Научная статья на тему 'Обнаружение аномалий трафика канала связи по коротким временным рядам'

Обнаружение аномалий трафика канала связи по коротким временным рядам Текст научной статьи по специальности «Математика»

CC BY
145
60
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Обнаружение аномалий трафика канала связи по коротким временным рядам»

верхняя границы вероятности неприема ПСП PH = ф(и2) для различных N при аналоговом запуске и произвольных помехах в канале, рассчитанные по (13) и (16) соответственно. Из анализа кривых, приведенных на графике видно, что верхняя граница (13), полученная с использованием неравенства Чернова, дает достаточно плотные результаты (кривые 1 и 2) и, следовательно, будет хорошей оценкой вероятности неприема Рн при произвольных слабо коррелированных помехах в канале связи.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Коржик В.И., Финк Л.М. Помехоустойчивое кодирование дискретных сообщений в каналах со случайной структурой - М.: Связь, 1975.

2. Хисамов Д.Ф. Граничные оценки вероятности синхронизации псевдослучайной последовательности на каналах с произвольным распределением ошибок // Материалы Международного конгресса «Математика в XXI веке»// 25-28 июня 2003 г. - Новосибирск: Академгородок, 2003 г. http://www.sbras.ru/ws/MMF-21/ .

О.М. Лепешкин, В.А. Артамонов

Россия, г. Ставрополь, СГУ

ОБНАРУЖЕНИЕ АНОМАЛИЙ ТРАФИКА КАНАЛА СВЯЗИ ПО КОРОТКИМ ВРЕМЕННЫМ РЯДАМ

Существующие системы обнаружения вторжений достаточно своевременно обнаруживают известные атаки. Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Современные системы автоматизируют многие этапы этого процесса. При внедрении систем обнаружения атак обычно необходимо решить две проблемы:

- система обнаружения атак должна соответствовать структуре сети;

- система должна быть настроена таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики сетевой инфраструктуры.

При помощи систем обнаружения атак возможно получить полную информацию о том, что происходит в сети. Они также позволяют собирать данные о том, что поступает в сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Современные системы обнаружения атак значительно уменьшают вероятность угроз, но не могут полностью защитить от неизвестных или модифицированных атак. Проблема обнаружения новых атак, неизвестных до того момента, как атака была выполнена, является достаточно трудной и граничит с областью искусственного интеллекта и экспертных систем. Современные исследования сосредотачивают свое внимание на обнаружении атак конкретных типов, а не на выработке обобщенного подхода к обнаружению аномалий. Выработка этого подхода - это область активных исследований в ближайшее время [1]. Цель данной работы - применить методы исследования нелинейных динамических систем для выявления аномалий в трафике канала подключения к сети Интернет. В настоящее время существуют два основных направления построения систем обнаружения атак. Анализ пакетов, передаваемых по сети, и анализ журналов регистрации операционной системы или приложений. Эти подходы имеют свои сильные и слабые стороны. Сетевой подход к обнаружению атак является более эффективным по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым обеспечивая защиту в реаль-

ном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту.

Выделяют два основных типа систем обнаружения атак: экспертные и сигнатурные системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требуют предварительной настройки. Сигнатурные системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это решение заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Однако сигнатурный анализ требует значительное количество ресурсов и постоянных обновлений сигнатурных баз. Поэтому основные исследования направлены на разработку систем обнаружения аномалий.

Одним из способов выявления аномалий является методика реконструкции математической модели динамической системы по временным рядам показателей состояния сети. Она позволяет по записи временного ряда показателей одного из параметров системы восстановить сложность и некоторые характеристики всей системы по короткому временному ряду. Для динамических систем принятым представлением развития процесса во времени является построение "портрета" в фазовом пространстве. Наименьшее число независимых переменных, однозначно определяющее установившееся движение динамической системы, называют размерностью вложения т. Нелинейная динамическая система характеризуется аттрактором -притягивающим множеством в фазовом пространстве, в котором расположены хаотические траектории; множество, соответствующее аттрактору, фрактально. Фрактальное множество является самоподобным объектом и характеризуется дробной размерностью (точнее, целым набором различно определяемых размерностей).

На первичном этапе реконструкции необходимо идентифицировать, является ли моделируемая система случайной или детерминированно-хаотической, то есть можно ли назвать ее фрактальной? Следующий этап - определение вида уравнений модели, описывающей систему, и значение их параметров. Следует заметить, что если для первого этапа требуется длинный временной ряд, то для второго достаточно не менее 2т +1 значений, что намного меньше длины ряда, необходимого для статистической оценки, и это позволяет своевременно идентифицировать воздействия на систему. Для классификации системы можно воспользоваться вычислением корреляционной размерности или получить показатель Херста. Недостатком показателя Херста является то, что он не позволяет оценить необходимое количество уравнений для описания системы. Корреляционная размерность Д., основанная на вычислении корреляционного интеграла, является важной количественной характеристикой аттрактора, несущей информацию о степени сложности поведения динамической системы.

Корреляционный интеграл С (г) вычисляет среднюю расходимость между точками реконструированного фазового пространства, координатами которого служат значения самого временного ряда с нарастающим числом запаздываний по времени. Если временной ряд полностью детерминированный, то его поведение определяется некими зависимостями, содержащими к переменных. Тогда с увеличением порядка запаздывания (временного лага) порядок роста корреляционного интеграла стабилизируется между числом к и к + 1, и его принимают за оценку фрактальной размерности временного ряда. Если ряд хаотичный, случайный, то

порядок роста корреляционного интеграла растет примерно с такой же скоростью, как и размерность фазового пространства. Функция С (г) для каждого г равна нормированному числу пар точек рассматриваемого множества (объекта), расстояние между которыми не превосходит г

1 п

С(г) = -г X н (г - I у - У] 1) >

п *, ]=1 ' * ]

где функция Хевисайда Н(х) = 0, если х < 0; Н(х) = 1, если х > 0, для всех пар значений I и ] , если I * ], | у - у. | - абсолютная величина расстояния между точками множества, I,] = 1,2,3,...,п , где п -количество точек.

Величина суммы зависит от г, причем С(г) ~ гВс , где Д - корреляционная размерность. Для практического вычисления размерности на графике 1п(С(г)) = / (1п(г)) выделяют область линейной зависимости (область скейлинга) и функция аппроксимируется прямой линией методом наименьших квадратов. Тогда тангенс угла наклона графика является размерностью Д [2]. Для известной динамической системы т и Д легко определить, так как известны все компоненты вектора X(0 = {X (0,. .,(/)}, описывающего поведение системы в фазовом пространстве (так, для системы Лоренца Д = 2,04 при т = 3). Однако при изучении динамических систем обычно приходится иметь дело с сигналом, который выглядит достаточно сложно и кажется похожим на случайный. Для построения моделей информационной системы измерение всех компонент, характеризующих систему, невозможно. Однако существует методика [2], позволяющая восстановить некоторые свойства аттрактора (например, т и Д ) по временной последовательности одной из составляющих X(/). Методика основана на построении псевдоаттрактора, где в качестве компонент вектора служит сама измеренная последовательность, но взятая с некоторой временной задержкой

Хр($) = {X(О,X(Г + г),XЦ + 2т),...,X(Г + (т-1)т)} .

Поскольку компоненты вектора, характеризующего динамическую систему, независимы, то в качестве величины т выбирается первое значение, при котором автокорреляционная функция обращается в 0 (или достигает минимума). Так как заранее размерность вмещения т неизвестна, то процедура сводится к следующему: последовательно добавляют компоненты псевдовектора Xp(t) и при каждом т = 2,3,... вычисляют корреляционную размерность Д(т). Размерность т в пространстве, начиная с которой Д перестает изменяться, есть минимальная размерность вложения, то есть наименьшая целая размерность пространства, содержащего весь аттрактор. Применение этой методики для восстановления размерности аттрактора Лоренца по временному ряду представлено на рис.1

Как следует из определения размерности вложения, она соответствует числу независимых переменных, описывающих систему. Таким образом, возможно получить информацию о сложности системы, восстанавливая размерность вложения. Из этого следует также возможность разграничить динамическую систему со сложным поведением (но характеризующуюся конечным т) и случайный шум, который теоретически описывается бесконечно большим числом независимых переменных. Для полностью случайной системы увеличение т на единицу приводит к увеличению Д также примерно на 1, то есть Д ~ т . Зависимость показана на рис. 2 пунктирной линией. В настоящей работе приведенная выше методика

165

применялась для анализа количества проходящих пакетов через канал доступа в Интернет. На рис. 2 представлены результаты анализа этого временного ряда. Для каждого т для зависимости 1п(С(г)) = /(1п(г)) применялась описанная выше процедура расчёта корреляционной размерности Д (т). В данном случае размерность вмещения т = 3, а Д = 1.36 . Следовательно, рассматриваемый процесс не является случайным, а управляется ограниченным числом основных параметров

Рис. 1. Восстановления размерности аттрактора Лоренца по временному ряду

ш

Рис. 2. Результаты анализа этого временного ряда

Таким образом, методика анализа временных последовательностей, разработанная в теории динамических систем, позволяет разграничить случайные и де-терминированно-хаотические системы и оценить сложность этих систем. Подобный анализ применим для определения необходимого количества уравнений для реконструкции уравнения математической модели канала сетевого трафика. Следующими этапами реконструкции являются определение вида уравнений в системе уравнений математической модели и оценка их параметров. Реконструкция математической модели системы по короткому отрезку временного ряда и отслеживание изменения ее параметров позволят предсказывать наступление аномального поведения.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. R. Power, CSI Roundtable: Experts discuss present and future intrusion detection systems, Computer Security Journal, Vol. XIV, #1.

2. Шустер Г. Детерминированный хаос. - М., Мир, 1988.

3. P. Grassberger and I. Procaccia, Characterization of strange attractors, Phys. Rev. Lett. 50, 346-349 (1983); P. Grassberger and I. Procaccia, Measuring the strangeness of strange attractors, Physica 9D, 189 (1983).

i Надоели баннеры? Вы всегда можете отключить рекламу.