CC BY
0
УДК 004.056
АСПЕКТЫ ИСПОЛЬЗОВАНИЯ ВЕЙВЛЕТ-АИАЛИЗА В ОБНАРУЖЕНИИ
АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ
*
В. А. Фомичева Научный руководитель - Н. Ю. Паротькин
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газеты «Красноярский рабочий», 31
E-mail: nelli.korneeva53@mail.ru
Рассматриваются различные методы обнаружения сетевых атак. Основное внимание уделяется рассмотрению работ, посвященных методу вейвлет-анализа для обнаружения аномалии в сетевом трафике. Внедрение вейвлет-анализа в существующие системы мониторинга сетевого трафика.
Ключевые слова: вейвлет-анализ, атака, сетевая безопасность.
ASPECTS OF USING WAVELET ANALYSIS IN DETECTING ANOMALIES IN
NETWORK TRAFFIC
*
V. A. Fomicheva Scientific Supervisor - N. Y. Parotkin
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation E-mail: nelli.korneeva53@mail.ru
This article discusses various methods for detecting network attacks. The main attention is paid to the works devoted to the method of wavelet analysis for detecting anomalies in network traffic. The introduction of wavelet analysis in the existing system of monitoring network traffic.
Keywords: wavelet analysis, attack, network security.
Введение. Согласно документу ФСТЭК [1] требование к обнаружению атак является обязательным, и должны быть реализованы соответствующие методы обнаружения вторжений в сеть для обнаружения аномальной активности сетевого трафика.
В данной статье рассматривается использование метода обнаружения аномалий на основе вейвлет-анализа, т.к. этот метод характеризуется меньшей ресурсоемкостью и большей эффективностью по сравнению с другими методами обнаружения аномалий, а также имеют возможность работать почти в оперативном режиме [4].
Цель данной статьи - усилить механизм обнаружения вторжений путём использования метода вейвлет-анализа для поиска аномальной сетевой активности.
Классификация сетевых аномалий. Сетевой трафик - это объем данных, перемещающихся по сети в определенный момент времени. Сетевые данные инкапсулируются в сетевые пакеты, которые обеспечивают нагрузку в сети.
Сетевой трафик обладает характеристиками, с помощью которых отслеживают аномалии сетевого трафика. Под аномалией понимаются любые отклонения исследуемых характеристик сетевого трафика от заданных эталонных характеристик. К таким характеристикам относятся [2]:
Секция «Информационнаябезопасность»
1) подозрительный трафик от известного адресата/к известному адресату, т.е. либо сообщения на электронную почту с рассылкой со словами «резюме» или «поиск работы», либо работа по неожидаемому протоколу от данного пользователя;
2) подозрительный трафик независимо от адресата, т.е. либо появление в сети адресов, не принадлежащих данной сети, либо работа по незафиксированным ранее протоколам;
3) дата и время, т.е. либо фиксация передачи сетевого трафика в нерабочее время, либо в выходные или праздничные дни, либо слишком долгий по времени отклик от какого-либо компонента сетевого взаимодействия;
4) местоположение, т.е. либо вход в систему с другого устройства, ранее не зафиксированного в системе, либо смена географического положения точки входа в сеть;
5) системные ресурсы, т.е. либо определение непредвиденной загрузки какого-либо компонента в сети, либо определение обращений к системному ресурсу, который ранее не использовался или не должен использоваться в данный момент времени;
6) запросы сервисов и услуг, т.е. либо определение сервисов и услуг, которые ранее не использовались и не нужны для выполнения работы, либо выполнение запросов к файлам или посылка и прием электронной почты по определенным адресам;
Методы обнаружения атак. Общепринятая классификация обнаружения атак по способам выявления атак включает методы обнаружения аномалий и методы обнаружения злоупотреблений [3].
Системы обнаружения злоупотреблений определяют, что идет не так, как должно. Они содержат описания атак («сигнатуры») и ищут соответствие этим описаниям в проверяемом потоке данных, с целью обнаружить проявление известной атаки. Хоть обнаружение злоупотреблений полностью эффективно при обнаружении известных атак, оно бесполезно при столкновении с неизвестными или новыми формами атак, для которых сигнатуры еще не доступны. Кроме того, для известных атак трудно определить сигнатуру, которая охватывает все возможные варианты атаки [3].
Обнаружение аномалий использует модели предполагаемого поведения пользователей и приложений, интерпретируя отклонение от «нормального» поведения как потенциальное нарушение защиты. Система предполагает сначала создание базовой модели, которая представляет нормальное поведение системы и на фоне которой можно выделить аномальные события, а затем система анализирует событие, рассматривая его в рамках этой модели и классифицируя его как аномальное или нормальное, в зависимости от того, попадает ли оно в определенный порог диапазона нормального поведения.
Вейвлет-аналнз для обнаружения аномалий в сетевом трафике. Среди методов обнаружения атак, основанных на обнаружении аномалий, выделятся метод вейвлет-анализа, основывающийся на построении коэффициентов, используемых в разложении исходного сигнала по базисным функциям, в результате анализа которых происходит выявление аномального поведения.
Существует множество работ, посвященных рассмотрению метода вейвлет-анализа для обнаружения аномалий в сетевом трафике. Так, в [4] рассматривается метод дискретного вейвлет-разложения трафика и статистические алгоритмы обработки сетевого трафика на основе критерия Фишера для выявления Dos-атаки Neptune. Для обнаружения аномалий, выражающихся в изменении дисперсии, авторы предлагают использовать критерий Фишера для дисперсий, а для обнаружения изменений величины среднего значения - критерий Фишера для средних значений. В результате авторы показали, что применение дискретного вейвлет-анализа позволяет обнаружить аномалию сетевого трафика, представляющую собой типичную Dos-атаку на всех уровнях разложения при применении критерия Фишера.
В [5] для обнаружения аномалий сетевого трафика рассматривается метод дискретного вейвлет-преобразования с использованием статистических алгоритмов критерия Фишера и Кохрана с применением 2 скользящих окон для высокой эффективности обнаружения
аномалий и для минимизации количества ложных срабатываний. В качестве анализируемого трафика выбран набор данных, собранный на граничных маршрутизаторах Линкольнской Лаборатории. В результате работа показывает эффективность применения дискретного вейвлет-преобразования с использованием критериев Фишера и Кохрана для поиска аномалий, представляющих собой Dos-атаку, причём указывает на преимущества критерия Фишера над критерием Кохрана.
В [6] рассматривается обнаружение аномалий сетевого трафика путём дискретного вейвлет-разложения и статистическим критериям. В качестве исходных данных для исследования взят сетевой трафик DARPA, снятый с пограничного маршрутизатора. Для анализа сетевого трафика применятся техника скользящих окон. В качестве базисных вейвлетов используются вейвлеты Хаара и Добеши. В результате сетевой трафик был проанализирован на выявление атак, таких как: Flash-crowd, Flash-crowd attack, Icmpflooding, icmp-flooding, Smurf, Synflooding, Udpstorm и доказана эффективность вейвлет-анализа для поиска аномалий.
Выводы. Исходя из рассмотренных работ, делаем вывод, что методы обнаружения аномалий, основанные на вейвлет-преобразованиях, являются актуальными и эффективными для и могут быть использованы в существующих средствах мониторинга, например, для инструмента Kibana. Реализация разнообразного инструментария для анализа трафика в этой открытой и распространённой системе позволит повысить эффективность деятельности по защите информации и предоставить большее разнообразие инструментария для первичного анализа данных кроме обычных статистических графиков.
Библиографические ссылки
1. Информационное письмо об утверждении требований к системам обнаружения вторжений ФСТЭК России [Электронный ресурс] URL: https://fstec.ru/normotvorcheskaya/ poisk-po-dokumentam/118-tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/ prikazy/394-informatsionnoe-pismo-fstek-rossii
2. Лукацкий А.В, Обнаружение атак [Электронный ресурс] URL: https://en.booksee.org/ book/1354666
3. Ghorbani A.A., Lu W., Tavallaee M. Network Intrusion Detection and Prevention: Concepts and Techniques [Электронный ресурс] URL: https://www.researchgate.net/publication/ 220696406_Network_Intrusion_Detection_and_Prevention_-_Concepts_and_Techniques
4. Шелухин О.И., Панкрушин А.П., Оценка достоверности обнаружения аномалий сетевого трафика методами дискретного вейвлет-анализа [Электронный ресурс] URL: https://cyberleninka.ru/article/n/otsenka-dostovernosti-obnaruzheniya-anomaliy-setevogo-trafika-metodami-diskretnogo-veyvlet-analiza
5. Шелухин О.И., Обнаружение Dos вейвлет-анализа [Электронный ресурс] URL: https://cyberleninka.ru/article/n/obnaruzhenie-dos-i-ddos-atak-metodom-diskretnogo-veyvlet-analiza
6. Шелухин О.И., Сравнительный анализ алгоритмов обнаружения аномалий трафика методами дискретного вейвлет-анализа [Электронный ресурс] URL: https://cyberleninka.ru/ article/n/sravnitelnyy-analiz-algoritmov-obnaruzheniya-anomaliy-trafika-metodami-diskretnogo-veyvlet-analiza.
© Фомичева В. А., 2020
