CC BY
97
doi: 10.36724/2409-5419-2022-14-3-25-31
МЕТОД ВЫЯВЛЕНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ
ПЕРОВ
Роман Александрович1 ЛАУТА
Олег Сергеевич2 КРИБЕЛЬ
Александр Михайлович3 ФЕДУЛОВ
Юрий Владимирович4
Сведения об авторах:
1 адъюнкт 32 кафедры Военной академии связи имени маршала Советского союза С.М. Буденного, Санкт-Петербург, Россия, roma.perov@list.ru
2 профессор кафедры Государственного университета морского и речного флота им. адмирала С.О. Макарова (ГУМРФ), д.т.н., Санкт-Петербург, Россия, laos-82@yandex.ru
АННОТАЦИЯ
Введение. Компьютерные сети (КС) представляют собой высокоразвитые системы с многоуровневой иерархической структурой. Использование в КС информационных и коммуникационных технологий для сбора информации позволяет злоумышленнику воздействовать на сети путем кибератак. Этому способствует массовое применение устаревших операционных систем, малоэффективных механизмов защиты и наличие множественных уязвимостей в незащищенных сетевых протоколах. Подобные уязвимости помогают потенциальному злоумышленнику изменять настройки сетевых устройств, прослушивать и перенаправлять трафик, блокировать сетевое взаимодействие и получать несанкционированный доступ к внутренним компонентам КС [1]. Воздействия кибератак приводит к появлению в КС аномальной активности трафика. Для ее постоянного мониторинга и обнаружения в КС необходимо учитывать наличие большого количества сетевых маршрутов, на которых периодически возникают резкие колебания задержки в передаче данных и большие потери пакетов, появляются новые свойства сетевого трафика, что требует обеспечения высокого качества обслуживания приложений. Все это послужило стимулом к поиску новых методов обнаружения и прогнозирования кибератак [2] - к их числу можно отнести и фрактальный анализ. Цель работы заключается в разработке концептуального метода выявления аномалий вызванные кибератаками в сетевом трафике за счет применения фрактального анализа. Используемые методы. Применены основные положений теории фракталов и использовании предлагаемых этой теорией методов оценки самоподобия, таких как расширенный тест Дики-Фул-лера, R/S анализ и метод DFA. При тестировании фрактальных методов, позволяющих проводить исследования долговременных зависимостей в трафике сети. Научная новизна заключается в том, что предложенный метод достаточно корректно определяет аномалии, вызванные воздействием кибератак, а также позволяет прогнозировать и обнаруживать, как известные, так и неизвестные компьютерные атаки, на раннем этапе их проявления. Практическая значимость. Представленная методика может применяться в качестве системы раннего обнаружения кибератак, основанная на обнаружении аномалий в сетевом трафике и принятии эффективных мероприятий по защите сети.
3 соискатель 32 кафедры Военной академии связи имени маршала Советского союза С.М. Буденного, Санкт-Петербург, Россия, nemo4ka74@gmail.com
4 соискатель АО "НИИ "Рубин", Санкт-Петербург, Россия, ksi-2016@yandex.ru
КЛЮЧЕВЫЕ СЛОВА: временной ряд, фрактальный анализ, фрактальная размерность, показатель Херста, показатель скейлинга, компьютерные сети, кибератаки.
Для цитирования: Перов Р.А., Лаута О.С., Крибель А.М., Федулов Ю.В. Метод выявления аномалий в сетевом трафике // Наукоемкие технологии в космических исследованиях Земли. 2022. Т. 14. № 3. С. 25-31. doi: 10.36724/2409-54192022-14-3-25-31
Общее описание метода выявления аномалий
Фрактальные свойства сетевого трафика были обнаружены несколько десятилетий назад: было установлено, что на больших масштабах он обладает свойством самоподобия, т.е. выглядит качественно одинаково при достаточно больших масштабах временной оси и проявляет долговременную [3].
Ключевой параметр фрактального анализа - показатель Херста (Я). Это мера, которую используют при анализе временных рядов. Чем больше задержка между двумя одинаковыми парами значений во временном ряду, тем меньше коэффициент Херста (показатель скейлинга). Для нахождения этого параметра необходимо знать, стационарен ли исследуемый процесс. От этого зависит выбор алгоритма для дальнейшего вычисления скейлинга [4, 5].
Таким образом, с целью обнаружения аномалий первоначально необходимо определить вид трафика - стационарный или нестационарный. Далее следует рассчитать показатель Херста (т.е. определить наличие в трафике свойства самоподобия). В заключение происходит обнаружение аномалий, которые вызваны воздействием кибератак.
К основным методам, позволяющим выполнить все эти этапы обнаружения кибертак, относятся расширенный тест Дики-Фуллера (Augmented Dickey-Fuller test, ADF), R/S-ана-лиз, а также алгоритм DFA (Detrended Fluctuation Analysis) [6].
С учетом вышеизложенного предлагаемый метод детектирования аномалий содержит два этапа:
1. На первом, вспомогательном, этапе производится анализ самоподобных свойств эталонного сетевого трафика. В эталонном трафике отсутствуют аномалии. В результате этого анализа определяется значение показателя Херста, соответствующее эталонному трафику. Этот этап можно назвать этапом обучения. Для определения значений показателя Херста используются рассмотренные выше методы тестирования Дики-Фуллера, R/S анализа и DFA.
2. На втором этапе, основном, производится анализ самоподобных свойств реального трафика, в котором могут существовать аномалии, вызванные воздействием кибератак. При этом также используются рассмотренные выше методы определения значений показателя Херста. В случае, если выявленное значение показателя Херста отличается от значения, полученного для эталонного трафика, принимается решение о наличии аномалий в реальном трафике, которые могут быть вызваны воздействием кибератак. Кроме того, на этом же этапе определяется минимальный размер группы пакетов, достаточный для точной оценки показателя самоподобия. Чем меньше размер этой группы, тем меньше времени требуется для детектирования аномалий.
Программная реализация предложенного метода выявления аномалий была выполнена на языке Python с использованием следующих библиотек и инструментов: Pandas, NumPy, Matplotlib и Jupiter Notebook. Библиотека Pandas обеспечивает работу с высокоуровневыми сводными таблицами, их группировку и другие манипуляции, а также легкий доступ к табличным данным. Библиотека NumPy является инструментом низкого уровня для работы с математическими
функциями высокого уровня, а также с многомерными массивами. Модуль Matplotlib предоставляет возможности формирования графиков на основе полученного набора данных. Jupiter Notebook служил фреймворком для проведения расчетов.
Продемонстрируем в качестве примера программной реализации предложенного подхода алгоритмы, описывающие два простейших метода, а именно ADF-тест и R/S-анализ. Алгоритм реализации DFA, как более сложный, имеет больший объем, однако все его особенности отражены в алгоритмах ADF-теста и R/S-анализа.
В этом сценарии процесс передачи пакетов сообщений является стационарным. Для генерации трафика применялось имитационное моделирование на основе программного обеспечения GNS3. В качестве реализуемых атак учитывались ки-бератаки типа DDoS и «сканирование сети и ее уязвимостей» [7-8]. При этом в наборе данных рассматривались структура трафика, длина заголовка пакета, флаги, контрольная сумма и некоторые другие.
Для проведения эксперимента были сформированы два датасета. Первый, включающий в себя эталонный трафик, использовался для обучения системы и анализа трафика без аномалий. Второй датасет, охватывающий кибератаки типа DDoS и «Сканирование сети и ее уязвимостей», применялся для проверки эффективности рассматриваемого метода и выявления его достоинств перед другими методами.
Для демонстрации возможности выявления самоподобия трафика КС сначала были смоделированы и исследованы несколько выборок, содержащих 1024 точек, распределенных по закону фрактального броуновского движения с различными значениями показателя Херста: 0.3, 0.5 и 0.8.
Многие исследователи [9-10] применяют R/S-анализ для нахождения показателя H в сетевом трафике. Однако R/S-ана-лиз дает большую погрешность: до 20-30% при анализе нестационарных процессов. Это говорит о нежелательности применения R/S-анализа [11]. Поэтому для нахождения показателя скейлинга в нестационарном трафике предлагается использовать метод DFA, а для нахождения H в стационарных процессах - как DFA, так и R/S-анализ.
Следует отметить, что при изменении H преследовалась цель получения как можно более разнообразного случайного сигнала - не похожего на предыдущий, для максимально полной проверки работоспособности алгоритмов, необходимой для выявления различных кибератак. Поэтому границы интервалов по оси Y не фиксировались. Изменение H в ходе имитации осуществлялось посредством программы Matplotlib. Затем выполнялся анализ самоподобия смоделированного сигнала с помощью рассмотренных выше алгоритмов оценки H. Найденное значение параметра H сравнивалось с эталонным. Только после проверки работоспособности алгоритмов делался переход к работе с реальным трафиком.
Первой исследовалась выборка с H = 0,8. На рис. 1, а приведена зависимость функции log F(n) (ось Y) от log n (ось X) для этого случая. Для построения линии регрессии применялся метод наименьших квадратов. При этом по оси X было выбрано 17 точек (scales) (обычно выбирается не менее 10 scales). Чем больше scales, тем выше точность. Однако
следует иметь в виду, что увеличение количества scales увеличивает время работы алгоритма.
Hlirst-B. 835
а)
Hurst=0.293
б)
Hurst=ß,496
II
é
Рис. 2. Зависимости длины пакета (а) и времени поступления пакета (б) от номера пакета сетевого трафика КС
Проведем дополнительный тест Дики-Фуллера для подтверждения нестационарности временного ряда. На рис. 3 показан результат такой проверки. Показан листинг кода, реализующего проверку, в среде Ма!р1оШЬ и результаты вычислений.
test = adf uller [ data [ ' Тше \],tolist[)) print!'adf: ', test[0]J print!"p-value: , test[l]) print!"Critical values: test[4]) if test [D]> test[4]Г 5V]:
printf1row is rot stationary, use DFA') else:
print('row is stationary, use R/S or DFA')
adf: 16.15784903748429 p-value: 1.0
Critical values: {'1%': -3.4369193380671, '5%': row is not stationary, use DFA
-2.B644403834525I7, 110%': -2.56831430323573}
В)
Рис. 1. Логарифмическая регрессия: а-Н = 0,8;б-Н = 0,3;в-Н = 0,5
Параметр H определяется по угловому коэффициенту линии регрессии - для рисунка 1 а, он показал значение 0,835. Это соответствует эталонному значению с небольшой погрешностью.
Следующим исследовалось значение H, равное 0,3. На рисунке 16, изображен результат расчета H для этого трафика с помощью алгоритма DFA. Видно, что DFA достаточно точно определил H как равный 0,3 (при округлении).
В завершение тестировался алгоритм DFA для показателя H, равного 0,5. С помощью алгоритма DFA был найден показатель скейлинга, равный 0,5 (рис. 1е).
Далее исследовалась эталонная выборка сетевого трафика для КС, содержащая 1000 tcp- и upd-пакетов (рис. 2). Выборка, смоделированная с помощью программного средства GNS3, представлена двумя графиками: на рисунке 2а по оси Y откладывается длина пакета, на рисунке 26 - время поступления пакета. По осиХдля обоих графиков откладывается номер пакета.
Рис. 3. Подтверждение нестационарности временного ряда
На рисунке 3 параметр а^ обозначает тестовое статистическое значение. Если это значение отрицательно и меньше критических значений при 1, 5 и 10%, нулевая гипотеза в тесте БРА отвергается, т.е. ряд является стационарным. В нашем случае статистическое значение равно 16,15. Оно положительно и, естественно, больше, чем критические значения при 1, 5 и 10%. Это означает, нулевая гипотеза не отклоняется. Временной ряд, в свою очередь, не является стационарным.
Так как ряд, представленный на рисунке 3, является нестационарным, воспользуемся алгоритмом БРА для анализа свойства самоподобия (рис. 4). Этот анализ показывает наличие во временном ряде свойства самоподобия с показателем Н= 1,0.
— гйдге«мг 11п«
Hurst=1.027
Рис. 4. Логарифмическая регрессия для временного ряда
Как указано выше, для нахождения показателя скейлинга в стационарных рядах можно использовать оба метода: R/S-ана-лиза и DFA. Протестируем их и сравним результаты (рис. 5).
Hjrst=0.721
г 2s
15 10
54 GO
деления на группы. Синей прямой линией на рисунке 6, обозначен порог, соответствующий границе белого шума (H = 0,5); здесь точки соответствуют номерам групп пакетов (всего 30 точек). Точки на рисунке 6, соответствуют scales (всего 12 точек). Как отмечено выше, количество scales влияет на точность и длительность работы алгоритма: чем их больше, тем выше точность и, наоборот, меньше длительность его работы. Так как в предлагаемом подходе фактор скорости обнаружения аномалий, вызванных кибератаками, имеет более высокую значимость, чем точность вычисления показателя самоподобия, решено было ограничиться малым количеством scales, равным 12.
б)
Рис. 5. Логарифмическая регрессия для ряда длин сетевых пакетов: а - метод DFA; б - R/S-анализ
Для получения линии регрессии с целью повышения точности определения показателя H в R/S-анализе было выбрано 100 scales. Как видно из рисунка 5, оба метода выдали приблизительно одинаковый результат.
Таким образом, эксперименты, проведенные на эталонных выборках, в которых отсутствовали аномалии из-за воздействия кибератак, продемонстрировали наличие самоподобия трафика КС и возможность достаточно точного определения показателя самоподобия на основе предложенного подхода.
Детектирование кибератак в трафике сети КС
Для нахождения аномалий в КС, вызванных кибератаками, трафик был поделен на группы и затем определен показатель Херста для каждой из групп. Анализ показал, что чем больше количество групп, тем раньше можно обнаружить аномалии (кибератаки) и предпринять действия для их устранения (предотвращения). Однако с увеличением количества групп уменьшается количество точек, по которым рассчитываются значения, а это может повлиять на точность измерения. Поэтому были проведены эксперименты по выявлению минимально допустимого размера такой группы.
Сначала 10 000 сетевых пакетов были разбиты на 30 групп. На рисунке 6 показаны разбиение табличной структуры данных (DataFrame) UDP-трафика на группы пакетов и оценка показателя Херста для каждой группы, а также приведена оценка показателя самоподобия всего трафика без
Рис. 6. Вычисление Н методом фрактального анализа ПОР трафика
Как видно из рисунка 6 мера фрактальности для всех групп пакетов полностью лежит выше отметки 0,5. Это указывает на наличие самоподобных свойств у каждой группы. Кроме того, на графике логарифмической регрессии отражен параметр Херста для всего Ба1аРгате, который подтверждает наличие фрактальных свойств и повторяющихся процессов.
Далее проводилось тестирование аномального сетевого трафика, сделанного в процессе ББоЗ-атаки и атаки «сканирование сети и ее уязвимостей». При этом преследовалась цель подбора максимального числа групп разбиения, при котором оцениваемый параметр Н будет вычисляться с высокой точностью.
Было выбрано 20 групп по 500 пакетов в каждой. На рисунке 7, а показано, что все значения показателя Херста на участках из 20 групп находятся ниже отметки 0,5. Это свидетельствует о нарушении фрактальной структуры трафика и наличии в нем аномалий. Кроме того, у исследуемого ряда проявились нестационарные свойства. Следовательно, предлагаемый подход способен обнаруживать аномалии в интервалах (группах), состоящих из 500 сетевых пакетов.
Сократим временной интервал, увеличив количество групп до 30. Из рисунка 76 следует, что разбиение на 30 групп не снижает точности работы алгоритма.
При анализе разбиения на 40 групп, каждая из которых состоит из 250 сетевых пакетов (рис. 7в), уже можно увидеть
проявление свойств самоподобия на некоторых из них. Это может указывать, с одной стороны, на отсутствие аномалий в исследуемом интервале, а с другой - на ухудшение точности из-за малой выборки. Следовательно, такое разбиение неприемлемо. В качестве искомого следует считать предыдущее разбиение - на 30 групп.
а)
б)
в)
Рис. 7. Вычисление Н для аномального трафика с разбиением 10 ООО точек на 20 групп (а), на 30 групп (б) и на 40 групп (в)
Сравнительная оценка эффективности рассматриваемого метода была проведена на основе его сопоставления с другими известными методами обнаружения компьютерных атак - с сигнатурными, статистическими, методами машинного обучения. Результаты сравнения по трехбалльной шкале («Высокий», «Средний» и «Низкий») представлены в таблице.
В качестве основных учитываемых параметров данных методов рассматривались скорость и точность обнаружения кибератак, как известных, так и неизвестных, возможность работы со стационарным и нестационарным трафиком, а также частота ложных срабатываний [12].
Таблица 1
Результаты сравнительного анализа известных методов обнаружения кибератак
Метод Скорость Точность обнару- Трафик Отсут-
обнару- жения для атак ствие лож-
жения извест- неизвест- стацио- нестаци- ного обна-
ных ных нарный онарный ружения
Сигнатур- Высокий Высо- Низкий Высокий Низкий Средний
ные кий
методы
Статистиче- Средний Сред- Средний Высокий Низкий Средний
ские ний
методы
Методы Средний Высо- Средний Высокий Низкий Высокий
машинного кий
обучения
Фракталь- Высокий Сред- Средний Высокий Высокий Средний
ный ний
анализ
Сигнатурные методы используют заранее составленные правила, а следовательно, они достаточно быстрые и имеют высокую точность обнаружения известных типов кибератак. Однако эти методы не способны обнаруживать новые, неизвестные типы атак, включая таргетированные. Кроме того, у них средние показатели по отсутствию ложного обнаружения.
Статистические методы исходят из накопленной статистики, поэтому уступают сигнатурным методам по скорости и точности обнаружения известных атак. В то же время в ряде случаев они способны обнаруживать неизвестные атаки. По ложному обнаружению у них примерно такие же возможности, как и у сигнатурных методов.
Методы машинного обучения в настоящее время достаточно разнообразны и хорошо развиты. Учитывая, что в них процессу обнаружения атак обязательно предшествует обучение на контрольной выборке, мы считаем, что по скорости обнаружения атак эти методы уступают сигнатурным. Однако они демонстрируют более высокую точность обнаружения известных атак и хорошую точность обнаружения неизвестных атак. При этом доля ложных срабатываний в методах машинного обучения крайне низкая.
Предлагаемый в статье метод фрактального анализа отличается высокой скоростью обнаружения, сравнимой с показателями сигнатурных методов. Это достигается путем разбиения исходного трафика на группы пакетов соответствующих размеров. Принятие решения о наличии аномалии в трафике принимается сразу же после того, как выявляется нарушение
самоподобия для первой же такой группы. Однако, так как аномалии могут быть вызваны различными причинами, связанными не только с кибератаками, следует считать, что точность обнаружения известных и неизвестных атак, а также ложные срабатывания имеют средние значения. В то же время несомненным преимуществом предлагаемого подхода является возможность его применения не только для стационарного, но и для нестационарного трафика. Прочие методы при нестационарном трафике либо не работают, либо имеют очень низкую эффективность.
Заключение
Таким образом, анализ результатов сравнительной оценки показывает, что главными преимуществами фрактального анализа являются в первую очередь скорость его работы, а также возможность обнаружения аномалий при любом виде трафика. К увеличению времени расчета приводит только увеличение количества обрабатываемых параметров заголовка протокола передачи данных (длина пакета, флаги и Т.д.).
Предложенный в статье новый подход к обнаружению кибератак в КС основан на использовании основных положений теории фракталов и предлагаемых этой теорией методов оценки самоподобия, таких как расширенный тест Дики-Фуллера, R/S-анализ и метод DFA. При тестировании фрактальных методов, позволяющих проводить исследования долговременных зависимостей в трафике КС, метод DFA оказался более эффективен, чем R/S-анализ, из-за его способности обрабатывать не только стационарные, но и нестационарные ряды с высокой точностью. Следовательно, DFA позволяет обнаруживать корреляции на большие расстояния, встроенные в нестационарные ряды, что характерно для КС, избегая ложного обнаружения явных корреляций на большие расстояния, которые являются артефактами нестационарности.
Основываясь на результатах тестирования, можно сделать вывод, что предложенный подход является достаточно корректным. Эксперименты показали, что существует характерное время, после которого показатель Херста резко меняется. Это время указывает на объем системной памяти. Экспериментальные результаты также свидетельствуют о том, что самоподобные свойства присущи любому сетевому трафику. При появлении сетевых аномалий, вызванных, например, кибератаками типа DDoS и «сканирование сети и ее
уязвимостей», характер этих свойств начинает существенно отличаться от нормального трафика.
Литература
1. Kotenko D.I., Kotenko I. V., Saenko I.B. Methods and tools for attack modeling in large computer networks: state of the problem. SPIIRAS Proceedings 2012, no. 3(22), pp. 5-30.
2. Kotenko I., Saenko I., Kushnerevich A. Parallel big data processing system for security monitoring in Internet of Things networks. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA) 2017, no. 8(4), pp. 60-74.
3. Campbell P., Abhyankar S. Fractals, form, chance and dimension. The Mathematical Intelligencer 1978, no. 1, pp. 35-37.
4. Лаута О. С., КарповМ. А., КрибельА. М., Ткаченко Ю. В. Анализ процесса самоподобия сетевого трафика как подход к обнаружению кибератак на компьютерные сети II Состояние и перспективы развития современной науки по направлению «Информационная безопасность» : Сборник статей III Всероссийской научно-технической конференции, Анапа, 21-22 апреля 2021 года. Анапа: Федеральное государственное автономное учреждение "Военный ин-новационныйтехнополис "ЭРА",2021. С. 311-327.
5. Aissaa N.B., Guerroumia M. Semi-Supervised Statistical Approach for Network Anomaly Detection. Procedia Computer Science 2016,no.83,pp. 1090-1095.
6. Балагула Ю.М. Применение фрактального анализа в задачах электротехники. Дис. канд. тех. наук. СПб.: СПГПУ, 2013. 141 с.
7. Данилова Е.И., Лаута О.С., Митрофанов М.В., Ракиц-кий С.Н. Компьютерные атаки и их характеристики II Актуальные проблемы инфотелекоммуникаций в науке и образовании. Сб. научных статей VII Междунар. науч.-техн. и науч.-методич. конф. 2018. С. 297-301.
8. Карпов М. А. Методика управления системой информационной безопасности объекта критической инфраструктуры II Известия Тульского государственного университета. Технические науки. 2021. № 12. С. 235-246.
9. Крупенин С. В. Фрактальные излучающие структуры и аналоговая модель фрактального импеданса. Дис. канд. физ.-мат. наук : 01.04.03, 01.04.04 / [Место защиты: Моск. гос. ун-т им. М. В. Ломоносова. Физ. фак.]. Москва, 2009. 157 с.
10. Маврикиди Ф. И. Фракталы: постигая взаимосвязанный мир II «Дельфис». № 23(3). 2000.
11. Маврикиди Ф. И. Фрактальная математика и природа перемен II «Дельфис». № 54(2). 2008.
12. Дубонос А.С., ЕвглевскаяН.В., КарасенкоА.О., Лаута О.С. Обзор методов защиты сетей связи специального назначения от DDOS атак II Инновационные технологии и технические средства специального назначения. Тр. XII общероссийской научно-практи-ческойконференции. 2020. С. 260-264.
A METHOD FOR DETECTING ANOMALIES IN NETWORK TRAFFIC
ROMAN A. PEROV
St. Petersburg, Russia, roma.perov@list.ru OLEG S. LAUTA
St. Petersburg, Russia, laos-82@yandex.ru
ALEXANDER M. KRIBEL
St. Petersburg, Russia, nemo4ka74@gmail.com
KEYWORDS: time series, fractal analysis, fractal dimension, Hurst exponent, scaling exponent, computer networks, cyberattacks.
YURI V. FEDULOV
St. Petersburg, Russia, ksi-2016@yandex.ru
ABSTRACT
Introduction. Computer networks (CN) are highly developed systems with a multi-level hierarchical structure. The use of information and communication technologies in the CN to collect information allows an attacker to influence networks through cyber attacks. This is facilitated by the massive use of outdated operating systems, ineffective protection mechanisms and the presence of multiple vulnerabilities in unsecured network protocols. Such vulnerabilities help a potential attacker to change the settings of network devices, listen and redirect traffic, block network interaction and gain unauthorized access to the internal components of the CN [1]. The impact of cyber attacks leads to the appearance of abnormal traffic activity in the CN. For its constant monitoring and detection in the CN, it is necessary to take into account the presence of a large number of network routes, on which sharp fluctuations in data transmission delays and large packet losses periodically occur, new properties of network traffic appear, which requires ensuring high quality of application service. All this served as an incentive to search for new methods of detecting and predicting cyber attacks [2] - fractal analysis can also be attributed to them. The aim of the work is to develop a conceptual method for detecting anomalies caused by cyber attacks in network traffic through the use of fractal analysis. Methods used.The main provisions of the fractal theory and the use of self-similarity assessment methods proposed by this theory, such as the extended Dickey-Fuller test, R/S analysis and the DFA method, are applied. When testing fractal methods that allow conducting studies of long-term dependencies in network traffic. The scientific novelty lies in the fact that the proposed method correctly identifies anomalies caused by the impact of cyber attacks, and also allows you to predict and detect both known and unknown computer attacks at an early stage of their manifestation. Practical significance. The presented methodology can be used as an early detection system for cyber attacks, based on the detection of anomalies in network traffic and the adoption of effective measures to protect the network.
REFERENCES
1. D.I. Kotenko, I.V. Kotenko, I.B. Saenko (2012). Methods and tools for attack modeling in large computer networks: state of the problem. SPIIRAS Proceedings, no. 3(22), pp. 5-30. (In Russian)
2. I. Kotenko, I. Saenko, A. Kushnerevich (2017). Parallel big data processing system for security monitoring in Internet of Things networks. Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), no. 8(4), pp. 60-74. (In Russian)
3. P. Campbell, S. Abhyankar (1978). Fractals, form, chance and dimension. The Mathematical Intelligencer, no. 1, pp. 35-37.
4. O. S. Lauta, M. A. Karpov, A.M. Kribel, Yu. V. Tkachenko (2021). Analysis of the process of self-similarity of network traffic as an approach to the detection of cyber attacks on computer networks. The state and prospects of development of modern science in the field of "Information security": Collection of articles of the III All-Russian Scientific and Technical Conference, Anapa, April 21-22, 2021. Federal State Autonomous Institution "Military Innovative Technopolis "ERA", pp. 311-327. (In Russian)
5. N.B. Aissaa, M. Guerroumia (2016). Semi-Supervised Statistical Approach for Network Anomaly Detection. Procedia Computer Science, no. 83, pp. 1090-1095. (In Russian)
6. Yu.M. Balagula (2013). Application of fractal analysis in problems of electrical engineering. Dis. Candidate of Technical Sciences. St. Petersburg: SPSPU3. 141 p. (In Russian)
7. E.I. Dani-lova, O.S. Lauta, M.V. Mitrofanov, S.N. Rakitsky (2018). Computer attacks and their characteristics. Actual problems of infot-elecommunications in science and education. Collection of scientific articles VII Inter-Dunar. sci.-tech. and scientific and methodical conf., pp. 297-301. (In Russian)
8. M. A. Karpov (2021). Methodology for managing the information security system of an object of critical infrastructure. Izvestiya Tula State University. Technical sciences. No. 12, pp. 235-246. (In Russian)
9. S. V. Krupenin (2009). Fractal radiating structures and an analog model of fractal impedance. Dis. Candidate of Physical and Mathematical Sciences : 01.04.03, 01.04.04 / [Place of protection: Moscow State University named after M. V. Lomonosov. Phys. fac.]. Moscow. 157 p. (In Russian)
10. F. I. Mavrikidi (2000). Fractals: comprehending the interconnected world. Delphis. No. 23(3).
11. F. I. Mavrikidi (2008). Fractal mathematics and the nature of change. Delphis. No. 54(2).
12. A.S. Dubonos, N.V. Yevglevskaya, A.O. Karasenko, O.S. Lauta (2020). Review of methods for protecting special-purpose communication networks from DDOS attacks. Innovative technologies and technical means of special purpose. Tr. XII All-Russian scientific and practical conference, pp. 260-264. (In Russian)
INFORMATION ABOUT AUTHORS:
Roman A. Perov, postgraduate of the 32 department of the Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny, , St. Petersburg, Russia
Oleg S. Lauta, professor of the Department of Admiral S.O. Makarov State University of Marine and River Fleet, Doctor of Technical Sciences, St. Petersburg, Russia
Alexander M. Kribel, candidate of the 32 department of the Military Academy of Communications named after Marshal of the Soviet Union S.M. Budyonny, St. Petersburg, Russia
Yuri V. Fedulov, candidate of JSC "Research Institute "Rubin", St. Petersburg, Russia
For citation: Perov R.A., Lauta O.S., Kribel A.M., Fedulov Yu.V. A method for detecting anomalies in network traffic. H&ES Reserch. 2022. Vol. 14. No 3. P. 25-31. doi: 10.36724/2409-5419-2022-14-3-25-31 (In Rus)
