, т(0) называется псевдоградиентом в точке гп (1), если в этой точке выполняется условие:

VJ (тО-1))х Мт(0)} > 0,

(9)

1

N

т(0 = — Е х(\ - к), I = 1, 2, ..., п, ...,

N

(3)

к =1

где N—размер скользящего окна, который выбирается относительно небольшого размера [8].

Далее, прогнозы оценок СКО и коэффициента вариации СП на шаге I также производятся в этом же скользящем окне:

¿(I)

1

N

-I N

N -1

I х2 (I - к) - (- I х(1 - к))

к = 1

N

к = 1

I = 1, 2, ..., п,

^ = ¿(I) / гп (I)

(4)

Без потери общности, дальнейшее подробное рассмотрение построения корректирующей процедуры проведем для компоненты значения оценки математического ожидания функционала (2), с последующим обобщением на векторный случай.

Значение функционала /(»¿(0) может быть недоступно наблюдению, а доступна наблюдению только случайная реализация его градиента со случайной ошибкой:

т(0) = VJ (гп(1)) + %, ^е |}г

(5)

где М(*) — операция математического ожидания, то есть, вектор УО(4, гп(1)) в среднем составляет острый угол с вектором градиента функционала качества VJ (т(1 -1)). Реализацию функционала качества в точке гп(1 +1), в соответствии с [8, 11-13], можно представить следующим образом:

2

0(гп(1 +1)) = {т(\ + 1)-т(1)) а его градиент в виде:

ДО(т(1 +1)) =

д у(|)

= -2 (т(1 +1)- т(1))

(т(1 +1)-гп (I ))2 =

(10)

(11)

Численный коэффициент в правой части полученного выражения можно учесть при выборе начального значения Хт. Вид рекуррентного псевдоградиентного алгоритма (ПГА) оценивания текущего значения математического ожидания, с учётом знаков, будет иметь вид:

т(1 +1) гп(!) + (I + 1)(т(1 + 1)-т(1)).

(12)

Если плотность распределения значений СП гп()• р(гп) симметрична относительно математического ожидания, то возможно применение ПГА вида:

ГО +1) = гГ1(0 + X¡ + 1ф(гл(1 +1) - гГ1(0), (13)

где в качестве функции ф(*) может быть использована неубывающая монотонная функция, например, знаковая функция ф(*) = sign(*). Применение данной функции позволяет повысить устойчивость ПГА к ошибкам оценки градиента функционала качества [11-13].

Обобщением алгоритма (12) является векторный ПГА оценки параметров СП, имеющий вид:

G(i +1) = G(i) + R(i +1) х (VQ (i +1)),

(14)

где Сз (1 +1) — вектор оценок параметров СП на шаге I + 1, представимый в виде:

¿(| +1) = Щ| +1), ¿(1 +1), ^ (I + 1)]Т . (15)

Матрица Я(1 + 1) является диагональной матрицей коэффициентов шага оцениваемых параметров.

S/zK

Ф4 t , /// Ini [if/

5-2019, H&ES RESEARCW((

RF TECHNOLOGY AND COMMUNICATION

Уо!

Nc

Относительно алгоритмов (12), (13) и (14) можно сформулировать утверждения о том, что:

1. Данные алгоритмы являются псевдоградиентными алгоритмами. Доказательство данного утверждения основано на корректной проверке условия (9). Следствием из этого утверждения является то обстоятельство, что данные процедуры обладают всеми свойствами ПГА [11-13].

2. Структура алгоритмов (12) и (14) инвариантна относительно статистических характеристик СП х(/), с точностью, определяемой точностью идентификации своих параметров. Доказательство данного утверждения основано на применении центральной предельной теоремы [6]. Следствием данного утверждения является то, что при любых вероятностных свойствах трафика, структура алгоритма оценки его параметров постоянна, изменяться могут только параметры его настройки.

Предлагаемая структура адаптивного алгоритма оценки параметров трафика МСС приведена на рис. 1.

Рис. 1. Структура адаптивного алгоритма оценки параметров трафика МСС

НАУКОЕМКИЕ ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т РАДИОТЕХНИКА И СВЯЗЬ

Для оценивания параметров нестационарных СП условие (8) ограничивает применение ПГА, так как ПГА должен отслеживать изменения значения параметров трафика, а не сходиться к определённым их значениям. Поэтому предлагается последовательность Я( + 1) ограничить снизу постоянным значением. Как следствие выбора ограниченного коэффициента шага, дисперсия оценки параметров СП также будет ограничена снизу. Следовательно, необходимо найти компромиссное решение между скоростью и точностью оценивания значений интенсивности СП [8, 13].

В разработанных методе и алгоритме предлагается при выборе вектора коэффициентов шага учитывать динамику изменения оцениваемых параметров и характеристик СП.

Очевидно, что модули градиентов компонент векторного функционала качества пропорциональны динамическим свойствам СП. Подобные зависимости носят характер трудноформализуемых задач, поэтому предлагается процедуру подстройки коэффициентов шага ПГА автоматизировать на основе метода нечёткого вывода

Такаги -Сугено или на основе его частного вида — син-глтонного метода [14-15], имеющего вид:

Если

< ¿(¡) е 01 > И < УОО) е О2 > В < ст(0) е 03 > И < е и >,

то R ( +1) = R (I) И N = Ык

(16)

Для реализации этих правил предварительно проводится обучение системы нечёткого логического вывода по экспериментальным данным, полученным на стадии ее проектирования, на тестовых СП, с известными статистическими параметрами [14-15]. Увеличение размера скользящего окна, если возникает такая необходимость, производится последовательно, с шагом равному одной ячейке скользящего окна. Это позволяет обеспечить наблюдаемость оцениваемых параметров СП.

Структура алгоритма обнаружения аномалий трафика МСС приведена на рис. 2. Здесь используются данные, полученные с помощью алгоритма оценки параметров трафика.

Рис. 2. Структура алгоритма обнаружения аномалий трафика МСС

Структура системы нечеткого логического вывода в процессе эксплуатации остается постоянной

Анализ результатов экспериментальной проверки

Математическое моделирование проверки эффективности разработанных алгоритмов оценки характеристик трафика МСС проводилось для трафиков имеющих распределение Пуассона, экспоненциальное распределение, логнормальное распределение и распределение Парето.

Модулирующие функции для моделирования нестационарных СП представляли собой СП авторегрессии первого порядка (АР-1), детерминированные периодические функции, ступенчатые функции.

На рис. 3 приведен полученный на этапе предварительного обучения системы нечеткого логического вывода график поверхности коэффициентов шага для процедуры корректировки оценок значений математического ожидания СП в зависимости от периода изменения математического ожидания СП и от возможного значения модуля оценки его градиента.

Обучение проводилось при заданном среднем значении СП равным т (г) = 167, коэффициенте вариации СП равным К = 0,5. По вертикальной оси Хт выбран логарифмический масштаб. Аналогичные поверхности строятся и для других значений т (г), количество которых определяется пропускной способностью канала связи с помощью эмпирически установленной зависимости — одна поверхность на один диапазон изменения математического ожидания равный Дт (г) ~ 200-300.

Vol 11 N

RF TECHNOLOGY AND COMMUN!

! Iff/ ilЧ ///'

5-2019, H&ES RESEARC

Рис. 3. Поверхность коэффициентов шага для процедуры корректировки оценки текущего значения математического ожидания СП, при т (г) = 167 и К = 0,5

Следует отметить, что процедуры обучения системы нечеткого логического вывода достаточно легко автоматизируются.

В качестве примера, на рис. 4 приведены результаты оценки математического ожидания интенсивности трафика для изменяющейся амплитуды математического ожидания с одновременным увеличением периода его изменения для логарифмически нормального закона распределения.

Средняя относительная погрешность оценки математического ожидания составила менее 7,8 %.

Рис. 4. Результаты оценки параметров нестационарного тренда с логарифмически нормальным распределением при изменяющихся параметрах интенсивности трафика: а) СП, б) результат оценки математического ожидания СП; 1 — истинное значение математического ожидания СП, 2 — оценка математического ожидания, 3 — модуль абсолютной погрешности оценки

лл

Рис. 5. а) Зависимость средней относительной погрешности оценки параметров СП в зависимости от скорости их изменения и от текущего значения коэффициента вариации; б) область А — область Парето оптимальных значений параметров алгоритма оценки параметров СП, в которой средние относительные погрешности оценок математического ожидания, СКО и Ку не превышает 9,4%

На рис. 5 представлены зависимости средней относительной погрешности оценки параметров СП в зависимости от скорости их изменения и от текущего значения коэффициента вариации при изменении математического ожидания от т^. 1(0 = 167 до т2(1)=240 и при изменении Ку от 0,25 до 1,2 5.

Область А на рис. 5 б) — область Парето — оптимальных значений параметров алгоритма оценки параметров СП, в которой средние относительные погрешности оценок математического ожидания, СКО и Ку не превышает 9,4 %.

Пример обнаружения аномального поведения трафика с распределением Пуассона приведен на рис. 6. Математическое ожидание моделировалось процессом АР-1. Средняя относительная погрешность оценки составила 5 < 1,7 %. На данном рисунке зона А соответствует штатному поведению МСС, зона В — допустимому, а зона С — недопустимому состоянию МСС. Периодам времени Т1 и Т3 соответствуют недопустимые аномальные состояния трафика.

Пример аномального изменения среднеквадратиче-ского отклонения трафика для логнормального распределения приведен на рис. 7.

В этом эксперименте средняя относительная погрешность оценки математического ожидания не превысила 5,41 %, средняя относительная погрешность оценки СКО не превысила 7,56 %, средняя относительная погреш-

ность оценки коэффициента вариации не превысила 7,1 %. Значение абсолютного времени длительности аномального поведения трафика составило 2 млс.

Таким образом, разработанные метод и алгоритмы показали устойчивое детектирование аномального поведения трафика МСС в условиях высокой динамике изменения его характеристик с высокой точностью.

Рис. 6. Пример обнаружения аномального поведения трафика. Распределение Пуассона: 1 — истинное значение математического ожидания, 2 — значение его оценки, 3 — модуль ошибки оценивания

Рис. 7. Пример обнаружения аномального поведения трафика. Распределение логарифмически нормальное: а) график СП, б) график СКО, 1 — истинное значение СКО, 2 — значение оценки СКО, 3 - модуль ошибки оценки; в) график коэффициента вариации, 1 — истинное значение Ку, 2 — значение оценки Ку, 3 — модуль ошибки оценки. Зона Б на всех графиках соответствует аномалии

Заключение

Полученные точностные и динамические характеристики разработанных метода и алгоритма обеспечивают обнаружение аномального поведения трафика МСС в высокоскоростных мультисервисных сетях связи с требуемым качеством.

Проведенный предварительный в работе анализ показал возможность аппаратно-программной реализации разработанных алгоритмов на существующей аппаратной платформе [16-18].

Наиболее перспективной является реализация алгоритма как интеллектуального агента для многоагентной интеллектуальной системы оперативной поддержки при-

нятия решений. Аппаратной основой подобной системы может быть система на кристалле (SoC) и ПЛИС (FPGA).

Литература

1. ITU-T Recommendation Y.2001. General overview of NGN. Geneva, 2004. 18 p.

2. ITU-T Recommendation G.1000. Communications quality of service: A framework and definitions. 2001. 16 p.

3. Гольдштейн Б. С., Соколов H.A., Яновский Г.Г. Сети связи. СПб: БХВ Санкт-Петербург, 2011. 400 с.

4. IS0/IEC27001:2005. Information technology. Security techniques. Information security management Systems. Requirements. 2005. 34 p.

X<N\ \\\\ Ч>Л\\ \\\\

НАУКОЕМКИЕ ТЕХНОЛОГИИ В КОСМИЧЕСКИХ ИССЛЕДОВАНИЯХ ЗЕМЛИ, Т

'АДИОТЕХНИКА И СВЯЗЬ

5. Симонина О. А. Модели расчета показателей QoS в сетях следующего поколения: дис. ... канд. техн. наук. СПб.: 2005. 132 с.

6. Шелухин О. И., Осин А. В., Смольский С. М. Самоподобие и фракталы. Телекоммуникационные приложения. М.: Физматлит, 2008. 368 с.

7. Шелухин О. И., Сакалема Д. Ж., Филинова А. С. Обнаружение вторжений в компьютерные сети (сетевые аномалии) / Под ред. профессора О. И. Шелухина. М.: Горячая линия — Телеком, 2013. 220 с.

8. Агеев С. А., Саенко И. Б., Котенко И. В. Метод и алгоритмы обнаружения аномалий в трафике мультисер-висных сетей связи, основанные на нечетком логическом выводе // Информационно-управляющие системы. 2018. № 3. С. 61-68. doi:10.15217/issn1684-8853.2018.3.61.

9. Пугачев В. С. Обобщение теории условно оптимального оценивания и экстраполяции // Докл. АН СССР. 1982. Т. 262. № 3. С. 535-538.

10. Пугачев В. С. Условно оптимальная фильтрация и экстраполяция непрерывных процессов // Автоматика и телемеханика. 1984. № 2. С. 82-89.

11.Поляк Б. Т., Цыпкин Я. З. Псевдоградиентные алгоритмы адаптации и обучения // Автоматика и телемеханика. 1973. № 3. С. 45-63.

12.Поляк Б. Т., Цыпкин Я. З. Оптимальные псевдоградиентные алгоритмы адаптации // Автоматика и телемеханика. 1980. № 8. С. 74-84.

13.Граничин О. Н. Рандомизированные алгоритмы оптимизации и оценивания при почти произвольных помехах. М.: Наука, 2003. 291 с.

14. Takagi T., Sugeno M. Fuzzy Identification of Systems and Its Applications to Modeling and Control // IEEE Transactions on systems, man, and cybernetics. 1985.Vol. SMC-15. No.1. Pp. 116-132.

15.Пегат А. Нечеткое моделирование и управление: пер. с англ. М.: БИНОМ Лаборатория знаний, 2013. 798 с.

16. Intel. URL: https://www.intel.com/content/www/us/ en/products/programmable.html (дата обращения 10.06.2019).

17. Xilinx. URL: http:// www.xilinx.com (дата обращения 10.06.2019).

18. OpenCores. URL: http://opencores.org/projects (дата обращения 10.06.2019).

ADAPTIVE METHOD OF DETECTING TRAFFIC ANOMALIES IN HIGH-SPEED MULTISERVICE COMMUNICATION NETWORKS

SERGEY A. AGEEV KEYWORDS: pseudogradient procedures; notionally nonlinear Pa-

St-Petersburg, Russia, serg123_61@mail.ru reto - optimal filtering; Takagi-Sugeno fuzzy logical inference meth-

od; fuzzy rule base; fuzzy knowledge base.

ANATOLY A. GLADKIKH

Ulyanovsk, Russia, a_gladkikh@mail.ru

VALERY I. KURNOSOV

St-Petersburg, Russia, vi-kurnosov@mail.ru

ANDREY A. PRIVALOV

St-Petersburg, Russia, aprivalov@inbox.ru

ABSTRACT

In the work we present and research an adaptive heuristic (behavioral) method of detecting traffic anomalies in high-speed multi-service communication networks, functioning in real time. The actual of this study due to the fact that many processes of information and network security management, as well as processes of risk management of their threats realization in high-speed multi-service com-

munication networks need to be implemented in close to real time. The approach proposed in the work is based on the concept of conditional nonlinear Pareto - optimal filtration by V. S. Pugachev. The main idea of this approach is that the traffic parameter is estimated in two stages, at the first stage the forecast of parameter values is estimated, and at the second stage the following observations of

parameters are obtained, their values are corrected. In the proposed method and algorithm, traffic parameter values are predicted in a small sliding window, and adaptation is implemented on the basis of pseudogradient procedures, parameters of which are adjusted by means of the Takagi-Sugeno fuzzy logical inference method. A feature of the developed procedures for estimating characteristics high-speed traffic of multi-service communication networks is that they allow to take into account dynamics change parameters of network traffic. The proposed method and algorithm belong to a class of adaptive methods and algorithms with pre-learning. Average relative error of estimated traffic parameters estimation does not exceed 10%, which is sufficient value for implementation of operational network control tasks. The procedure of detecting abnormal traffic behavior of the high-speed multi-service communication network in operation is implemented on the basis of the Mamdani fuzzy logic inference method, in which intervals of traffic parameters state are determined on the basis of the adopted security policy in the network. The study of the proposed method of detecting abnormal behavior of network traffic showed its high efficiency.

REFERENCES

1. ITU-T Recommendation Y.2001. General overview of NGN. Geneva, 2004. 18 p.

2.ITU-T Recommendation G.1000. Communications quality of service: A framework and definitions. Geneva, 2001. 16 p.

3. Gol'dshtejn B.S., Sokolov N. A., Janovskij G. G. Setisvjazi [Telecommunication Networks]. St. Petersburg: BHV St. Petersburg, 2011. 400 p. (In Russian).

4. IS0/IEC27001:2005. Information technology. Security techniques. Information security management Systems. Requirements. 2005. 34 p.

5. Simonina O. A. Modeli rascheta pokazateley QoS v setyakh sleduyushchego pokoleniya [Models of calculation of indicators Qosv networks of the next generation: dis. ... candidate of technical Sciences]. St. Petersburg, 2005. 132 p. (In Russian)

6. Sheluhin O. I., Osin A. V., Smol'skij S. M. Samopodobie I fraktaly. Telekommunikacionnye prilozhenija [Self-similarity and fractals. Telecommunication application]. Moscow: Fizmatlit Publ., 2008. 368 p. (In Russian)

7. Sheluhin O. I., Sakalema D. Zh., Filinova A. S. Obnaruzhenie vtorzhenij v komp'juternye seti (setevye anomalii) [Intrusion detection in computer networks (network anomalies)]. Moscow: Goryachaya liniya - Telekom, 2013. 220 p. (In Russian)

8. Ageev S. A., Saenko I. B., Kotenko I. V. Method and Algorithms of Anomaly Detection in Multiservice Network Traffic based on Fuzzy Logical Inference. Informatsionno-upravliaiushchie sistemy [Information and Control Systems]. 2018. No. 3. Pp. 61-68. doi:10.15217/issn1684-8853.2018.3.61 (In Russian)

9. Pugachev V. S. Obobshchenie teorii uslovno optimal'nogo ocenivaniya I ekstrapolyacii [Generalization of the theory of conditionally optimal estimation and extrapolation]. Doklady AN SSSR [Report at an Academy of Sciences of the USSR]. 1982. T. 262. No. 3. Pp. 535-538. (In Russian)

10. Pugachev V. S. onditionally optimal filtering and extrapolation of continuous processes. Automation and Remote Control. 1984. Vol. 45. No. 2. Pp. 212-218.

11. Polyak B. T., Tsypkin Ja. Z. Pseudogradient adaptation and learning algorithms. Automation and Remote Control. 1973. Vol. 34. No. 3. Pp. 377-397.

12. Polyak B. T., Tsypkin Ja. Z. Optimal pseudogradient adaptation algorithms. Automation and Remote Control. 1980. Vol. 41. No. 8. Pp. 1101-1110.

13. Granichin O. N. Randomizirovannye algoritmy optimizacii I ocenivanija pri pocht iproizvol'nyh pomehah [Randomized algorithms of optimization and estimation in case of almost arbitrary interference]. Moscow: Nauka, 2003. 291 p. (In Russian)

14. Takagi, T., Sugeno, M.: Fuzzy Identification of Systems and Its Applications to Modeling and Control. IEEE Transactions on systems, man, and cybernetics. 1985. Vol. SMC-15. No.1. Pp. 116-132.

15. Piegat A. Fuzzy Modeling and Control. New York: Physica-Verl., 2001. 712 p.

16. Intel. URL: https://www.intel.com/content/www/us/en/products/ programmable.html (date of access 10.06.2019).

17. Xilinx. URL: http:// www.xilinx.com (date of access10.06.2019).

18. OpenCores. URL: http://opencores.org/projects (date of access 10.06.2019).

INFORMATION ABOUT AUTHORS:

Ageev S.A., PhD, Docent, Head of Department of the Radioavionica JSC. Gladkikh A.A., PhD, Full Professor, Professor of the Ulyanovsk State Technical University.

Kurnosov V.I., PhD, Full Professor, Deputy General Director of JSC "Research Institute "Pubin".

Privalov A.A., PhD, Full Professor, Professor of the Emperor Alexander I St. Petersburg State Transport University.

For citation: Ageev S.A., Gladkikh A.A., Kurnosov V.I., Privalov A.A. Adaptive method of detecting traffic anomalies in high-speed multiservice communication networks. H&ES Research. 2019. Vol. 11. No. 5. Pp. 4-13. doi: 10.24411/2409-5419-2018-10282 (In Russian)