ОБЗОР МЕТОДОВ ПРОГНОЗИРОВАНИЯ СЕТЕВЫХ АНОМАЛИЙ Текст научной статьи по специальности «Компьютерные и информационные науки»

44 Вестник СибГУТИ. Том 17. 2023. № 2

DOI: 10.55648/1998-6920-2023-17-2-44-50 УДК 004.056

Обзор методов прогнозирования сетевых аномалий

Д. С. Лизнев

Сибирский гос. унив. телекоммуникаций и информатики (СибГУТИ)

Аннотация: В работе проведен анализ методов прогнозирования сетевых аномалий. На примере реальных статистических данных показаны этапы настройки моделей прогнозирования. Показано влияние DDoS-атак на энтропию 1Р-адресов назначения.

Ключевые слова: модель экспоненциального сглаживания, авторегрессионная модель, энтропия, сетевые атаки.

Для цитирования: Лизнев Д. С. Обзор методов прогнозирования сетевых аномалий // Вестник СибГУТИ. 2023. Т. 17, № 2. С. 44-50. https://doi.org/10.55648/1998-692 0-2 02 3-17-2-4 4-5 0.

Контент доступен под лицензией © Лизнев Д. С., 2023

Creative Commons Attribution 4.0 License

Статья поступила в редакцию 26.12.2022; принята к публикации 10.01.2023.

1. Введение

Сетевая аномалия - действия с применением программных и (или) технических средств и с использованием сетевого протокола, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автоматизированной системы [1].

Атаки можно классифицировать как Denial of Service/Distributed Denial of Service (DoS/ DDoS), User to Root (U2R), Remote to Local (R2L) и Probe. В данной статье рассматривается возможность применения статистических методов для прогнозирования количества DDoS-атак, а также влияние указанного класса атаки на энтропию IP-адресов назначения.

DDoS-атаки приводят к тому, что целевая система становится полностью недоступной или нестабильной. Данный класс атаки делят на несколько типов, например, такие как Smurf (рассылка поддельных ICMP-запросов), Land (рассылка некорректных TCP-запросов), Neptune (одновременная множественная рассылка SYN-сегментов TCP) и т.д.

Согласно отчету [2] количество проводимых DDoS-атак неуклонно возрастает (рис. 1).

Анализ представленной на рис. 1 информации показывает рост количества DDoS-атак относительно предыдущего отчетного периода. В свою очередь, по рекомендациям, данным в отчетах компании Positive Technologies, важно не только выстроить регулярные процессы определения и устранения уязвимостей, но и знать о существовании новых атак, следовательно, уметь быстро на них реагировать [3].

Для противодействия атакам, направленным на отказ в обслуживании, в общем случае необходимо идентифицировать тип трафика, который загружает сеть, а затем разделить поток на вредоносный и обычный [4].

Рис. 1. Доля DDoS-атак в сравнении

В данной работе на примере статистических данных был проведен обзор методов прогнозирования аномалий.

2. Возможность использования энтропии для обнаружения DDoS-атак

Одним из признаков DDoS-атаки можно считать нетипично замедленную работу сетевого оборудования, что заметно без применения дополнительного анализа.

В [5] предложен алгоритм обнаружения аномалий, основанный на энтропии. Авторы показывают, что разработанный алгоритм обладает низкими вычислительными затратами, легкий в реализации, при этом обладает высокой скоростью обнаружения сетевых аномалий в режиме реального времени. Суть метода заключается в анализе влияния атаки на энтропию IP-адресов. DDoS-атака представляет собой большое количество запросов к конкретному сервису от одного узла-источника, то есть в общем трафике можно увидеть большое количество пакетов с одинаковыми IP-адресами - источника атаки и атакуемого сервера [6]. Атака за счет концентрации трафика на портах источника и портах назначения характеризуется уменьшением энтропии IP-адресов источника и IP-адресов назначения.

В качестве исходных данных для расчета энтропии воспользуемся базой KDD-2009 [7]. Из базы данных извлекаем записи, относящиеся к нормальному трафику и к DDoS-атакам. Далее из записи выделяем признак, относящийся к числу соединений с тем же самым IP-адресом порта назначения. На рис. 2 показано влияние DDoS-атаки на энтропию IP-адресов назначения.

4,000

3,500

3,000

ее 2,500 S с

g_ 2,000 I-

^ 1,500 1,000 0,500 0,000

нормальный смешанный атака Smurf атака Neptune атака Land трафик трафик

Рис. 2. Влияние DDoS-атаки на энтропию IP-адресов назначения

Анализ рис. 2 показал, что для нормального режима работы сети величина энтропии значительно превышает значения, рассчитанные для DDoS-атак. Таким образом, когда происходит DDoS-атака, число запросов на один 1Р-адрес резко увеличивается, что приводит к меньшему значению энтропии.

3. Прогнозирование ББо8-атак статистическими методами

Анализ исходных данных проводился на отрезке временного ряда данных с 1 ноября 2020 г. по 30 сентября 2022 г. [2].

2020 2021 2022 Рис. 3. Динамика DDoS-атак

Для прогнозирования динамики DDoS-атак используются различные методы и модели, которые различаются не только сложностью реализации, но и программной поддержкой. То есть выбор метода зависит от типа и цели прогноза, полноты исходных данных, доступности программного обеспечения и т.д.

В литературе описано большое количество методов статистического анализа и прогнозирования. К адаптивным моделям относят модель Брауна, модель Хольта и модель авторегрессии [8].

Метод экспоненциального сглаживания, на котором основаны модели Брауна и Хольта, позволяет анализировать временной ряд без предварительного задания уравнения тренда.

Основным моментом при использовании метода экспоненциального сглаживания является выбор параметра сглаживания а, начальных условий и степени полинома.

Если параметр сглаживания близок к нулю, значит, веса убывают медленно, и модель учитывает все значения рассматриваемого временного ряда. Напротив, если параметр близок к единице, это приведет к учету в прогнозе в основном влияния лишь последних наблюдений [8].

При разных значениях параметров сглаживания а результаты прогноза будут отличаться. Следовательно, параметр а выбирается таким образом, чтобы минимизировать ошибку прогноза.

Исследования показывают, что прогноз, учитывающий только один параметр а, нельзя считать абсолютно надежным. Для того, чтобы повысить точность прогноза, применяется модифицированная модель:

^ (у) = а- у + (1 _!(у) + Т _!), (1)

где выражение для тренда

Т(у) = р.& _^_ 1) + (1 _Р)■ Т_ 1,

(2)

где ¡3- сглаживающая постоянная для тренда.

Меру отклонения прогноза от фактических значений можно оценить с помощью стандартной ошибки прогнозирования. В процессе настройки модели подбираются такие а и при которых стандартная ошибка отклонения будет минимальна. При этом необходимо учитывать условие применимости модели: если вышеописанные параметры принимают значения больше 0.7, прогноз нельзя считать достоверным.

Для расчета ошибки на основании исходных данных (рис. 3) подставляем в расчетную модель каждый параметр, изменяя его значение с 0 до 0.6 с шагом 0.1. Результаты расчета представлены на рис. 4.

Рис. 4. Зависимость абсолютной ошибки модели от параметра сглаживания а

для различных значений в

На рис. 4 видно, что минимальная ошибка достигается при а = 0.3, ¡3 = 0.6. Результаты расчета ошибки прогноза на тестовых данных приведены на рис. 5. Анализ рис. 5 показал, что минимальная ошибка тестирования достигается при а= 0.2, ¡3 = 0.4.

Рис. 5. Зависимость абсолютной ошибки тестирования модели от параметра сглаживания а

для различных значений в

Так как значения а и / на обучающем и тестовом множествах не совпадают, учитывая, что для хорошей точности абсолютная ошибка находится в пределах от 0 % до 10 %, выбираем средние значения параметров, то есть а = 0.3, 3= 0.5.

В предложенных Дж. Боксом и Г. Дженкинсом моделях, в отличие от моделей, рассмотренных выше, применяется индивидуальный подход к каждому ряду. Существуют следующие модели Бокса-Дженкинса: авторегрессионная модель, модель скользящего среднего, смешанная модель с авторегрессией и скользящим средним, интегрированная модель авторегрессии (ARIMA) [5].

При построении ARIMA требуется анализ и выбор параметров модели. Кроме того, данные временных рядов должны быть стационарными, чтобы исключить корреляцию и муль-тиколлинеарность. Если исходный ряд не является стационарным, то его следует привести к стационарной форме.

Используя данные рис. 3, определим сезонный лаг при помощи спектрального анализа Фурье. Для этой цели был получен график периодограммы (рис. 6).

I II

; /

I 1 J

I !

1 J

1/

0 2 4 6

10 12 14 16 18 20 22 24 26 Period

Рис. 6. График периодограммы

На графике видно максимальное значение в точке 6, то есть это значение является определяющим период сезонной составляющей рассматриваемого ряда.

Laç Coir.

1 +,3£2

2 -,043

3 -,25"!

4 -,2Î3

5 -, 035

7 071

е -,084 5

10 -, L77

11 -, 097

12 13

+,110 +, 11Е

14 +,0€0

I [ I1

■ ■

О" □ □ 1 □ |

1 Р !

-1

-0 5

0.0

0 5

10

Рис. 7. Вычисленная коррелограмма преобразованного ряда

Так как коррелограмма ряда затухает с ростом лага и не превышает значения |0.3|, можно сделать вывод, что ряд обладает свойством стационарности, и для прогнозирования можно использовать модель ARIMA.

Расчеты показали, что ошибка моделирования составляет 9.1 %, что не превышает 10 %, позволяя выбрать эту модель для дальнейшей работы.

Таким образом, рассмотренные методы включают в себя следующие этапы построения: настройку моделей; отображение прогнозируемых данных в табличном или графическом виде; тестирование модели и расчет ошибки прогнозирования.

Литература

1. ГОСТ Р 53114-2008. Обеспечение информационной безопасности в организации [Электронный ресурс]. URL: https://docs.cntd.ru/document/1200075565 (дата обращения: 22.11.2022).

2. Лаборатория Касперского. Отчеты [Электронный ресурс] URL:

https://www.kaspersky.ru/enterprise-security/resources (дата обращения: 22.11.2022).

3. Positive Technologies. Аналитика [Электронный ресурс] URL:

https://www.ptsecurity.com/ruru/research/analytics/ (дата обращения 22.11.2022).

4. Методы защиты от DDOS нападений [Электронный ресурс]. URL:

http ://www.securitylab.ru/analytics/216251.php (дата обращения: 22.11.2022).

5. Shanshan Yu, Jicheng Zhang, Ju Liu, Xiaoqing Zhang, Yafeng Li, Tianfeng Xu. A cooperative DDoS attack detection scheme based on entropy and ensemble learning in SDN [Электронный ресурс]. URL: https://www.researchgate.net/publication/348891807 (дата обращения: 22.11.2022).

6. Jung Woo Seo, Sangjin Lee. A study on efficient detection of_network-based IP spoofing DDoS and malware-infected Systems [Электронный ресурс]. URL:

https://www.researchgate.net/publication/309467794 (дата обращения: 22.11.2022)

7. The NSL-KDD Data Set. [Электронный ресурс]. URL:

https://www.unb.ca/cic/datasets/nsl.html (дата обращения 22.11.2022). В. Афанасьев В. Н. Анализ временных рядов и прогнозирование: учебник. Саратов: Ай Пи Ар Медиа, Оренбург: Оренбургский гос. ун-т, 2020. 286 с.

Лизнев Денис Сергеевич

аспирант СибГУТИ (630102, Новосибирск, ул. Кирова, 86), e-mail: liznev.denis@gmail.com, ORCID ID: 0009-0003-2599-8989.

Автор прочитал и одобрил окончательный вариант рукописи. Автор заявляет об отсутствии конфликта интересов.

50

ft C. ^H3HeB

Overview of the Methods for Predicting Network Anomalies

Denis S. Liznev

Siberian State University of Telecommunications and Information Science (SibSUTIS)

Abstract: In this paper, the methods of predicting network anomalies are analyzed. Using the example of real statistical data, the stages of setting up forecasting models are shown. The effect of a DDoS attack on the destination IP-addresses' entropy is shown.

Keywords: exponential smoothing model, autoregressive model, entropy, network attacks.

For citation: Liznev D. S. Overview of the methods for predicting network anomalies (in Russian). The SibSUTIS Bulletin, 2023, vol. 17, no. 2, pp. 44-50.

https://doi.org/10.5564 8/1998-692 0-2 023-17-2-44-50.

Content is available under the license © Liznev D. S., 2023

Creative Commons Attribution 4.0 License

The article was submitted: 26.12.2022; accepted for publication 10.01.2023.

References

1. GOST R 53114-2008. Obespechenie informacionnoj bezopasnosti v organizacii [Information security provision in organization], available at: https://docs.cntd.ru/document/1200075565 (accessed 22.11.2022).

2. Laboratoriya Kasperskogo. Otchety [DDoS reports], available at: https://www.kaspersky.ru/enterprise-security/resources (accessed 22.11.2022).

3. Positive Technologies. Analitika [Analytics], available at: https://www.ptsecurity.com/ruru/research/analytics/ (accessed 22.11.2022)

4. Metody zashchity ot DDOS napadenij [Methods of protection against DDOS attacks], available at: http://www.securitylab.ru/analytics/216251.php (accessed 22.11.2022)

5. Shanshan Yu, Jicheng Zhang, Ju Liu, Xiaoqing Zhang, Yafeng Li, Tianfeng Xu. A cooperative DDoS attack detection scheme based on entropy and ensemble learning in SDN, available at: https://www.researchgate.net/publication/348891807 (accessed 22.11.2022)

6. Jung Woo Seo, Sangjin Lee. A study on efficient detection of_network-based IP spoofing DDoS and malware-infected Systems, available at: https://www.researchgate.net/publication/309467794 (accessed 22.11.2022)

7. The NSL-KDD Data Set, available at: https://www.unb.ca/cic/datasets/nsl.html (accessed 22.11.2022)

8. Afanas'ev V. N. Analiz vremennyh ryadov iprognozirovanie [Time series analysis and forecasting]: Saratov, Aj Pi Ar Media, Orenburg, Orenburgskij gos. un-t, 2020. 286 p.

Denis S. Liznev

Postgraduate student, Siberian State University of Telecommunications and Information Science (SibSUTIS, Novosibirsk, Russia), e-mail: liznev.denis@gmail.com, ORCID ID: 0009-0003-2599-8989.