CC BY
186
Обнаружение сетевых аномальных выбросов трафика методом разладки Бродского-Дарховского
Ключевые слова: аномальный выброс, метод разладки, вейвлет-анализ, достоверность обнаружения, имитационное моделирование.
Рассмотрены алгоримы обнаружения аномальных выбросов трафика методом разладки. В качестве решающей статистики выбран обобщенный вариант статистики Бродского-Дарховского, которая используется для проверки совпадения или различия текущего среднего значения в двух смещающихся ’окнах" анализа. Рассмотрены нерекуррентные и рекуррентные модификации алгоритма. Показано, что для практической реализации следует отдать предпочтение рекуррентной версии алгоритма. В этом случае правило обнаружения разладки строится на сравнении на текущем шаге решающей статистики с фиксированным порогом.
Шелухин О.И., Филинова А.С., МТУСИ
Постановка задачи
Задача скорейшего обнаружения момента изменения вероятностных характеристик случайной последовательности {момента «разладки») возникла в 30-е годы в связи с проблемами текущего контроля. Первым исследованием в этом направлении была работа. [1], где предлагался метод обнаружения, основанный на лемме Неймана-Пирсона.
В 50-е годы интерес к этой проблематике вновь возродился после появления работ Пейджа [2, 3], где был предложен метод обнаружения «разладки», впоследствии получивший название метода кумулятивных сумм (СиЗиМ). Позднее эти результаты были обобщены в работе [4].
Без существенного ограничения общности будем считать, что разладка заключается в изменении математического ожидания. Ситуация, когда происходит изменение каких-либо иных вероятностных характеристик, может 6ыте. сведена к этой путем введения в рассмотрение сформированных по исходной новых последовательностей, у которых происходит изменение математического ожидания.
По способу получения информации различают апостериорный и последовательный анализ [5]. Последовательные алгоритмы на каждом шаге используют информацию, полученную на предыдущих шагах, для определения факта разладки. Апостериорные алгоритмы используют всю информацию для определения момента разладки.
Представляет интерес возможность применения теории обнаружения раздадки в задаче обнаружения аномиальных выбросов трафика, вызванных, нбаиример компьютерными атаками на компьютерные сети в системах обнаружения вторжения.
Критерии обнаружения.
Функция обнаружения аномальных изменений свойств трафика характеризуется как правило следующими двумя показателями качества:
а) малое число ложных гревог;
б) малое запаздывание в обнаружении изменения.
Очевидно, что эти требования противоречат друг другу:
способность быстро обнаруживать изменения повышает вероятность появления ложных тревог. В зависимости от
решаемой задачи указанное противоречие может разрешаться различными способами.
В настоящее время принято тот или иной алгоритм обнаружения называть оптимальным, если при некотором наперед заданном среднем времени между ложными тревогами запаздывание в обнаружении минимально.
При решении ряда практических задач, связанных с обнаружением разладок в работе того или иного аномального выброса, предетавляег интерес установление нижнею порога срабатывания используемого алгоритма детектирования разладки. Отметим, что обнаружение разладки может быть осложнено присутствующими в результатах измерений шумами, дисперсия которых может превышать величину скачка математического ожидания, которую необходимо обнаружить.
13 ЭТОМ случае выявление "значительного" изменения спектра сигнала и его классификация могут быть произведены по шести классам:
1. "случайный выброс" - представляет собой единичное изменение математического ожидания определенного сечения процесса;
2. "сдвиг среднего" — предетавляег собой изменение математического ожидания трафика на определенном временном интервале;
3. "сдвиг дисперсии" - представляет собой изменение дисперсии трафика на определенном временном интервале процесса.
4. медленная флуктуация - "тренд". Представляет собой изменение у трафика математического ожидания на определенном временном интервале по линейному закону во времени;
5. быстрая флуктуация - "колебания". Представляет собой колебания математического ожидания трафика на определенном временном интервале процесса например по синусоидальному закону.
6. "нет разладки" - процесс находится в статистически управляемом состоянии.
Основными параметрами качества системы обнаружения являются средние значения время запаздывания обнаружения т и интервал времени между ложными тревогами Т.
Алгоритм Бродского-Дарховского
Использование подобной статистики было впервые, предложено в работе [6] для апостериорной задачи о «разладке»,
ив хо эш ям е» та
те 1мо
Рис, 4. Результаты работы алгоритмов: а) исходная реализация трассы трафика с аномальным выбросом;
б) результаты работы алгоритма разладки (4) при размерах окон анализа 200 и 1000 при у - 0; е) при у = X; г) при у - 1
2
Выводы
Для обнаружения аномальных выбросов трафика предложено использовать нерекуррентные и рекуррентные модификации алгоритма разладки Бродского-Дарховского. Показано, что для практической реализации следует отдать предпочтение рекуррентной версии алгоритма в котором обнаружение разладки осуществляется на сравнении на текущем шаге решающей статистики с фиксированным порогом.
Анализируются асимптотически и асимптотически минимаксный модификации алгоритма. На примере обработки реализации сетевого трафикас DoS-атакой типа «Neptune» показана работоспособность алгоритмов разладки Бродского-Дарховского в режиме on-line.
Литература
1. Duncan AJ. Quality control and industrial statistics. N. Y.: Irwin, 1974,992 p.
2. Page E. S. Continuous inspection schemes. - Biometrika, 1954, V. 41.J*! l,pp. 100-115.
3- Page S. A test for a change in a parameter occuring at an unknown point. - Biometrika,l955, v. 42, № 4, pp. 523-527.
4, Ширяев А Н. Статистический последовательный анализ. М.: Наука, 1976,271 с.
5, Никифоров И.В Последовательное обнаружение изменения свойств временных рядов. - М.: Наука, 1983, — 199 с.
ь. Дарховский B.C. Бродский Б.Е. Апостериорное обнаружение момента «разладки» случайной последовательности. - Теория вероягн. и ее примен., 1980, т. XXV, в. 3. — С. 635-639.
7. Бродский Б.Е., Дарховский Б.С. Асимптотический анализ некоторых оценок в апостериорной задаче о разладке !! Теория вероятностей и ее применения, 1990. - Т.35, №3. - С. 551-557,
8. Щелухин О.И. . Iармишее ^.^Обнаружение DoS и DDoS атак методом дискретного вейвлет-анализа И T-Comm: Телекоммуникации и транспорт. Спецвыпуск по информационной безопасности, 2011, - С. 44-47.
9. Шелухин О.ИГармашев А.В. Обнаружение аномальных выбросов телекоммуникационного трафика методами дискретного вейвлет-анализа II Электромагнитные волны н электронные системы, 2012, №2, - С. 15-26.
Detection of network anomaly bursts of traffic by the method of the disorder of Brodsky-Darkhovsky
Sheluhin O. I. Filinova A.S., MTUC, Russia
Abstract
In this article we're considering algorithms of detection of network anomaly bursts with method of disorder by Brodsky-Darkhovsky. As a processed statistic we are used Brodsky-Darkhovsky's generalized statistic, used for the test of match/mismatch for mean value in two sliding windows.
We're considering recursive and no recursive modifications of algorithm. We have shown that for the practical realization it's better to use recursive version of algorithm. In this case for detection of disorder we use comparison of statistic values on current step with fixed threshold value. We analyze asymptotic and minimum-asymptotic modifications of algorithm. We show example of network traffic processing, which includes detection of DoS attack, called "Neptune". It is shown that Brodsky-Darkhovsky's algorithm of disorder can be used for detection of those anomalies in online mode successfully and efficiently.
Keywords. The anomaly burst, disorder method, wavelet-analysis, reliability of detection, simulation modeling.
