Научная статья УДК 004.056.
DOI:10.31854/1813-324X-2022-8-3-117-126
Модификация алгоритма обнаружения сетевых атак методом фиксации скачков фрактальной размерности в режиме online
© Олег Иванович Шелухин1, [email protected]
Сергей Юрьевич Рыбаков1®, [email protected] Анна Вячеславовна Ванюшина1, [email protected]
^Московский технический университет связи и информатики, Москва, 111024, Российская Федерация
Аннотация: В работе рассматривается модификация алгоритма обнаружения аномалий в сетевом трафике при использовании текущих оценок скачка фрактальной размерности в режиме реального времени. Модификация алгоритма заключается в дополнительной пороговой обработке (трешолдинге) полученных оценок фрактальной размерности и последующей вторичной фильтрации. Показано, что фильтрация c применением процедуры трешолдинга позволяет повысить точность текущей оценки фрактальной размерности и увеличить достоверность обнаружения аномалии в сетевом трафике в режиме online.
Ключевые слова: показатель Херста, фрактальный анализ, фрактальный гауссовский шум, кратно-масштабный анализ, трешолдинг, скользящее окно
Ссылка для цитирования: Шелухин О.И., Рыбаков С.Ю. Ванюшина А.В. Модификация алгоритма обнаружения сетевых атак методом фиксации скачков фрактальной размерности в режиме online // Труды учебных заведений связи. 2022. Т. 8. № 3. С. 117-126. DOI:10.31854/1813-324X-2022-8-3-117-126
Modified Algorithm for Detecting Network Attacks Using the Fractal Dimension Jump Estimation Method in Online Mode
Oleg Sheluhin1, [email protected] Sergey Rybakov1®, [email protected] Anna Vanyushina1, [email protected]
1Moscow Technical University of Communications and Informatics, Moscow, 111024, Russian Federation
Abstract: The paper considers a modification of the well-known algorithm for detecting anomalies in network traffic using a real-time fractal dimension jump estimation method. The modification uses real-time thresholding to provide additional filtering of the estimated fractal network traffic dimension. The accuracy of the current estimate of the fractal dimension and the reliability of anomaly detection in network traffic in online mode is improved by adding extra filtering to the algorithm.
Keywords: Hurst exponent, fractal analysis, fractal Gaussian noise, multiresolution analysis, thresholding, sliding window
For citation: Sheluhin O., Rybakov S., Vanyushina A. Modified Algorithm for Detecting Network Attacks Using the Fractal Dimension Jump Estimation Method in Online Mode. Proc. of Telecom. Universities. 2022;8(3): 117-126. (in Russ.) DOI:10.31854/1813-324X-2022-8-3-117-126
© Шелухин О.И., Рыбаков С.Ю. Ванюшина А.В., 2022
117
tuzs.sut.ru
Введение
Обеспечение сетевой безопасности в условиях воздействия сетевых атак является важной проблемой современных систем связи. Проблема обнаружения (поиска) аномалий в сетевом трафике обусловлена несовершенством математического аппарата или алгоритма системы обеспечения информационной безопасности. Большая часть из известных алгоритмов и методов достаточно трудны в программной реализации и имеют ряд недостатков, связанных с недостоверным определением момента начала аномалии.
В работах [1-3] доказано, что сетевой трафик обладает свойствами самоподобия. Учитывая то, что любая атака или аномальная активность в сети может привести к резкому изменению текущего значения фрактальной размерности, данное свойство можно использовать для точного определения момента начала атаки или аномалии. Фрактальный анализ основан на выявлении несвойственных для нормального сетевого трафика структурных особенностей при помощи кратномасштабного анализа и оценки показателя Херста, который однозначно связан с фрактальной размерностью Хау-сдорфа Df соотношением Df = 2 - H.
В работах [4, 5, 6] получены алгоритмы обнаружения сетевых атак на основе анализа скачков фрактальной размерности при резких изменениях свойств сетевого трафика. Однако полученные при этом алгоритмы не являются итеративными, что усложняет использование их в процессе обработки. Кроме того, наблюдаемые при этом флуктуации текущего показателя Херста H могут рассматриваться как дополнительный шум обработки, что также снижает эффективность таких алгоритмов.
В отличие от известных работ предлагается модифицировать алгоритм обработки путем дополнительной фильтрации текущих оценок H, что позволяет повысить точность текущей оценки фрактальной размерности, а также достоверность обнаружения аномалии в сетевом трафике в режиме online.
Кратномасштабный анализ
Как известно [7-9], любую последовательность дискретных отсчетов при конечном числе уровней разложения Р анализируемого процесса y(ti) по системе масштабирующих функций и вейвлет-функций можно представить в виде упорядоченной совокупности коэффициентов вейвлет-деком-позиции (разложения):
У (к) = ^ am,k<pm,k(ti) + ^ ^ dm,k^m,k(ti),
k=1 m=1k=1 (1)
m,k Е I,
где фт- базисная масштабирующая функция; ^т,к(£д - материнский вейвлет; атк, йтк - коэффициенты аппроксимации и детализации анализируемого процесса; т,к - параметры масштаба и сдвига в пространстве целых чисел /.
Для того, чтобы адаптировать соотношение (1) к обработке сигнала в режиме реального времени, необходимо фиксировать длительность скользящего окна размером М.
Выполняя дискретное вейвлет-преобразование (ДВП) анализируемого процесса внутри скользящего окна размером в М отсчетов, в каждый момент времени будет получен набор коэффициентов аппроксимации {а1х, а2х, а3х,..., апх}^ и детализации { й1х, й2х, й3х,..., йпх}^ на каждом уровне декомпозиции у. Причем количество вейвлет-коэф-фициентов п на уровне ] в окне М будет определяться выражением п = ^. Таким образом, в соответствии с положениями вейвлет-анализа [9] временной ряд у( 1) может быть представлен в виде:
y(t) = yj(t) +^Dj(t),
(2)
=1
~Г-1
где уДО = £1=0 а]кф]к (Ь) - функция первичной
аппроксимации, которая соответствует масштабу (
< I шах^ ; а1,к = (у(Р), ф],к) - масштабный коэффициент аппроксимации, который равен скалярному произведению исходного ряда у( ) и масштабной функции «самого грубого» масштаба ], смещенной на к единиц масштаба вправо от начала координат;
Ц-1
= !,1=0 (0 - функция детализации;'-го
масштаба; й]к = {у( , к) - вейвлет-коэффици-ент детализации масштаба , равный скалярному произведению исходного ряда у( ) и вейвлета масштаба , смещенного на к единиц масштаба вправо от начала координат; п0 = 21тах, (п0 < М) ; ]шах = = [\ogzN] - максимальное количество уровней разложения; [\0g2N] - целая часть числа.
Метод оценки скачка фрактальной размерности
Пусть декомпозиция дискретного случайного процесса Х(Ь{), который определен на интервале I = 1.....И, осуществляется в скользящем окне размера М. В результате движения окно анализа «пробежит» т положений, где т = 1,...,И — М. Тогда детализирующие коэффициенты при т-ом положении окна анализа й^ будут вычислены в конце анализируемого интервала.
В соответствии с уравнением (3) для получения текущей оценки показателя Херста Нт при т-ом положении окна анализа необходимо выполнить линейную регрессию на шкале ] в диапазоне [¡1,]2]:
Q.k)\2) =
(3)
= (2Hm — 1) i + с _ amj + с, где с _ const.
Формула (3) позволяет оценить показатель Хер-ста Нт процессов с долговременной зависимостью в виде линейной зависимости. Это значит, что, если процесс Х(Ь{) является долговременно зависимым процессом с показателем Херста Нт, то график зависимости log2(^.j т) от ] имеет линейный наклон 2Нт — 1, и масштабный показатель ат = (2Нт — 1) может быть получен путем оценки наклона графика функции log2(^.j т) от] при каждом ш-ом положении окна анализа.
Для получения взвешенной оценки масштабного показателя ат на интервале {¡1,]2] при ш-ом положении окна анализа необходимо проделать следующие вычисления:
= 1'
У],г
?}У},т.
W; _
Sj—Sj
J (SS2 — s2)oj У],т _ log2(^j,m) — 9 01, 90)-^(j)ln2 — log2(^)-
(r(i)ln2)
9 ' П 1
2 — log2(-r)~ ——T^' 2 тт2
2
О • _ _ ~-
1 ln22 nln22
S2 —jS-_
j 2
v- _ ■ ' (SS2 — S2)a] '
¡2
¡2
__Vk S^-Vk S2__Vk
(4)
(5)
(6)
(7)
(8)
(9) (10) (11)
j=ji
j=ji
j=ji
ZUVm
(Sj—Sr).
a _ ■
(12)
SS? S-i
которая является не смещенной на интервале
[¡1>Ы
Вычисление текущего значения показателя Херста Нт при ш-ом окна анализа описывается следующей формулой:
1 + а.„
H, _
2
т_ 1,М.
(13)
где Г(х) = / 1е - гамма-функция; Г' - ее производная; %(2,г) = 1/(г + п)2 - обобщенная зета-функция Римана; ф(х) = Г - пси-функ-
ция (или дигамма-функция); п - количество детализирующих коэффициентов на соответствующем уровне вейвлет-разложения (]).
Так, определив квантили 5^ и 52 и получив взвешенную оценку а для а:
Используя формулы (4-12), можно преобразовать соотношение (13) для оценки параметра Херста в т-положении скользящего окна в следующий вид:
~ _ 1 Hm_2
ïj=h SiÎnj,m — ïj=h S j] rj=j1 Sjjnj,
\j,m
^i=iiS} ^i=ii Sji2 — (^jj=ii S}j)
+1
, (14)
где цит = ^2 {^^к ¡¿^0,к)\ ), и весовой коэффициент 5j = (пЫ22)/2^+1 является обратной функцией теоретической асимптотической дисперсии.
Вторичная фильтрация оценки показателя Херста
На практике при использовании оценки показателя Херста в скользящем окне возникает проблема правильного обнаружения аномалий, т. к. оценка получается с высокой дисперсией и резкими скачками H. Это можно заметить на рисунке 1. Для нейтрализации резких выбросов и уменьшения дисперсии предлагается воспользоваться процедурой трешол-динга (от англ. ТгеБИоЫ^) - пороговой обработкой данных [10, 11].
Пусть Н(Ьт) - оценка показателя Херста, определенная на интервале ш = 1,...,Ь, а фильтрация полученной оценки производится с применением прямого дискретного вейвлет-преобразования в скользящем окне размера Ь. Смещение окна фильтрации производится с некоторым шагом б <Ь. Так при смещении слева-направо окно фильтрации «пробежит» 2 положений I = , г = 1,...,1.
Тогда формула для фильтрации по вейвлет коэффициентам с применением трешолдинга примет следующий вид:
Н$т) = £ а^ф^^т) +££ Пй^ТЛ^), (15) 1 = 1 ] = 1 1 = 1
(Ю АН)
где а ¡, а^ - аппроксимирующие и детализирующие коэффициенты оценки показателя Херста при z-ом положении окна фильтрации; - филь-
трованные детализирующие вейвлет-коэффици-енты; а
m _
Ч0.1
<H(tmltiH) >
аппроксимирующие вейвлет-коэффициенты; ¿(^ = < Н^^),^^ > -детализирующие вейвлет-коэффициенты; Ь0 = = 21тах, (Ь0 < Ь); = \\og2L] - максимальное
число масштабов разложения; \\og2L] - целая часть числа.
к
m
m
2
Наибольшее распространение получили следующие виды трешолдинга [7, 12, 13]:
-
- жесткий трешолдинг - Th = > т);
' im I
т)"
- мягкий трешолдинг - Т5 = s\gn(d)(\djl'
"ФОР!**)- '
В исследовании использовался жесткий трешол-динг.
Алгоритм формирования оценки после вторичной фильтрации выглядит следующим образом:
1) фильтрация производится в окне размером Ь;
2) производится 6-уровневое ДВП накопленной оценки показателей Херста И(Ьт);
3) происходит удаление всех детализирующих вейвлет-коэффициентов
4) применяется обратное ДВП.
В результате вторичной фильтрации формируется оценка без аномальных выбросов.
Тестирование алгоритма
Для тестирования работоспособности описанного алгоритма, путем моделирования формировался фрактальный гауссовский шум (ФГШ) [14-18] длиной в 300 000 отсчетов с меняющимся показателем Херста в пределах [0,55 : 0,95]. Размер скользящего окна M = 1000.
Структура моделируемого трафика представлена в таблице 1. В результате имитации был смоделирован трафик в виде ФГШ, состоящего из ше-
сти фрагментов одинаковой длительности, но имеющих разную фрактальную размерность, как это видно из таблицы 1.
ТАБЛИЦА 1. Показатель Херста на промежутках моделируемого трафика
TABLE 1. Hurst Exponent at Intervals of Simulated Traffic
Промежуток Показатель Херста
0-50 000 0,7
50 000-100 000 0,5
100 000-150 000 0,8
150 000-200 000 0,5
200 000-250 000 0,9
250 000-300 000 0,6
На рисунке 1а показана тестовая последовательность, смоделированная при помощи генератора ФГШ, а на рисунке 1Ь - оценка показателя Херста в скользящем окне полученная с помощью алгоритма (14).
Из представленной реализации видно, что алгоритм (14) фиксирует скачки фрактальной размерности (показателя Херста) в тестовой последовательности. Вместе с тем видно, что при использовании подобного скользящего окна наблюдаются значительные флуктуации оценки показателя Н вокруг среднего значения. Флуктуации вызваны пересчетом значений показателя Н при каждом единичном шаге смещения окна анализа.
6000
1
=>= 0,5
: 0,5
0,5
0,5
0,5
1,5 ti
a)
1,5 ti
b)
1,5 ti
c)
2,5
3 *105
2,5
3
x105
2,5
3
x105
Рис. 1. Иллюстрация работы алгоритма: а) смоделированный трафик; b) полученная оценка показателя Херста в скользящем окне; с) отфильтрованная оценка показателя Херста
Fig. 1. Algorithm Operation Illustration: a) Simulated Traffic; b) Derived Hurst Exponent Estimate in a Sliding Window;
c) Filtered Hurst Exponent Estimate
0
2
0
2
0
0
0
2
Чтобы этого избежать и получить усредненные оценки, предлагается произвести дополнительную фильтрацию оценок Й(Ьт), сформированных с помощью соотношения (14). С этой целью применена пороговая обработка данных с помощью соотношения (15). В результате формируется последовательность оценок И(Ът), как это иллюстрируется на рисунке 1с.
Важно отметить, что как текущие средние значения, так и моменты смены показателя Н не изменяются и алгоритм (15) по-прежнему достоверно отслеживает скачки фрактальной размерности.
Влияние типа вейвлета
Важное значение при практической реализации предложенного алгоритма обработки имеет выбор материнского вейвлета в алгоритмах (14) и (15). Для выбора типа материнского вейвлета фт1к(Ь{), используемого при обработке генерировалась последовательность ФГШ длиной 10 000 отсчетов с показателем Херста H = 0,95, представленная на рисунке 2 а.
На рисунке 2Ь показаны текущие оценки показателя Херста в скользящем окне с использованием алгоритма (14) и разных типах вейвлетов; на рисунке 2с показаны текущие оценки показателя Херста в скользящем окне - алгоритма обработки (15) и тех
же типов вейвлетов. Использовались вейвлеты Хаара, Добеши4, Симлет4, Коифлет4 и Мейера.
Сравнение рисунков 2Ь и 2с позволяет визуально иллюстрировать эффективность вторичной фильтрации оценок показателя Херста.
В таблице 2 представлены численные оценки среднего значения и дисперсии показателя Херста при использовании разных материнских вейвлетов.
ТАБЛИЦА 2. Средние значения и дисперсии оценок показателя Херста
TABLE 2. Mean Values and Variances of Estimates
Тип вейвлета До / после( шльтрации
среднее значение дисперсия
Хаар 0,9333 /0,933 0,0022 / 0,0012
Добеши4 0,9008 / 0,9009 0,0025 / 0,0017
Симлет4 0,8912 / 0,8913 0,0023 / 0,0016
Коифлет4 0,8291 / 0,8293 0,0024 / 0,0020
Мейер 0,7430 / 0,7431 0,0047 / 0,0024
Из представленных численных значений видно, что более точно алгоритм оценивает показатель Херста при использовании вейвлетов Хаара, До-беши4, Симлет4. Наименьший разброс в оценке показателя Херста наблюдается для вейвлета Хаара, который и использовался в дальнейшем.
1000
: 0,5
-Хаар
— Добеши4 Симлет4
-Коифлет4
- Мейер
0
1000
m 0,5
2000
3000
4000
5000 a)
6000
7000
8000
2000
3000
4000
5000 b)
6000
7000
8000
9000
10000
9000
10000
10000
Рис. 2. Тестирование алгоритма при использовании разных типов вейвлетов: а) сгенерированная последовательность с Н = 0,95; b) оценка показателя Херста в скользящем окне с использованием разных типов вейвлетов;
с) отфильтрованная оценка
Fig. 2. Testing the Algorithm Using Different Types of Wavelets: a) Generated Sequence with a Hurst Exponent of 0,95; b) Estimation of the Hurst Exponent in a Sliding Window Using Different Types of Wavelets; c) Filtered Estimate
0
0
e)
Рис. 3. Распределение оценки Херста: а) Хаар; b) Добеши4; с) Симлет4; d) Коифлет4; e) Мейер
Fig. 3. Distribution of the Hurst Estimate: a) Haar; b) Daubechies4; c) Symlet4; d) Coiflet4; e) Meyer
На рисунке 3 представлены гистограммы распределений оценки Херста для ФГШ с показателем Хер-ста H = 0,95 до (слева) и после (справа) фильтрации.
Сравнение представленных гистограмм иллюстрирует эффективность предложенной пороговой обработки для формирования оценок фрактальной размерности. Видно, что введение жесткого трешол-динга уменьшает динамический диапазон изменения текущих значений оценок показателя Херста и определяется введенным пороговым уровнем т.
Экспериментальные результаты
Рассмотрим работу предложенного алгоритма (15) на реальных данных. В качестве исходных данных взята реализация сетевого трафика из дампа
DARPA99 [4]. Реализация, представленная на рисунке 4а, имеет длительность N = 10 000, включает в себя как нормальный трафик, так и аномалию в виде атаки Neptune (SYN-flood). Размер окна анализа был выбран равным M = 1000, а количество уровней разложения J = 10. Использовался вейвлет Хаара.
На рисунках 4b и 4c представлены H(tm) и усредненные H(tm) оценки показателя Херста, по которым видно, что атака может быть обнаружена с помощью пороговой обработки текущих оценок фрактальной размерности трафика в скользящем окне в режиме реального времени. Как видно из рисунка 4c, предпочтение следует отдать использованию усредненных оценок.
800 600 400 200 О
0
= 0,5
1
H пор
й 0,5
2000
4000
6000
a)
8000
10000
12000
6000 b)
12000
12000
с)
Рис. 4. Тестирование алгоритма на реальных данных: а) график реализации трафика с атакой Neptune; b) оценка Херста в скользящем окне; с) оценка показателя Херста после вторичной фильтрации
Fig. 4. Testing the Algorithm on Real Data: a) Neptune Attack Traffic Graph; b) Sliding Window Hurst Estimate; c) Filtered Estimate
0
0
На рисунке 5 представлены гистограммы распределения показателя Херста, иллюстрирующие возможность обнаружения атаки с помощью пороговой фиксации оценок фрактальной размерности. Выбор порога обнаружения ^орог определяется требуемой величиной вероятности ошибок первого рода Рлт.
На рисунке 6 представлены зависимости характеристик вероятности правильного обнаружения
Рп и ложного срабатывания Рлт в зависимости от порога обнаружения при разной длительности окна M до и после фильтрации. При расчетах принято L = 500.
Как видно из представленных зависимостей, достоверность правильного обнаружения атаки возрастает при увеличении длительности окна анализа. Одновременно наблюдается снижение вероятности ложной фиксации Рлт.
Рис. 5. Распределение фильтрованной оценки показателя Херста до и во время атаки
Fig. 5. Graph of the Distribution of the Hurst Exponent before the Attack (Pink) and on the Attack (Blue)
С длительностью окна анализа тесно связана величина количества уровней разложения J, используемых при вейвлет-анализе в формулах (14 и 15). Чем больше длительность окна анализа М, тем больше уровней разложения может быть получено и тем большее количество коэффициентов детализации может быть использовано при реализации алгоритмов (14 и 15).
Из рисунков 6а и 6Ь видно, что дополнительная фильтрация оценок показателя Херста позволяет повысить достоверность обнаружения Рп (ступенчатая линия) при малой длительности окна анализа, при этом снижается и величина ложных срабатываний Рлт. Увеличение длительности окна анализа при процедуре трешолдинга незначительно влияет на характеристики обнаружения.
c) d)
Рис. 6. Зависимости Рп и Рлт от порогового уровня при использовании разной длины окна анализа М до (пунктирная кривая) и после фильтрации ( ступенчатая кривая) при а) М = 200; b) М = 500; с) М = 700; d) М = 1000
Fig. 6. Dependences of Рп and Рлт on the Threshold Level When Using Different Lengths of the Analysis Window M up to (Dashed Curve) and after Filtering (Stepped Curve) at a) M = 200; b) M = 500; c) M = 700; d) M = 1000
На рисунке 7 представлены зависимости характеристик вероятности правильного обнаружения Рп и ложного срабатывания Рлт от порога обнаружения при разном уровне разложения и вторичной пороговой обработке показателя Херста.
Как видно, при увеличении уровня разложения в режиме вторичной фильтрации удается добиться
уменьшения числа ложных срабатываний. Из полученных зависимостей видно, что при уровне разложения J = 10 достигается минимальная вероятность ложной тревоги, так, например, при выборе порогового уровня ^ор = 0,85 величина вероятности правильного обнаружения составляет Рп = 0,95, а Рлт = 0,1.
Выводы
Для решения задачи обнаружения аномалий в режиме реального времени предложено модифицировать алгоритм оценки скачка фрактальной размерности на основе упорядоченной совокупности коэффициентов вейвлет-декомпозиции анализируемого трафика с помощью дополнительной пороговой обработки коэффициентов детализации в виде жесткого трешолдинга и последующей вторичной фильтрации.
Показано, что для вейвлет-декомпозиции целесообразно использовать вейвлет Хаара, показавший наилучшие результаты. При вторичной фильтрации наименьший разброс в оценке показателя Херста наблюдается при примененении вейвлета Хаара. Проведенные исследования показали, что применение дополнительной процедуры трешол-динга позволяет улучшить достоверность обнаружения до 10 %.
Список источников
1. Ahmed M., Mahmood A.N., Hu J. A survey of network anomaly detection techniques // Journal of Network and Computer Applications. 2016. Vol. 60. PP. 19-31. D01:10.1016/j.jnca.2015.11.016
2. Шелухин О.И., Осин А.В., Смольский С.М. Самоподобие и фракталы. Телекоммуникационные приложения. М.: Физматлит, 2008. 368 с.
3. Басараб М.А., Строганов И.С. Обнаружение аномалий в информационных процессах на основе мультифракталь-ного анализа // Вопросы кибербезопасности. 2014. № 4(7). С. 30-40.
4. Sheluhin O.I., Lukin I.Yu. Network Traffic Anomalies Detection Using a Fixing Method of of Multifractal Dimension Jumps in a Real-Time Mode // Automatic Control and Computer Sciences. 2018. Vol. 52. Iss. 5. PP. 421-430. D0I:10.3103/ S0146411618050115
5. Bhuyan M.H., Bhattacharyya D.K., Kalita J.K. Network Anomaly Detection: Methods, Systems and Tools // IEEE Communications Surveys & Tutorials. 2013. Vol. 60. Iss. 1. PP. 303-336. D0I:10.1109/SURV.2013.052213.00046
6. Chandola V., Banerjee A., Kumar V. Anomaly Detection for Discrete Sequences: A Survey // IEEE Transactions on Knowledge and Data Engineering. 2012. Vol. 24. Iss. 5. PP. 823-839. D0I:10.1109/TKDE.2010.235
7. Шелухин О.И., Рыбаков С.Ю., Магомедова Д.И. Скрытие информации в аудиосигналах с использованием детерминированного хаоса // Наукоемкие технологии в космических исследованиях Земли. 2021. Т. 13. № 1. С. 80-91. D0I:10.36724/2409-5419-2021-13-1-80-91
8. Sheluhin O.I., Sirukhi J.W., Pankrushin A.V. Wavelet type selection in the problem of anomaly intrusions detection in computer networks using multifractal analysis methods // T-Comm. 2015. Vol. 9. Iss. 4. PP. 88-92.
9. Mallat S. A Wavelet Tour of Signal Processing: The Sparse Way. Burlington: Academic Press, 2008. 832 p.
10. Kaur G., Saxena V., Prakash J. Study of Self-Similarity for Detection of Rate-Based Network Anomalies // International Journal of Security and Its Applications. 2017. Vol. 11. Iss. 8. PP. 27-44. D0I:10.14257/ijsia.2017.11.8.03
11. Riedi R.H., Crouse M.S., Ribeiro V.J., Baraniuk R.G. A Multifractal Wavelet Model with Application to Network Traffic // IEEE Transactions on Information Theory. 1999. Vol. 45. Iss. 3. PP. 992-1018. D0I:10.1109/18.761337
12. Басараб М.А., Шелухин О.И., Коновалов И.А. Оценка влияния трешолдинга на достоверность обнаружения аномальных вторжений в компьютерные сети статистическим методом // Вестник МГТУ им. Н.Э. Баумана. Серия Приборостроение. 2018. № 5(122). С. 56-67. D0I:10.18698/0236-3933-2018-5-56-67
13. Zhang Y., Ding W., Pan Z., Qin J. Improved Wavelet Threshold for Image De-noising // Frontiers in Neuroscience. 2019. Vol. 13. P. 39. D0I:10.3389/fnins.2019.00039
14. Delignieres D. Correlation Properties of (Discrete) Fractional Gaussian Noise and Fractional Brownian Motion // Mathematical Problems in Engineering. 2015. P. 485623. D0I:10.1155/2015/485623
15. Li M. Generalized fractional Gaussian noise and its application to traffic modeling // Physica A: Statistical Mechanics and Its Applications. 2021. Vol. 579. P. 126138. D0I:10.1016/j.physa.2021.126138
16. Li M., Sun X., Xiao X. Revisiting fractional Gaussian noise // Physica A: Statistical Mechanics and Its Applications. 2019. Vol. 514. PP. 56-62. D0I:10.1016/j.physa.2018.09.008
17. Brouste A., Soltane M., Votsi I. 0ne-step estimation for the fractional Gaussian noise at high-frequency // ESAIM: Probability and Statistics. 2020. Vol. 24. PP. 827-841. D0I:10.1051/ps/2020022
18. S0rbye S.H., Rue H. Fractional Gaussian noise: Prior specification and model comparison // Environmetrics. 2017. Vol. 29. Iss. 5-6. P. e2457. D0I:10.1002/env.2457
0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1
0,7
0,75
0,8 0,85
Нпорог
0,9
0,95
Рис. 7. Зависимости Рп и Рлт от порога обнаружения при использовании разного количества уровней разложения при пороговой обработке
Fig. 7. Graph of the Dependence of the Probability of Correct Detection and False Positive on the Detection Threshold when Using a Different Number of Decomposition Levels during Filtering
References
1. Ahmed M., Mahmood A.N., Hu J. A survey of network anomaly detection techniques. Journal of Network and Computer Applications. 2016;60:19-31. D01:10.1016/j.jnca.2015.11.016
2. Sheluhin O.I., Osin A.V., Smolsky S.M. Self-Similarity and Fractals. Telecommunication Applications. Moscow: Fizmatlit Publ.; 2008. 368 p. (in Russ.)
3. Basarab M., Stroganov I. Anomaly Detection in Information Processes Based on Multifractal Analysis. Voprosy kiber-bezopasnosti. 2014;4(7):30-40. (in Russ.)
4. Sheluhin O.I., Lukin I.Yu. Network Traffic Anomalies Detection Using a Fixing Method of of Multifractal Dimension Jumps in a Real-Time Mode. Automatic Control and Computer Sciences. 2018;52(5):421-430. D01:10.3103/S0146411618050115
5. Bhuyan M.H., Bhattacharyya D.K., Kalita J.K. Network Anomaly Detection: Methods, Systems and Tools. IEEE Communications Surveys & Tutorials. 2013;60(1):303-336. D0I:10.1109/SURV.2013.052213.00046
6. Chandola V., Banerjee A., Kumar V. Anomaly Detection for Discrete Sequences: A Survey. IEEE Transactions on Knowledge and Data Engineering. 2012;24(5):823-839. D0I:10.1109/TKDE.2010.235
7. Sheluhin O.I., Rybakov S.Y., Magomedova D.I. Audio Steganography Method Using Determined Chaos. H&ES Research. 2021;13(1):80-91. (in Russ.) DOI:10.36724/2409-5419-2021-13-1-80-91
8. Sheluhin O.I., Sirukhi J.W., Pankrushin A.V. Wavelet type selection in the problem of anomaly intrusions detection in computer networks using multifractal analysis methods. T-Comm. 2015;9(4):88-92.
9. Mallat S. A Wavelet Tour of Signal Processing: The Sparse Way. Burlington: Academic Press; 2008. 832 p.
10. Kaur G., Saxena V., Prakash J. Study of Self-Similarity for Detection of Rate-Based Network Anomalies. International Journal of Security and Its Applications. 2017;11(8):27-44. DOI:10.14257/ijsia.2017.11.8.03
11. Riedi R.H., Crouse M.S., Ribeiro V.J., Baraniuk R.G. A Multifractal Wavelet Model with Application to Network Traffic. IEEE Transactions on Information Theory. 1999;45(3):992-1018. DOI:10.1109/18.761337
12. Basarab M.A., Sheluhin O.I., Konovalov I.A. Assessment of the Thresholding Impact on Reliability of Anomaly Detection in Network Traffic Using Statistical Approach. Herald of the Bauman Moscow State Technical University. Series Instrument Engineering. 2018;5(122):56-67. DOI:10.18698/0236-3933-2018-5-56-67
13. Zhang Y., Ding W., Pan Z., Qin J. Improved Wavelet Threshold for Image De-noising. Frontiers in Neuroscience. 2019; 13:39. DOI:10.3389/fnins.2019.00039
14. Delignieres D. Correlation Properties of (Discrete) Fractional Gaussian Noise and Fractional Brownian Motion. Mathematical Problems in Engineering. 2015:485623. DOI:10.1155/2015/485623
15. Li M. Generalized fractional Gaussian noise and its application to traffic modeling. Physica A: Statistical Mechanics and Its Applications. 2021:579. 126138. DOI:10.1016/j.physa.2021.126138
16. Li M., Sun X., Xiao X. Revisiting fractional Gaussian noise. Physica A: Statistical Mechanics and Its Applications. 2019;514: 56-62. DOI:10.1016/j.physa.2018.09.008
17. Brouste A., Soltane M., Votsi I. One-step estimation for the fractional Gaussian noise at high-frequency. ESAIM: Probability and Statistics. 2020;24:827-841. DOI:10.1051/ps/2020022
18. S0rbye S.H., Rue H. Fractional Gaussian noise: Prior specification and model comparison. Environmetrics. 2017;29(5-6): e2457. DOI:10.1002/env.2457
Статья поступила в редакцию 27.06.2022; одобрена после рецензирования 27.07.2022; принята к публикации 28.07.2022.
The article was submitted 27.06.2022; approved after reviewing 27.07.2022; accepted for publication 28.07.2022.
Информация об авторах:
ШЕЛУХИН Олег Иванович
доктор технических наук, профессор, заведующий кафедрой «Информационная безопасность» Московского технического университета связи и информатики https://orcid.org/0000-0001-7564-6744
Сергей Юрьевич
РЫБАКОВ
главный специалист НОЦ «Информационная безопасность» Московского технического университета связи и информатики https://orcid.org/0000-0002-4593-9009
ВАНЮШИНА Анна Вячеславовна
кандидат технических наук, доцент кафедры «Информационная безопасность» Московского технического университета связи и информатики https://orcid.org/0000-0001-8729-6729