Анализ изменений фрактальных свойств телекоммуникационного трафика вызванных аномальными вторжениями Текст научной статьи по специальности «Компьютерные и информационные науки»

Анализ изменений фрактальных свойств телекоммуникационного трафика вызванных аномальными вторжениями

Современные способы обнаружения атак и иных аномалий в сети не достаточно надежны, в частности из-за недостоверного определения момента атаки благодаря чему злоумышленник с легкостью может внести ошибки в работу системы, тем самым выведя ее из строя при помощи ОООБ атак. Фрактальный анализ трафика позволяет выявлять несвойственные для обычного трафика пакеты и своевременно блокировать атаку. Для этой задачи в работе предлагается использовать методы фрактального анализа наблюдаемой реализации трафика на сетевом уровне. Исследование фрактальных методов анализа [2] направлено на выявление несвойственных для обычного трафика структурных особенностей, вызванных аномальными изменениями и своевременно блокировать атаку. На основе программного пакета математического моделирования МДИДБ с помощью алгоритма оценки показателя Херста, характеризующего фрактальную размерность, исследовались реализации трафика подверженные аномальным вторжениям в виде ОООБ атак: ЮМР-Ноо^пд и иРЮЗопп. Проведенные исследования показали, что трафик обладает свойством самоподобия как до так и во время аномального изменения, что свидетельствует о возможности определения, в автоматическом режиме, возникшей аномалии в сети. Исследуемый алгоритм автоматического определения показателя Херста, построенный на основе вейвлет-декомпозиции анализируемого трафика позволяет оценивать показатель Херста на всех уровнях разложения. Автоматическое определение промежутка октав с долговременной зависимостью трафика позволяет перейти к рекуррентным алгоритмам поиска таких оценок. Наибольший интерес представляет трафик, представленный на больших временных масштабах времени. Показано, что достаточное количество уровней разложения для оценки фрактальной размерности трафика, как правило, лежит в диапазоне от 5 до 15 октав. Исследования показывают, что именно на этом интервале и следует определять значение показателя Херста. Во время появления аномальных выбросов трафика наблюдается скачек фрактальной размерности, что может использоваться в качестве индикатора аномальных выбросов трафика. Полученный в результате исследований итерационный трафик зависимости показателя Херста от текущего времени демонстрирует возможности фрактального подхода для обнаружения вторжений в компьютерные сети на ранней стадии в режиме реального времени.

Шелухин О.И.,

д.т.н., профессор Зав. кафедрой "Информационная безопасность и автоматизация" МТУСИ, sheluhin@mail.iv

Антонян А.А.,

аспирант кафедры "Информационная безопасность и автоматизация"

МТУСИ, rulk@ya.ru

Постановка задачи

При решении задач, связанных с диагностикой и защитой сетевых ресурсов, центральным вопросом является оперативное обнаружение состояний сети, приводящих к потере полной или частичной ее работоспособности, уничтожению, искажению или утечке информации, являющихся следствием отказов, сбоев случайного характера или результатом получения злоумышленником несанкционированного доступа к сетевым ресурсам, проникновения сетевых червей, вирусов и других угроз информационной безопасности [1].

Раннее обнаружение таких состояний позволит своевременно устранить их причину, а также предотвратит возможные катастрофические последствия.

Для их обнаружения используется большой спектр специализированных систем. Характерными особенностями использования этих систем является либо их периодическое и кратковременное применение для решения определенной проблемы, либо постоянное использование, но с довольно статическими настройками. Современные способы обнаружения атак и иных аномалий в сети не достаточно надёжны, в частности из-за недостоверного определения момента атаки.

Исследование фрактальных методов анализа [2] направлено на выявление несвойственных для обычного трафика структурных особенностей, вызванных аномальными изменениями и своевременно блокировать агаку.

Для этой задачи в работе предлагается использовать методы фрактального анализа наблюдаемой реализации трафика на сетевом уровне.

Анализ базы данных

В качестве исходных данных были взяты наборы данных [3,4], представляющие собой сетевой трафик, собранный на пограничном маршрутизаторе сети. В качестве примера рассмотрим сетевой график, содержащий две аномалии. Захват трафика проводился в течение 32 минут, время агрегирования пакетов — 0,01. Первая аномалия типа ICMP-Flooding длительностью около 5 минут зафиксирована через 10 минут после начала захвата пакетов. Вторая аномалия типа 1ШР-БШгт длительностью около 5 минут зафиксирована через 25 минут после начала захвата пакетов. На рис. 1 представлен общий вид трафика, а также отмечены начало и конец каждой атаки, а в табл. 1 представлено детальное описания времени в которое происходили указанные события.

і а а а ш ив ш

Рис. I. Спектральным рисунок трафика

Таблица 1

Описание событий графика_________________

Событие Время Номер записи

Начало захвата трафика 18:55 13 1

Начало первой атаки 19:05 14 60136

Конец первой атаки 19:10 16 90255

Начало второй атаки 19:20 15 150696

Конец второй атаки 19:25 14 174715

Конец захвата трафика 19:30 14 210322

Ключевые слова: фрактальное обнаружение, показатель Херста, аномальные вторжения, вейвлет анализ, математическое моделирование в Ма1аЬ.

Постановка задачи.

Современные исследования трафиковых измерений, проведённые с высоким разрешением в большом количестве реальных телекоммуникационных сетей, доказывают, что сетевой трафик является самоподобным, или фрактальным, по структуре, т.е. пульсирующим в широких пределах временного масштаба [2]. Фрактальность трафика характеризуется показателем Херста. Современные цифровые методы оценки показателя Херста базируются на использовании вейвлет — анализа [5,6,71. Вейвлет-анализ выполняется путем разложения выборки Х(1): {х(/0), ,г(/|),...д(Уу-|)! объема

п° = ~, (п»<М) на функции детализации различного масштаба. Здесь У„,ах= [log-.iV] - максимальное число масштабов разложения; [1о§2Лг| - целая часть числа [1о§2Лг].

Значение индекса масштаба у=0 соответствует случаю максимазьного разрешения - самой точной аппроксимации, которая равна исходному ряду Л"(/), состоящему из пп отсчетов. С увеличением / (0</<./|„а\) происходит переход к более грубому разрешению.

В соответствии с положениями вейвлет-анализа известно, что при заданных скейлинг-функции <р и материнском-вейвлете у временной ряд Х(1) может быть представлен в виде

J

*(»=*,(/)+£ 0,(0

У-1

*/(') = X

где *-° - функция начальной аппроксимации, соответствующая масштабу ./(,/<>/пих); я-л* _

масштабный коэффициент аппроксимации, равный скалярному произведению исходного ряда У(Г) и масштабной функции «самого грубого» масштаба J, смещенной на к единиц масштаба вправо от начата координат;

°у<')“ X л)■<№у.*(О

*=° - функция детализации /-го масшта-

ба, м ~ ХЦЩд)_ детализирующий вейвлет-коэффициент масштаба /, равный скалярному произведению исходного ряда Х(1) и вейвлета масштаба j, смещенною на к единиц масштаба вправо от начала координат.

Материнский вейвлет 1/1(1) можно представить в виде полосового фильтра с граничными частотами (0\ и ль, которые являются соответственно нижней и верхней отсечками частоты для 1)1(1). В результате коэффициенты деталей с/ц можно рассматривать как процесс на выходе полосового фильтра. Квадрат процесса деталей </),* грубо измеряет энергию около момента времени / = 2/кА и частоты 2'7 <аь, где А -принятый единичный интервал времени; соп= (со\+(1ь)/2.

Дисперсии процессов деталей ^ на всех масштабах {2/} (когда такие процессы являются стационарными) - это характеристики 2-го порядка процесса Х(1), которые определяют вид «вейвлет-спектра». Пусть Х(1) будет стационарным в широком смысле процессом. Тогда его вейвлет-коэффициенты 4.* могут быть найдены из уравнения

где /(А) и Ч'(Я) - спектр мощности для V и преобразование

Фурье для вейвлет-функции ^ * соответственно.

На основании (I) получаем

Щл2}-2*иМ)суСи1.щЬ)

(2)

где С(Н, \|/) -постоянная, зависящая от Н и ,//о .

Если длина выборки V равна я, тогда доступное число вейвлет-коэффициентов в октаве у равно я; = 2~]п. В результате получим выражение

= I2

У *=| ,

Величина у/, является несмещенной и состоятельной оценкой ДЛЯ М[с1ц {].

Формула (2) описывает возможный способ оценки показателя Херста ДВЗ-процессов в виде зависимости

•вЬ/{г &Н 0/+* =а/ + с’, где с = согШ.

Это означает, что, если У(1) является ДВЗ с показателем Херста Н, то график зависимости ^:(//у) от у, называемый логарифмической диаграммой (Ы)), имеет линейный наклон 2Н-1, и масштабный показатель а = (2/У - 1) может быть получен путем оценки наклона графика функции 1о§2(//,) от у.

Можно найти взвешенную оценку ® для а на интервазе

[/.;У2] [10]:

“ = г = Иу1уг } }

■У-5,

(552-5,-)<т- yJ = \o§:(fl|)-g(j)

где

Я, =^(я; /2)/1п2-1оц;(иу/2) _

V - 1 / У У-У| У=Л У-Л

* * * » <т) = 2/(иу 1п2 2) „

, я, — число коэффициентов-деталеи на соответствующем уровне разложения (/).

При практическом использовании изложенной процедуры оценки показателя Херста должна быть определена нижняя граница масштабирования [5].

Анализ программного обеспечения

В процессе разработки ПО «Вейвлет-анализ» использовался пакет прикладных программ «Ма1ЬаЬ» совместно с высокоуровневым языком программирования МАТЬАВ.

С помощью алгоритма, предложенного в [6], был произведен вейвлет-анализ на наличие самоподобной струкгуры анализируемого трафика. Анализировался результат в виде четырёх окон как это показано на рис. 2. На рис. 2,а представлен трафик с разрешением 0,1 с. На рис. 2,6 представлен результат работы алгоритма автоматического определения области масштабирования (сплошной линией показана «зона бысгрого роста», а пунктиром - «зона равновесия», точкой ♦ определены «границы раздела» между кратковременными и долговременными корреляциями в данных). При проведении обработки данных по всем доступным масштабам [2] показатель Херста подвержен кратковременным корреляциям, что уменьшает достоверность результата.

На рис. 2,в,г показаны логарифмические диаграммы полученных данных с аппроксимацией, выполненной с учетом выбранной области масштабирования.

Полученные графики показывают наличие двух масштабных областей, в которых выполнены оценки самоподобия. Наклон графиков на всех масштабах характеризуется масштабным показателем а = (2Н - 1).

іЧКМОадгат HO

Снгтааы

118

Доступно |.J5

Bw6oa*o М2

Goodnni on Ы 0

Scahna oaramatars aieha ШВЗ» I 5391

H ШВЗ fwwla) 0 7$%

H=h (h HoWarl -0 2304

dim ifaiofuaHI 3») 22301

путем анализа текущего значения показателя фрактальной размерности в режиме on-line.

Oclavt і

Salaction of Hart l***l и*аса*0*га* HO [(JrV^WX ма-вШ О-вОЧТИ)

1 S'

Октавы Вдамиых М8

Oocrvnw 1-15

Выбоаио 0-12

Goodntas о« ll ' 0167

Scaima oaramatafi aloha іДВЗ) 0 9643

Н ШВЗ г*м«а> 0 9821

H*h («а НсМаП -0 0178

0 (Vac 4m if atohaai(1.3N 2 0178

Octava і

Рис. 2. Вейвлет-анализ всего промежутка данных

Согласно [2] значение показателя Херста необходимо определять по рис. 2,г. Наибольший интерес представляет трафик, представленный на больших временных масштабах времени, значение / которого лежит в диапазоне от 5 до 15 октав в трафике. Исследования показывают, что именно на этом интервале и следует определять значение показателя Херста.

Анализ полученных результатов

Результаты детального изучения изменения значения Херста по событиям телекоммуникационного трафика рис. 1 сведены в табл. 2.

Таблица 2

Значения показателя Херста

Бсі атаки 1 ІСМР- flooding Бсі атаки 1 + 1СМР-flooding Беї атаки 2 UDP- attack Беї атаки 2 + UDP-attack Беї атаки 3 Сум- марное значе- ние

H=0,88 Н=0,72 Н=0,93 Н=0,87 Н=0,75 Н=<),89 Н=0,86 Н=0.98

У .

.і і ”. і ґ

іл 1 и L 11! 1 .1. і J . 1 . і

М'ііЧГ'ІГ’ " ріюимі PwwFW мн

Ы "1 В 1 \

'ННШіННІІ і f а < е 1 ■ s s s < * » £ s 5 5 А й * * іиш :Яаааг«в.

LJ

п

- _

-

„ ICMP-Flooding ■! ■ гп

~ттт iSllli § S3 л і §2 S вгя s і § І!іІ§іІіІ££іііЗ Зі

Рис. 3. Оценка фрактальных свойств в режиме реального времени

Выводы

Показано, что на всех анализируемых временных интервалах исследуемый трафик обладает самоподобными (фрактальными). Во время появления аномальных выбросов трафика наблюдается скачек фрактальной размерности, что может использоваться в качестве индикатора аномальных выбросов трафика. Показана возможность рекуррентной оценки показателя фрактальной размерности с помощью вейвлет-анализа в текущем окне, что демонстрирует возможности фрактального подхода для обнаружения вторжений в компьютерные сети в режиме реального времени.

Анализ данных приведенных в таблице показывает, что на всех анализируемых временных интервалах исследуемый трафик обладает самоподобными (фрактальными) свойствами, поскольку показатель Херста лежит в интервале (0,5... 1,0). Во время появления ООБ-атак обоих видов наблюдается скачек фрактальной размерности, что может использоваться в качестве индикатора аномальных выбросов трафика.

Недостатком представленного способа оценки фрактальной размерности следует считать его интегральный характер, при котором для нахождения показателя Херсга следует обрабатывать весь накопленный за определенный интервал трафик. Для получения рекуррентных оценок анализируемая трасса была разделена на определенное количество интервалов и в результате получен график, более детально демонстрирующий изменение значения Херста с появлением аномалий в сети. Количество анализируемых интервалов анализа определяется размером скользящего окна и шагом его смещения. На рис. 3 представлен результат подобного скользящего анализа для случая, когда положение окна анализа размером 10000 точек меняется скачком с шагом равным размеру окна. Рекуррентный способ оценки позволяет перейти к задаче обнаружения аномальных выбросов трафика

Литература

1. Шелухин О.И., Сакалема Д.Ж., Филипова А.С. Обнаружение вторжений в компьютерные сети. Сетевые аномалии. - М: Горячая линия - телеком, 2013. - 220 с.

2. Шелухин О.И. Мультифракталы. Информационные приложения. - М: Горячая линия -Телеком, 2011. — 314 с.

3. Образцы сетевого трафика, включающие аномалии. http://www.ll.mit.ed u/mission/communications/ist/corpora/ideval/data/i ndex.html 20.01.14.

4. DARPA Intrusion Detection Evaluation. Intrusion Detection Attacks Database http://www.ll.mit.edu/mission/cornmunications/ist/ cor-pora/ideval/docs/attackDB.html 23.01.14.

5. Шелухин О.И.. Осин А.В.. Ахметшин P.P. Оценка самоподоб-ности речевого трафика вейвлет методом // Электротехнические и информационные комплексы и системы, 2007. -№1.-Т.З.

6. Rouglian М., Veitch D„ Abry P. Real-Time Estimation of the Parameters of Long-Range Dependence IEEE/ACM Transactions on Networking, Vol. 8, No. 4, August 2000., pp. 467-478.

7. Veitch D.. Abry P., “Awavelet based joint estimator of the parameters of long-range dependence,” IEEE Trans. Inform. Theory-Special Issue on Multiscale Statistical Signal Analysis and Its Applications, vol. 45, no. 3, Apr. 1999.

Analysis of changes in the fractal properties of telecommunication traffic caused by abnormal invasions

Oleg I. Sheluhin, professor, Department of Information Security Moscow Technical Univ of Communication & Informatics, Moscow, Russia, sheluhin@mail.ru Artem A. Antonyan, Department of Information Security Moscow Technical Univ. of Communication & Informatics, Moscow, Russia, rulk@ya.ru

Abstract

Modern methods for detecting attacks and other anomalies in the network is not reliable enough , particularly because of the incomplete definition of the moment of attack whereby an attacker can easily introduce errors into the system , thereby bringing it fails using DDOS attacks. Fractal analysis can detect unusual traffic to normal traffic packets and promptly block the attack. For this problem, we propose to use the methods of fractal analysis of the implementation of the observed traffic at the network level. The study of fractal analysis methods [2] aimed at identifying unusual for normal traffic structural features caused by abnormal changes and block the attack. On the basis of mathematical modeling software package MATLAB using the algorithm estimates the Hurst exponent characterizing the fractal dimension, examined the implementation of traffic subject to abnormal invasions as DDOS attacks: ICMP-Flooding and UPD-Storm. Studies have shown that the traffic is self-similar both before and during abnormal change, indicating the possibility of determining, in automatic mode, the anomaly occurred in the network. The algorithm in automatic determination of the Hurst exponent, built based on the wavelet decomposition of the analyzed traffic allows to estimate the Hurst exponent at all levels of decomposition. Automatic detection interval octaves long dependence traffic you can go to the recurrence search algorithms such assessments. Of greatest interest is the traffic presented at the long time scales of time. It has been shown that sufficient levels of degradation to estimate the fractal dimension of the traffic usually ranges from 5 to 15 octaves. Studies show that at this range should determine the value of the Hurst exponent. The resulting graph of the iterative research Hurst exponent of the current time demonstrates the capabilities of the fractal approach for detecting intrusions into computer networks at an early stage in on-line mode. Keywords: fractal detection, abnormal invasion, Hurst exponent, wavelet analysis, mathematical modeling in MATLAB.

References

1. Sheluhin O.I., Sakalema D.Zh., Filinova AS. 2013 'Obnaruzhenie vtorzhenii v komputernie seti', Setevie anomalii. Мoscow, p. 220.

2. Sheluhin O.I. 2011 'Multifraktali. Infarmacionnie prilozheniya' Мoscow, p. 314.

3. Obrazci setevogo trafika, vkluchushie anomalii. <http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html.

4. DARPA Intrusion Detection Evaluation. Intrusion Detection Attacks Database <http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/docs/ attackDB.html.

5. Sheluhin O.I., Osin AV., Ahmetshin R.R. 2007 'Ocenka samopodobnosti rechevogo trafika veivlet metodom', Elektricheskie i informacionnie kompleksi I sis-temi, No1, vol. 3.

6. Roughan M, Veitch D, Abry P August 2000. 'Real-Time Estimation of the Parameters of Long-Range Dependence' IEEE/ACM Transactions on Networking, Vol. 8, No. 4, pp. 467-478.

7. Veitch D, Abry P., Apr. 1999, 'Awavelet based joint estimator of the parameters of long-range dependence,' IEEE Trans. Inform. Theory-Special Issue on Multiscale Statistical Signal Analysis and Its Applications, vol. 45, No. 3.