ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ВЕЙВЛЕТ-АНАЛИЗА НА ТЕСТОВОМ СЕТЕВОМ ТРАФИКЕ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

ИССЛЕДОВАНИЕ ЭФФЕКТИВНОСТИ ВЕЙВЛЕТ-АНАЛИЗА НА ТЕСТОВОМ

СЕТЕВОМ ТРАФИКЕ

В. А. Фомичева, Н.Ю. Паротькин

Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева, Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31

e-mail: nelli.korneeva53@mail.ru

Основное внимание уделяется проверке эффективности применения вейвлет-анализа для исследования сетевого трафика на проверку аномального поведения и отклонения от нормального.

Ключевые слова: вейвлет-анализ, атака, сетевая безопасность.

INVESTIGATION OF THE EFFECTIVENESS OF WAVELET ANALYSIS ON TEST

NETWORK TRAFFIC

V.A. Fomicheva, N.Y. Parotkin

Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation e-mail: nelli.korneeva53@mail.ru

The main focus is on testing the effectiveness of using wavelet analysis to study network traffic to check for abnormal behavior and deviations from normal.

Keywords: wavelet analysis, attack, network security.

Введение. Сетевая безопасность сегодня является актуальной проблемой для всех, кто обрабатывает данные в компьютерных сетях. Злоумышленники пытаются получить несанкционированный доступ к сетевым ресурсам, тем самым нарушают целостность, конфиденциальность и доступность данных. В данной статье рассматривается использование метода обнаружения аномалий на основе вейвлет-анализа, с помощью которого можно проверить нормальный или аномальный трафик передается по сети.

Вейвлет-анализ. Вейвлет-анализ привлек внимание своей способностью анализировать быстро меняющиеся переходные сигналы. Любое приложение, использующее преобразование Фурье, может быть сформулировано с использованием вейвлетов для получения более точной локализованной временной и частотной информации. Таким образом, вейвлет-анализ также может быть использован для анализа сетевого трафика с целью выявления отклонений от его нормального поведения.

Структура и состав набора данных NSL-KDD dataset. NSL-KDD dataset - наиболее известный и широко используемый набор данных для экспериментов по обнаружению аномалий в компьютерных сетях. В данном наборе данных собраны параметры, описывающие сетевые соединения, которые можно разделить на четыре группы [1]:

1) данные TCP-соединения - получаются из заголовка пакета, без изучения содержимого пакета (длительность, тип протокола, служба, флаг и количество байтов, отправленных от источника к получателю и наоборот);

(Секция «Информационная безопасность»

2) данные домена - определяются путем анализа содержимого TCP-пакета (количество неудачных попыток входа в систему);

3) данные, посчитанные в 2-х секундном окне - определяют длительность соединения от исходного IP-адреса до целевых IP-адресов. Соединение представляет собой последовательность пакетов данных, начинающихся и заканчивающихся в определенное заранее заданное время;

4) данные, посчитанные в 100-секундном окне - имеет интервал заданного количества соединений (не временные интервалы). Это подходит для описания атак, которые длятся дольше, чем интервал заданных временных признаков.

Все атаки в наборе данных KDD классифицируются как одна из четырех категорий атак, из которых: Probe, Dos, U2R, R2L. В рамках данной статьи остановимся на рассмотрении Dos-атак.

Dos-атака - это агрессивное внешнее воздействие на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа [2]. Под отказом мы понимаем не физический выход машины из строя, а недоступность ее ресурсов для добросовестных пользователей - в отказ системы в их обслуживании.

Тестирование вейвлет-анализа на NSL-KDD dataset. Для анализа сетевого трафика были выбраны следующие параметры:

1) src_bytes - количество исходящих байт (источник -> назначение);

2) dst_bytes - количество входящих байт (назначение - > источник);

3) count - количество подключений на один хост в рамках текущей сессии за последние 2 секунды;

4) srv_count - количество подключений к одному сервису в рамках текущей сессии за последние 2 секунды.

Для каждого параметра из базы NSL-KDD dataset с помощью Matlab wavelet toolbox были построены графики нормального и аномального трафика в зависимости от типа протокола (TCP, ICMP, UDP).

Так, для параметров «количество подключений на один хост в рамках текущей сессии за последние 2 секунды» и «количество подключений к одному сервису в рамках текущей сессии за последние 2 секунды» были построены графики без аномалий и с аномалией Neptune на основе вейвлетов Хаара и Койфмана (Рис. 1, Рис. 2).

à„ »

Рис. 1. Графики трафика без аномалий и с аномалиями вейвлет Хаара

Рис. 2. Графики трафика без аномалий и с аномалиями вейвлет Койфмана

Таким образом, проанализировав построенные графики без аномалий и с аномалиями сетевого трафика, оценили, что на графиках с аномалиями количество частот для всех выбранных значений повышается, что наглядно видно при рассмотрении коэффициентов детализации на разных уровнях разложения. Отдельные элементы позволяют отличать на отдельных отрезках трафика с интервалами отсчёта в 2,10-секунд с общим интервалом 300 секунд и с лагом в 5-10 минут позволяют визуально наблюдать по соответствующим параметрам оператору наличие аномалий в существующем трафике.

Выводы. В данной статье рассмотрена база данных NSL-KDD dataset, содержащая в себе одиночные соединения сетевого трафика. Для сетевого трафика были построены графики трафика без аномалий и с аномалиями, с помощью разных вейвлетов на разных уровнях разложения были исследованы особенности сетевого трафика. Исходя из полученных результатов, был сделан вывод, что рассмотренные анализаторы трафика можно применять ко всем существующим средствам обнаружения аномалий в качестве средства обработки информации, т.к. происходит анализ рассматриваемых компонент сетевого трафика на наличие аномалий.

Таким образом, применение метода вейвлет-анализа является актуальным и эффективным для поиска аномалий сетевого трафика.

Библиографические ссылки

1. Review of KDD Cup '99 [Электронный ресурс] URL: https://www.researchgate.net/publication/326000849 Review of KDD Cup '99 NSL-

KDD and Kyoto 2006 datasets

2. Атаки DoS и DDoS. [Электронный ресурс] URL: https://safe-surf.ru/users-of/article/331/

3. Информационное письмо об утверждении требований к системам обнаружения вторжений ФСТЭК России [Электронный ресурс] URL: https://fstec.ru/normotvorcheskaya/poisk-po-dokumentam/118-tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/prikazy/394-informatsionnoe-pismo-fstek-rossii

4. Лукацкий А.В, Обнаружение атак [Электронный ресурс] URL: https://en.booksee.org/book/1354666

© Фомичева В. А., Паротькин Н. Ю., 2021