CC BY
100
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
УДК 623.624
Оператор преобразования трафика для преднамеренного повышения структурной сложности информационных потоков
Макаренко С. И., Коровин В. М., Ушанев К. В.
Постановка задачи. Развитие теории информационной безопасности и информационного противоборства требует формирования новых информационно-технических воздействий (ИТВ). Эти новые воздействия могут использоваться для тестирования устойчивости и безопасности телекоммуникационных систем, а также для разработки способов их защиты. Наиболее распространенным типом ИТВ на телекоммуникационные системы являются удаленные сетевые атаки. Проведенный анализ способов обнаружения удаленных сетевых атак показал, что в подавляющем большинстве случаев такое обнаружение основано на анализе интенсивности трафика в сети. Новые ИТВ, обладающие свойством бескомпроматности и скрытности, должны обеспечивать неизменность интенсивности трафика при проведении удаленной атаки. К таким ИТВ можно отнести атаки, ориентированные на усложнение структуры трафика. Они основаны на известных фактах снижения своевременности функционирования маршрутизаторов, при обработке в них трафика сложной структуры в десятки раз. Вместе с тем, известные ИТВ, ориентированные на усложнение структуры трафика, требуют внедрения дополнительных пакетов в потоки трафика, что не позволяет им обеспечить высокий уровень бескомпроматности и скрытности от систем обнаружения вторжений, использующих способы анализа интенсивности трафика. Целью работы является разработка научно-методического аппарата (НМА) для обоснования ИТВ, основанных на полном перехвате трафика с последующим преобразованием его структуры в направлении ее усложнения. Такой НМА позволит обеспечить неизменность интенсивности потока трафика, обеспечить формирование структуры трафика с гораздо более высоким уровнем сложности, и, соответственно, более высокий уровень снижения своевременности его обработки в узлах сети. Используемые методы. В основу научно-методического аппарата для обоснования ИТВ, использующего усложнение структуры трафика, положен метод функционального преобразования трафика, ранее обоснованный в работах Г.И. Линца и представителей его научной школы. Результаты и их новизна. В работе обоснован оператор преобразования трафика из простейшего потока в поток со сложной структурой, имеющий распределение Парето. Проведено исследование этого оператора. Выявлено, что преобразование трафика из простого в сложный состоит из двух процессов. Первый процесс - «сжатие» интервалов между пакетами и формирование «пачек» трафика. Второй процесс - «разрежения» интервалов между пакетами и формирование «длинных пауз» между «пачками» пакетов. Исследование процессов преобразования выявило, что процесс «разрежения» интервалов между пакетами в области больших значений интервалов входного трафика, возникает с небольшой вероятностью и негативно отражается на задержках пакетов трафика. В связи с этим, процессом «разрежения» пакетов трафика при обосновании ИТВ можно пренебречь. Исследование процесса «сжатия» пакетов трафика выявило, что при прямом использовании оператора преобразования возникают отрицательные задержки пакетов. Проведено исследование этих задержек, сформированы предложения по исключению отрицательных задержек. Практическая значимость. Полученный оператор преобразования трафика из простейшего потока в поток со сложной структурой составит основу НМА для обоснования новых ИТВ. Такие ИТВ будут обладать свойством бескомпроматности и скрытности по отношению к существующим способам обнаружения сетевых атак, основанных на анализе интенсивности трафика в сети. Эти новые ИТВ могут использоваться для тестирования устойчивости и безопасности телекоммуникационных систем, а также для разработки способов их защиты.
Ключевые слова: информационная безопасность, информационное противоборство, сетевые атаки, обнаружение вторжений, способы обнаружения сетевых атак, информационно-техническое воздействие, преобразование трафика, сложный трафик, трафик сложной структуры.
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
Актуальность
В настоящее время актуальным направлением исследований является разработка моделей и методов оценки функционирования систем связи в условиях воздействия на них различного рода деструктивных факторов [1]. В настоящее время широко известны работы по оценке функционирования систем и сетей связи при воздействии на них радиоэлектронных помех. Однако, как показано в работах [2, 3], в связи с активным развитием теоретических основ информационной безопасности и информационного противоборства, становится актуальным поиск новых видов информационно-технических воздействий (ИТВ) с целью последующего их использования как для развития моделей противника, на основе которых будут обосновываться способы защиты, так и для развития отечественной методологии информационного противоборства.
Как показано в работе [4], одним из перспективных и высокоэффективных ИТВ является создание сетевых удаленных атак, направленных на отдельные объекты сети. Вместе с тем, использование таких атак приводит к существенному изменению интенсивности общего трафика в сети, что делает возможным успешное обнаружение такого типа ИТВ и успешное их блокирование системами обнаружения вторжений (IDS - Intrusion Detection System).
В работе [5] на основе анализа источников [6-7] проведена классификация аномалий трафика при проведении ИТВ типа «удаленная сетевая атака». Эта классификация приведена на рис. 1, а выявленные соответствия аномалий обобщенны в таблице 1.
Рис. 1. Классификация аномалий трафика при проведении ИТВ типа «удаленная сетевая атака» [5]
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
Таблица 1. Классификация аномалий трафика при проведении ИТВ _типа «удаленная сетевая атака» [5]_
Тип и причина аномалии Описание Характеристики изменений трафика
Альф а-аномалия Необычно высокий уровень трафика типа «точка-точка». Лавинообразный рост (выброс) интенсивности трафика как по количеству потоков, так и по интенсивности передачи пакетов в них по одному доминирующему направлению «источник-назначение». Небольшая продолжительность (до 10 минут).
DoS, DDoS-атака Распределённая атака типа «отказ в обслуживании» на один сетевой узел. Лавинообразный рост интенсивности трафика, как по количеству потоков, так и по интенсивности передачи пакетов в них, от множества источников к одному адресу назначения.
Перегрузка Необычно высокий спрос на один сетевой ресурс или сервис. Скачек интенсивности трафика к одному доминирующему ^-адресу и/или доминирующему порту. Обычно кратковременная аномалия.
Сканирование сети/портов Сканирование сети по определённым открытым портам или сканирование одного узла по всем портам с целью поиска уязвимостей. Скачкообразное изменение интенсивности трафика внутри потоков и по их количеству от одного доминирующего ^-адреса.
Деятельность червей Вредоносная программа, которая самостоятельно распространяется по сети и использует уязвимости ОС. Лавинообразный рост трафика без доминирующего адреса назначения, но всегда с одним или несколькими доминирующими портами назначения.
«Точка-мультиточка» Распространение контента от одного сервера многим пользователям. Рост интенсивности трафика от доминирующего источника к нескольким узлам назначения.
Отключения Сетевые неполадки, которые вызывают падение в трафике между одной парой «источник-назначение». Падение интенсивности трафика обычно до нуля. Может быть долговременным и включать все потоки «источник-назначение» от (или к) одного маршрутизатора.
Переключения потока Необычное переключение потоков трафика с одного входящего маршрутизатора на другой. Падение интенсивности в одном потоке трафика и ее мгновенный рост в другом. Может затрагивать несколько потоков трафика.
Анализ приведенных в таблице данных позволяет сделать вывод, что интенсивность трафика существенным образом зависит от типа ИТВ, что делает возможным не только идентификацию факта атаки, но и распознавание конкретного ее типа.
Systems of Control, Communication and Security
sccs.intelgr.com
В настоящее время идентификация и распознавание ИТВ на основе анализа трафика является сложившимся актуальным направлением исследований. Для выявления фактов ИТВ на основе анализа интенсивности сетевого трафика используются следующий научно-методический аппарат (НМА):
- трендовый анализ (например, работы И.М. Ажмухамедова и А. Н. Марьенкова [9, 10]);
- традиционные статистические подходы, основанные, прежде всего, на корреляционном анализе (например, работы О.И. Шелухина, А.А. Талалаева, И.П. Тищенко, В.П. Фраленко, В.М. Хачумова [11, 12] );
- методы на основе вейвлет-анализа (например, работы О.И. Шелухина, А.С. Филиновой, А.В. Гармашева [13-15] );
- подходы на основе классификаторов с использованием теории нечетких множеств (например, работа И. М. Ажмухамедова,
A. Н. Марьенкова [16]);
- методы фрактального анализа (например, работы М.А. Басараба, И.С. Строганова [17], О.И. Шелухина, А.А. Антонян [18], M. Mazurek, D. Pawel [19], P. Tarrio, A.M. Bernardos, J.R. Casar [20] );
- методы теории конечных автоматов, которые создаются на основе генетических алгоритмов (например, работа В.П. Фраленко [21] );
- анализ трафика на основе нейронных сетей (например, работы О.И. Шелухина, А.И. Чернышева [22], А.А. Талалаева, И.П. Тищенко,
B.П. Фраленко, В.М. Хачумова, Ю.Г. Емельяновой [23, 24, 30],
A.К. Большева, В.В. Яновского [25], J.Z. Lei, A. Ghorbani G. Wang, J. Hao, J. Ma, L. Huang [26-28], J. Cannady [29]), в том числе на основе нейро-нечетких систем (например, работы A.N. Toosi, M. Kahani, R. Monsefi [30], Z.A. Orang [31], A. Zainal, M.A. Maarof, S. M. Shamsuddin [32] );
- анализ трафика на основе бионических подходов, которые в свою очередь базируются на технологиях искусственных иммунных систем (например, работы S.A. Hofmeyr и S. Forrest [33, 34] );
- гибридные подходы, объединяющие несколько вариантов и способов анализа трафика (например, работы И.П. Тищенко, В.П. Фраленко,
B.М. Хачумова [35], А.А. Браницкого, И.В. Котенко [36], Y.P. Zhou [37], S.T. Powers, J. He [38] ).
Необходимо отметить, что большинство исследователей приходят к выводу о сложности и слабой формализуемости задачи достоверной идентификации ИТВ. В связи с этим, во все большем числе работ для идентификации ИТВ на основе анализа интенсивности трафика используются методы теорий интеллектуальных систем. Обзор использования интеллектуальных методов для решения задач идентификации ИТВ представлен в работе П.А. Корнева, А.Н. Пылькина и А.Ю. Свиридова [39]. При этом в работах Ю.Г. Емельяновой, А.А. Талалаева, И.П. Тищенко, В.П. Фраленко, В.М. Хачумова А.А. Кондратьева [21, 24, 35, 40-42]
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
представлен НМА и структура комплекса обнаружения вторжений на основе таких методов теорий интеллектуальных систем, как нейросетевой анализ и использование генетических алгоритмов.
В связи с тем, что вышерассмотренные подходы к идентификации ИТВ основаны на анализе интенсивности сетевого трафика, то бескомпроматное и эффективное ИТВ не должно вести к изменению этой интенсивности. Вариантом такого ИТВ является сетевая атака, ориентированная на изменение структуры трафика, при том же уровне интенсивности.
В работах [43, 44] указывается на существенное снижение своевременности обслуживания трафика со сложной структурой в узлах маршрутизации и коммутации пакетов.
При этом под трафиком сложной структуры понимается поток, у которого коэффициент вариации интервалов времени между поступлениями отдельных пакетов больше единицы (ст>1), где: ст =а(т)/т(т),
ст - коэффициент вариации значений интервалов времени между поступлениями отдельных пакетов трафика; т(т) - математическое ожидание (МОЖ) значений интервалов т времени между поступлениями отдельных пакетов трафика; а(т) - среднее квадратичное отклонение (СКО) значений интервалов т времени между поступлениями отдельных пакетов трафика.
Под своевременностью обслуживания трафика в узле сети будем понимать время от момента прихода начала пакета в узел, до момента покидания пакетом узла. Это время определяется задержкой при ожидании пакета в буфере узла и временем его обработки в коммутационном устройстве. При этом время обработки в коммутационном устройстве определяется объемом пакета и, как правило, для этого времени принимается допущение об экспоненциальном законе его распределения.
Результаты сравнительного анализа своевременности обслуживания в узле по показателю времени обслуживания трафика на основе моделей систем массового обслуживания М/М/1 и Ра/МП, представленные в работах [43, 44], где Ра - модель сложного трафика в виде потока с Парето распределением, показали следующее.
1. Область, в которой происходит существенное снижение своевременности обслуживания трафика со сложной структурой, определяется параметром формы а в Парето распределении (меньшие значения а соответствуют более высокому уровню сложности трафика) и уровнем загрузки узла сети р. Эта область аппроксимируется выражением а(р)^ 0,956 +1,114р при ае [1,2; 2] и загрузке ре [0,1; 0,9] - см. рис. 2.
Systems of Control, Communication and Security
sccs.intelgr.com
к го
x ^
m s
CD H
I ¡5
CD О
T О
S I
S *
CD О
® Ш
> О
1,2-
S. 1,4
I—
CD
ГО 1,6-1 Œ ГО
C 1,8H
2
Область, в которой происходит снижение своевременности обслуживания сложного
Область, в которой снижений своевременности обслуживания сложного трафика не происходит
1
0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 Уровень загрузки сетевого узла р
Рис. 2. Область {а, р}, в которой происходит существенное снижение своевременности обслуживания трафика со сложной структурой [43]
2. Своевременность обслуживания сложного трафика, представленного потоком с Парето-распределением моментов поступления заявок, со значениями параметра формы 1,3<а^2 по показателю «время задержки пакета в узле» в диапазоне загрузки узла 0,6<р<0,9, может быть аппроксимирована следующей функцией (рис. 3):
T3ад par ( а, Р) = Ар (а) • exp [(5,52 • 103 exp (-4,652а) +10,74) р + (3,451 • 105 exp (-8,301а ) +1,88),
+
(1)
где
А ( а ) =
4,435 -10
-4
1 + 2,225 • 106 е_6'889а 1,384 -10-4
, при 1,668 < а < 2;
19 -28,471а , ПРи1,3 < а < 1,668
1 +1,01 • 1019 в~
При этом в выражении (1) за единицу принято время обслуживания в системах массового обслуживания М/М/1 и Ра/М/1.
Рис. 3. Своевременность обслуживания сложного трафика по показателю
«время задержки пакета в узле» [44]
-X
Systems of Control, Communication and Security
sccs.intelgr.com
3. Сравнительный анализ времени задержки в системах массового обслуживания М/М/1 и Ра/М/1 показал, что своевременность обслуживания сложного трафика, представленного потоком с Парето-распределением моментов поступления заявок в разы ниже, чем простого, представленного простейшим потоком с экспоненциальным распределением (рис. 4).
%
9 о ■&
^ ю го
о ш о ч s ë > ш о
0,1
0,2 0,3
0,4 0,5 °,6 Загрузка р
0,7 0,8 0,S
Рис. 4. Уровень снижения своевременности обслуживания трафика со сложной структурой по отношению к трафику с экспоненциальным распределением [43]
Эти выводы вполне согласуются с исследованиями других авторов, в которых регистрируется факты снижения своевременности обработки сложного трафика. К примерам таких исследований можно привести работы известных специалистов - Ю.И. Рыжикова [45, 46], П.А. Будко [47], Л.А. Фомина [48, 58, 59], В.Н. Тарасова, Н.Ф. Бахаревой [49, 50], О.И. Шелухина [51], А.Н. Назарова, К.И. Сычева [52], Е.А. Новикова [62-65].
Таким образом ИТВ, основанное на формировании потоков трафика сложной структуры, может быть использовано для преднамеренного создания условий, направленных на повышение времени обработки информационных потоков в узлах маршрутизации, и как следствие, снижения своевременности обслуживания потоков трафика ниже значений, определяемых требованиями к системе связи.
В работе [53] предложен вариант ИТВ, основанный на формировании структуры информационных потоков трафика с высоким уровнем сложности, за счет внедрения дополнительных имитационных потоков. Однако у этого ИТВ есть ряд недостатков. Во-первых, ИТВ, основанное на внедрении дополнительных пакетов, будет приводить к росту интенсивности трафика, что приведет к идентификации такого ИТВ на основе вышеприведенных способов обнаружения сетевых аномалий. Во-вторых, как показывают исследования этого ИТВ, проведенные в работе [53], доля внедряемого трафика не может быть более 12%, иначе происходит «разваливание потока» - внедряемые пакеты начинают замещать собой «нормальные пакеты». При этом достигаются относительно невысокие значения уровня сложности трафика ст^2,5.
Systems of Control, Communication and Security
sccs.intelgr.com
Для устранения этих недостатков предлагается ИТВ, основанное на полном перехвате трафика с последующим преобразованием его структуры в сторону ее усложнения. Это позволит, с одной стороны, обеспечить неизменность интенсивности потока трафика, а значит, сделает такое ИТВ бескомпоматным относительно способов идентификации сетевых атак на основе анализа интенсивности трафика. С другой стороны - обеспечит формирование структуры трафика с гораздо более высоким уровнем сложности, а соответственно и более высокий уровень снижения своевременности его обработки в узлах сети. Схема системы, осуществляющей такое ИТВ, представлена на рис. 5.
Рис. 5. Схема системы, осуществляющей ИТВ на основе преобразования структуры трафика
Постановка задачи
Цель работы - разработка ИТВ типа «удаленная сетевая атака», основанного на перехвате трафика и преобразовании его структуры в направлении усложнения. Задача работы - разработка новых элементов НМА теории информационного противоборства для обоснования параметров такого ИТВ. Эта задача может быть декомпозирована на ряд частных задач:
1) обосновать оператор преобразования трафика;
2) исследовать оператор преобразования трафика;
3) предложить рекомендации по рациональному практическому применению оператора преобразования трафика.
Как показано в обзоре [54], для представления сложного трафика можно использовать различные модели - ОК-ОБЕ модели; потоки с распределениями Парето, Вейбула, Гамма, потоки Кокса, и другие подходы. В рамках решаемой задачи предлагается использовать поток, в котором время между приходом заявок имеет Парето-распределение. Выбор Парето-распределения в качестве модели сложного трафика обусловлено следующими соображениями.
Во-первых, как показано в работе [43], сложный трафик с коэффициентом вариации ст>1 может быть представлен моделью потока с Парето-распределением
G(x ) = 1
'АЛ
V т У
, к > 0, а > 0,т > к.
а
Systems of Control, Communication and Security
sccs.intelgr.com
где т - интервал времени между поступлением очередных заявок в потоке с распределением Парето; к - коэффициент масштаба; а - параметр формы распределения Парето.
Зависимость между коэффициентом вариации ст и параметром а распределения Парето в диапазоне ае[1,2; 2] с погрешностью до 3,27% может быть аппроксимирована выражением [21] с,(а) = 1,41-104 • е"5384а +1,52,
откуда
а =—1— ln 5,384
+1,52 Л V 1,41 -104 у
Во-вторых, как показано в большинстве работ по сложному трафику (например, в работах [47, 52] ), самоподобный трафик с коэффициентом Херста Н также может быть представлен моделью потока с Парето-распределением. При этом зависимость между коэффициентом Херста в диапазоне Не[0,5; 1] и параметром а имеет вид [47] а = 3 - 2Н.
В-третьих, корректность и адекватность моделирования сложного трафика потоком с Парето-распределением моментов поступления заявок подтверждается аналогичным подходом, используемым различными исследователями в работах [47, 55, 57].
В качестве модели входного трафика, который подвергается преобразованию, используется простейший поток, который давно и традиционно используется для моделирования информационных потоков в сетях в теории телетрафика, с функцией распределения: Р (т) = 1 - е ,
Для формализации задачи в работе введены следующие обозначения:
т - интервал времени между поступлением смежных очередных пакетов трафика;
твх - интервал времени между поступлением пакетов входного потока трафика, который будет подвергнут преобразованию;
твых - интервал времени между поступлением пакетов выходного потока трафика, который уже преобразован;
Лт=твых-твх - задержка пакета при выполнении преобразования;
Аттш - минимальное значение задержки пакета трафика при выполнении преобразования;
Лттах - максимальное значение задержки пакета трафика при выполнении преобразования;
ДЛт) - плотность распределения задержки пакетов трафика при выполнении преобразования;
X - параметр экспоненциального распределения;
а - параметр формы распределения Парето;
к - коэффициент масштаба распределения Парето;
Н - коэффициент Херста, определяющий уровень самоподобия трафика;
р - загрузка сетевого узла;
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
m - математическое ожидание;
а - среднее квадратическое отклонение;
ст - коэффициент вариации трафика, его дисперсионная характеристика, определяющая структурную сложность трафика.
Обоснование оператора преобразования трафика
Для обоснования оператора преобразования трафика был использован метод функционального преобразования трафика, впервые предложенный в работе Г.И. Линца, Л.А. Фомина, С.А. Скоробогатова [58]. В ней метод функционального преобразования трафика предлагался в качестве направления снижения структурной сложности входного трафика. Дальнейшее развитие метод функционального преобразования получил в работах Г.И. Линца и его коллег [57, 59, 60], где на основе этого метода решается задача обеспечения инвариантности мультисервисной сети к структуре входного трафика.
Вместе с тем, анализ исследований Г.И. Линца и его коллег [57-60] показал, что полученные в них результаты носят общетеоретический характер, а разработанный НМА функционального преобразования трафика трудно применим на практике. В частности этим НМА не учитываются требования по качеству обслуживания (QoS - Quality of Service) трафика (задержка преобразования, требуемый объем буфера преобразователя, вероятность отказа в обслуживании), а также сохранение вероятностно-временных параметров преобразования (равенство математических ожиданий входного и выходного потоков трафика, только положительный сдвиг во времени поступивших пакетов, невозможность преобразования всех пакетов и т.д.).
В работе К.В. Ушанева, С.И. Макаренко [56] решена задача разработки НМА преобразования трафика с учетом требований по QoS и вышеуказанных дополнительных параметров, но применительно к задаче снижения структурной сложности трафика. Вместе с тем, в этой работе, так же как и в работах Г.И. Линца, не рассматривается задача преобразования структуры трафика в направлении его усложнения.
Таким образом, для обоснования оператора преобразования трафика в направлении усложнения его структуры будет использован метод функционального преобразования трафика, рассмотренный в работах Г.И. Линца и его коллег [57-60]. Дальнейшее совершенствование процесса преобразования трафика на основе обоснованного оператора будет вестись с учетом требований по QoS и параметров преобразования, в соответствии с наработками, представленными в работе [56].
В соответствии с поставленной задачей, входной поток трафика моделируется простейшим потоком и имеет экспоненциальное время распределения между поступлениями очередных заявок:
F (Тх ) = 1 - е . (2)
Выходной поток трафика моделируется потоком сложной структуры и имеет Парето-распределение значений времени между поступлениями очередных заявок:
Systems of Control, Communication and Security
sccs.intelgr.com
G( X _ ) = 1 -
С 1 \a k
k > 0, a > 0,x > k.
\ T I V вых у
(3)
Сформируем оператор ф, который задает отображение:
ф : Дт«) ^ О(твых). (4)
С учетом свойства инвариантности дифференциалов вероятности можно записать:
/ (Твх ) = Я (Твых ) Жеыс , (5)
откуда в общем виде можно получить оператор преобразования:
(6)
S ( Твых ) f ( Твх )
Проинтегрировав выражение (5), получим
т т
| / ( Твх ) ^Твх =| Я ( Твых ) ^вых • (7)
0 0
Последнее выражение определяет равенство функций вероятности входного и выходного процессов:
Р (т вх ) = О (т ) • (8)
Определим оператор преобразования из (8) с учетом того, что функция О(твых) определяется выражением (3):
F ( т „ )=1
' k
\ Т !
V вых y
откуда получим оператор преобразования произвольного экспоненциального распределения Дхвх) в поток с Парето-распределением:
т
ы
ka
Ла
1 ж \ • (9)
1 " р ( твх )
Из последнего выражения определим оператор преобразования потока ф с экспоненциальным распределением в поток с распределением Парето, с учетом того, что функция Дхвх) определяется выражением (2):
= твх ) =
ka
Хтх
= ke a
(10)
1 -(1 - е" )
Введем дополнительные условия для преобразования (10), определяемые физикой процесса преобразования трафика:
1) введем ограничения на нормировку параметров. Все параметры и
результаты нормируем к параметру входного распределения, приняв
его за значение единицы: т(твх)=1А=1;
2) введем ограничения на уровень сложности преобразуемого трафика, который, в соответствии с работой [43], определяется по параметру а, причем 1<а<2 (большему значению параметра а соответствует меньший уровень сложности трафика);
1
1
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
3) введем допущение о равенстве математических ожиданий входного и выходного потоков, что соответствует требованию обеспечения инвариантности средней интенсивности входящего и выходящего потоков: 1 ак
X а -1'
откуда, с учетом ограничения № 1, получим соотношение между параметрами а и к в Парето-распределении для одного и того же Х=1: а -1
к=а-1. (11) а
С учетом ограничения № 2 получим, что параметр к в условиях нормировки имеет область значений 0<к<1, при области определения 1<а<2.
В условиях учета реальных, а не нормированных значений X,
параметр к будет определяться по формуле:
, а -1
к =-.
а • X
Исследование оператора преобразования трафика на предмет выявления в нем типовых процессов
Исследуем оператор преобразования ф, определяемый выражением (10). При этом учтем ограничения на сложность трафика 1<а<2. Результаты исследования оператора преобразования твых=ф(твх), для предельных значений сложности трафика а=1 и а=2, для параметра 0<к<1 представлены на рис. 6.
а. б.
Рис. 6. Результаты исследования оператора преобразования твых=ф(твх) для предельных значений сложности трафика: а) низкий уровень сложности трафика а=2; б) наиболее сложный трафик а=1.
Systems of Control, Communication and Security
sccs.intelgr.com
Анализ зависимостей, представленных на рис. 6, позволяет сделать вывод о том, что область определения оператора хвых=ф(твх) можно разделить на две подобласти:
1) область А (хвых<Хвх), в которой преобразование твых=ф(твх) направленно на «сжатие» интервалов между пакетами и формирование «пачек» трафика, что соответствует росту вероятности коротких интервалов между приходом пакетов выходного трафика;
2) область Э2 (хвых>хвх), в которой преобразование хвых=ф(хвх) направленно на «разрежение» интервалов между пакетами и формирование «длинных пауз» между «пачками», что соответствует формированию более длинного «хвоста» плотности распределения интервалов времени между пакетами выходного трафика.
При анализе процессов преобразования также необходимо учитывать, что параметр к в распределении Парето (3), которому соответствует выходной трафик, принимает не произвольные значения, а определяется выражением (11) при условии т(твх)=1А=1. С учетом этого, процессы преобразования трафика на основе оператора Хвых=ф(твх) фактически зависят только от параметра сложности трафика а.
На рис. 7 представлены графики, соответствующие процессам «разрежения» и «сжатия» в операторе преобразования, при значениях:
- а=1,2 (наиболее сложный трафик);
- а=1,6 (стандартный уровень сложности Интернет трафика);
- а=2 (низкий уровень сложности трафика); при расчетном значении к=(а-1)/а для каждого а.
Также на рис. 7. представлены вероятности для значений твх=т(твх)+а(твх)=2 и твх=т(твх)+2а(твх)=3, которые соответственно равны Дхвх^2)=0,865 и Дхвх^3)=0,95. Таким образом можно утверждать, что с вероятностью Р=0,95 значения интервалов входного трафика твх не превысят значения 3 при нормировании т(твх)=1А=1.
Процесс «разрежения» трафика
Р(Твх<3,63)=0,973 Р(твх<0,2)=°Л8 р(твх^3)=0,95 / Р(хВх<3,72)=0,976
Р(Твх-0,5)=0,4 / р(Хвх<2)=0,865/ I Р(твх'<4,3)=0986
0,2 0,5 0,7 1 2 3 4
Интервалы между пакетами
входного трафика твх
Рис. 7. Процессы преобразования при различных значениях уровня сложности трафика а
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
Анализ рис. 7 позволяет сделать вывод, что при преобразовании трафика, как правило, с большой вероятностью будет выполняться процесс «сжатия» трафика, чем его «разрежение» (таблица 2).
Таким образом, процесс «сжатия» интервалов выходного трафика по сравнению с интервалами входного трафика является основным процессом преобразования, который проводится с тем большей вероятностью, чем больше требуемая сложность формируемого сложного трафика. Процесс «сжатия» приводит к тому, что отдельные пакеты входного простейшего потока объединяются в «пачки» пакетов.
Вместе с тем, анализ процесса позволяет предположить, что оператор преобразования твых=ф(твх) не может быть применен в явном виде для прямого «сжатия» трафика, так как может случиться ситуация, когда поступивший пакет должен быть оправлен раньше времени своего поступления (рис. 7). Это требует отдельного, более глубокого исследования процесса «сжатия» при формировании трафика.
Таблица 2. Вероятности процессов «сжатия» и «разрежения» _трафика при его преобразовании_
Уровень сложности выходного трафика Вероятность процесса «разрежения» пакетов трафика Вероятность процесса «сжатия» пакетов трафика
Низкий уровень сложности трафика а=2 0,524 0,476
Стандартный уровень сложности Интернет трафика а=1,6 0,427 0,573
Наиболее высокий уровень сложности трафика а=1,2 0,194 0,806
Кроме того, анализ графиков на рис. 6 позволяет сделать вывод о том, что после некоторого значения твх, процесс «сжатия» сменяется процессом «разрежения», при этом увеличивающимся значениям твх соответствуют все более и более возрастающие значения Твых. При этом вероятность процесса «разрежения» пакетов в области высоких значений твх весьма мала:
- для формирования трафика с низким уровнем сложности с а=2 вероятность процесса «разрежения» пакетов - Р(твх>4,3)=0,014;
- для формирования трафика с нормальным уровнем сложности с а=1,6 вероятность процесса «разрежения» пакетов - Р(твх>3,63)=0,027;
- для формирования трафика с высоким уровнем сложности с а=1,2 вероятность процесса «разрежения» пакетов - Р(твх>3,72)=0,024.
Как видно, вероятность поступления пакетов с интервалами твх>3 весьма мала. Вместе с тем, поступление пакетов с интервалом твх, находящегося в диапазоне твх>3,5, которому соответствует процесс «разрежения» трафика,
Systems of Control, Communication and Security
sccs.intelgr.com
приводит к тому, что оператор преобразования Твых=ф(твх) формирует для таких значений твх неоправданно высокие значения твых (достигают значений десятков и сотен условных единиц). В результате, из-за необходимости соблюдать последовательность пакетов в выходном трафике, новые пакеты, поступающие в это время, вынуждены ожидать в системе преобразования. Это приводит к быстрому накоплению очереди пакетов и росту среднего времени задержки пакетов в системе преобразования трафика.
Исследование процесса «сжатия» трафика в операторе преобразования
Для рассмотрения процессов «сжатия» трафика введем параметр задержки пакета как разность между интервалом отправки пакета и интервалом поступления пакета (рис. 8):
Дх= ~Твых Твх.
С учетом выражения (10):
К*
Ах(твх) = кв « -твх. (12)
Таким образом, параметр задержки пакета Дт(твх) в системе преобразования является детерминированной функцией от случайного аргумента Тех, который, в свою очередь, имеет экспоненциальное распределение. Это позволяет аналитически вывести и исследовать функцию плотности распределения _ДДт(тех)).
т
т
т
т„
т„
т„
Лт2, Дт3 < 0; Дт4 > 0
'вых2 вых 3 вых4
Рис. 8. Задержка Дт=теых -Тех в системе преобразования трафика
Для получения плотности вероятности _ДДт(твх)) для детерминированной функции ДТ(Твх) от случайного аргумента используем известное выражение [61]:
^ ех (Ат )
f (Лт )= ^ ( Твх (ДТ ))
d Лт
(13)
Применение этого выражения требует непрерывности и монотонности функции Дт(тех) [61]. Исследуем функцию Дт(тех) на интервалы монотонности, найдя точки ее перегиба.
Первая производная функции Дт(тех) равна:
Systems of Control, Communication and Security
sccs.intelgr.com
d
dx
Xk — "At(xex) = —e a -1. a
Эта производная обращается в ноль при:
a
т"=Xln
V Xk у
(14)
Таким образом, функция Дт(тех) имеет два интервала монотонности
Твх е
0;ain
X
V Xk у
и т
a in
X
'аЛ V Xk у
; œ
Рассмотрим функцию Дт(тех) на первом из этих интервалов т.к. значения Тех^О соответствуют наиболее высоким значениям функции плотности вероятности У(Твх) - см. рис. 9.
В явном виде использование выражения (13) по отношению к Дт(тех) невозможно. Т.к. выражение (12) для Дт(твх) является трансцендентным, что не позволяет выразить функцию твх(Дт) в явном аналитическом виде. Для преодоления этого затруднения представим экспоненциальную функцию в выражении (12) через разложение в ряд Тейлора, ограничившись двумя членами ряда:
XT„
Ат(твх) = ke a -тех = k 1+ Х
X 2k
v 2a 2 у
т2х +
V
Л
i=1
Xx„
a
-1™ =
Xk _
V a у
т„„ + k.
(15)
Выражение (15) позволяет со степенью адекватности, достаточной для инженерных расчетов, представить функцию Дт(тех). На интервале Тех<2 (вероятность Р(тех<2)=0,865) погрешность представления выражением (15), точной функции Дт(тех) не превышает 20%. Причем наибольшую точность приближения выражение (15) показывает в области хех^0, которая соответствует наиболее вероятным значениям тех. Кроме того, точка перегиба (14) при любых а=1..2 и А=(а-1)/а соответствует условию тех>2. Таким образом, интервал тех<2, на котором выражение (15) задается с достаточным уровнем адекватности, полностью принадлежит первому интервалу монотонности, определенному ранее.
Для формирования функции твх(Дт), обратной функции Дт(тех), найдем корни квадратного уравнения (15):
2а2 ( 2а2 - 2аХк ^а2 - 2аХк - X2 к2 + 2Х2к Ат
.1 (Ат )
вх 2
(Ат )
X 2k
2a2
X 2k
4 a2
2a2 - 2aXk
4a
2 a
Va1
2aXk - X 2k2 + 2X 2k Ат
2 a
(16)
Systems of Control, Communication and Security
sccs.intelgr.com
Графический вид функций твх ¡(Ах) и твх2(Лт) представлен на рис. 9. В связи с тем, что диапазону тех<2 соответствует функция твх 2(Ат), то именно она будет рассматриваться в дальнейшем.
S -
CD Ня
га S
3 га
I £
-о о
Ц X
га ci
й о х
0 CQ
10
8 6 4 2 0
\ 0
\Тв х 1(ДТ) т - = Iln -1 ум у
Т - / вх 2(ат)
/
/ 3
Область Твх<2 2
2
0
2
4
Длительность задержки Ат(твх)
Рис. 9. Графики функций Тех ¡(Ат) и Твх 2(Ат)
Для нахождения дифференциала йГх/^Ат в выражении продифференцируем функцию Твх 2(Ат), определяемую выражением (16):
^ (А )_ х 2 (Ат )_
d Ах
d Ат
а
2аЛк-Л2к2 + 2Л"к Ат
(13) (17)
Окончательно выражение (13) для плотности вероятности /(Ат) с учетом выражений (16) и (17) будет иметь вид:
Г 2а2 - 2аЛк ^а2 - 2оЛк - Л2к2 + 2Л2к Ах Л 4а2 2а
f (Ат ) =Л- exp
2а2
Л к
х
X
-а
а2 - 2аЛк - Л2к2 + 2Лгк Ат
(18)
Исследуем функцию (17).
Из рис. 9 видно, что минимальное значение функция Ат(тех) принимает в
а
а
уЛк у
. Таким образом, с учетом выражения (12),
точке перегиба: твх =— 1п
Л
можно сделать вывод, что область определения функции /(Ат) ограничена слева значением:
' - ' а ^ 1 ' л л
Ах„
х„
а, — ln
Л
Лк
а ln
а
vЛk у
1
(19)
которое зависит от параметров распределения Парето а и входного потока X.
Также из рис. 9 видно, что верхнее значение области определения /(Ах) определяется из выражения (12) при Ах(хвл=0). Откуда:
Ат тах (хех = 0) = к. (20)
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
Область определения функции плотности вероятности .ДДт), ограниченная графиками Дттт и Дттах, определяемых выражениями (19) и (20) соответственно, при допущениях о нормировке т(твх)=1А=1 и &=(а-1)/а представлена на рис. 10.
0,5
о о
X
-0 ц
^ <1 £ Si
х о
CD
т
со
X
CI
0.5
-1.5
Обл --Ax асть ax ( a ) Ах>0
опреде функци ;ления 1И /(Ах) Ах<0
ATmin (a
1.6
1.8
1.2 1.4
Параметр а, задающий уровень сложности формируемого трафика
Рис. 10. Область определения функции плотности вероятности .ДДт), ограниченная графиками Дттт и Дттах, в зависимости от параметра а
0
1
Из рис. 10 видно, что максимального значения Дттт~ -0,7 достигает при а~1,7. При этом для всего диапазона а=1,2...2 эта нижняя граница области определения ДДт) лежит в диапазоне Дт<0. Более того, видно, что большая часть области определения лежит в диапазоне Дт<0, что не позволяет использовать оператор преобразования твых=ф(твх) в этой области, т.к. задержки поступающих пакетов не могут быть отрицательными.
Рассмотрим поведение функции плотности вероятности ДДт) на области ее определения.
1.5
е <
г ?
§ *
^ о
i im
* я
I О
0 m
0,55
Ат< 0 a = 1,2 a = 1,6 \ A // / Ат>0
i = 2 у У /
О
-1,5 -10 1
Значение длительности ¡задержки Дт
Рис. 11. Графики плотности вероятности.ДДт) при различных значениях уровня сложности а формируемого трафика
Дело в том, что значения Дттах в области определения .ДДт) соответствуют значениям твх^0, которые при экспоненциальном законе распределения твх, являются наиболее вероятными. И при высокой вероятности
1
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
группирования величины Ат в диапазоне Ат>0 можно ограничиться применением оператора преобразования только в этой области.
На рис. 11 представлены графики плотности вероятности /(Ат) при различных значениях уровня сложности формируемого трафика а=1,2, 1,6, 2, при допущениях о нормировке ш(твх)=к=1 и А=(а-1)/а.
В таблице 3 приведены параметры плотностей вероятности /(Ат) при вышеуказанных значениях а. Отсутствие равенства единице крайнего столбика в таблице 3 объясняется введенными вверху допущениями о сужении области определения и рассмотрении при исследовании только функции твх 2(Ат).
Таблица 3. Параметры плотности вероятности /(Ат) при различных значениях _уровня сложности а формируемого трафика_
Уровень сложности формируемого трафика Область определения функции /(Ат) Вероятность того, что значение Ат попадет в заданную область
ATmin ATmax [ATmin, 0] [0, ATmax] [ATmin, ATmax]
Низкий уровень сложности трафика а=2 -0,773 0,5 0,363 0,508 0,871
Стандартный уровень сложности Интернет трафика а=1,6 -0,721 0,375 0,417 0,403 0,82
Высокий уровень сложности трафика а=1,2 -1,169 0,167 0,65 0,178 0,828
Таким образом, оператор преобразования твЫх=ф(твх) не может быть применен в чистом виде для прямого «сжатия» трафика, так как при этом с вероятностью Р(Ат<0)~0,5 возникает ситуация, когда поступивший пакет должен быть отправлен раньше времени своего поступления (рис. 11, табл. 3). В связи с этим, процессы преобразования трафика в направлении его усложнения требуют дальнейших исследований.
Рекомендации по рациональному практическому применению оператора преобразования трафика
Проведенное исследование оператора преобразования трафика позволило сформировать следующие рекомендации по рациональному практическому применению оператора преобразования трафика для разработки соответствующего ИТВ, а также рекомендации по направлениям дальнейших исследований.
1) В операторе преобразования трафика ф предлагается ввести параметр дополнительной задержки всех поступающих входных пакетов. Это необходимо, чтобы компенсировать отрицательные значения задержки пакетов в системе преобразования, которые невозможно реализовать в реальной системе. Значение этой задержки и порядок ее использования в составе оператора преобразования является направлением дальнейшего исследования. Вместе с тем, уже сейчас ясно, что этот параметр должен зависеть от уровня
Systems of Control, Communication and Security
sccs.intelgr.com
сложности формируемого сложного трафика а и соответствовать минимальному значению Tebx=9(Tex) при Tex=0. Вместе с тем, при введении такой задержки, необходимо учитывать требования по обеспечению QoS трафика при использовании ИТВ, основанного на преобразовании структуры трафика в направлении ее усложнения.
2) При реализации ИТВ, основанного на преобразовании структуры трафика, необходимо обеспечивать не только требуемый уровень сложности выходного трафика, но и обеспечивать соответствие параметров выходного трафика требованиям QoS, иначе протоколы системы связи примут решения о недостаточном качестве соединения и его разрыве. В связи с этим, дальнейшим направлением исследования является согласование процесса преобразования трафика (по параметрам времени задержки пакетов в системе преобразования и вероятность отказа в обслуживании) с требованиями по QoS для преобразуемого трафика.
3) Исследование процессов «разрежения» трафика в области высоких значений Tex показало, что вероятность поступления пакетов с такими интервалами весьма мало. Например: P(Tex>2)=0,135 и P(Tex>3)=0,05. Вместе с тем, поступление пакетов с интервалом Tex, находящемся в диапазоне Tex>3, которому соответствует процесс «разрежения» трафика, приводит к тому, что оператор преобразования Tebu=9(Tex) формирует для таких значений Tex неоправданно высокие значения Tebix (достигают значений десятков и сотен условных единиц). В результате, из-за необходимости соблюдать последовательность пакетов в выходном трафике, новые пакеты, поступающие в это время, вынуждены ожидать в системе преобразования. Это приводит к быстрому накоплению очереди пакетов и росту среднего времени задержки пакетов в системе преобразования трафика, которое не совместимо с требованиями QoS. В связи с этим, предлагается при инженерной реализации системы преобразования трафика не использовать преобразование для входных пакетов, поступающих с интервалами ъх>2 (при доле преобразованных пакетов 86,5%) или Tвх>3 (при доле преобразованных пакетов 95%).
Выводы
Современные системы IDS для обнаружения ИТВ типа «удаленная сетевая атака» широко используют анализ интенсивности трафика, поступающего от различных узлов сети. Для обеспечения бескомпроматности ИТВ необходимо обеспечить неизменность интенсивности трафика, поступающего от атакующего узла. Таким ИТВ может быть воздействие, ориентированное на усложнение структуры трафика при обеспечении инвариантности его интенсивности. Использование такого ИТВ позволит обеспечить существенное снижение своевременности обработки потоков трафика в узлах сети до 7-9 раз!
Ранее разработанное ИТВ, ориентированное на усложнение структуры трафика [53], использовало внедрение в поток передаваемого трафика дополнительных имитационных пакетов. Однако у этого ИТВ есть ряд недостатков. Во-первых, такое ИТВ, основанное на внедрении дополнительных
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
пакетов будет приводить к росту интенсивности трафика, что приведет к его выявлению. Во-вторых, при таком ИТВ достигаются относительно невысокие значения уровня сложности трафика.
Для устранения этих недостатков предлагается ИТВ, основанное на полном перехвате трафика с последующим преобразованием его структуры в сторону ее усложнения. Это позволит обеспечить неизменность интенсивности потока трафика, обеспечить формирование структуры трафика с гораздо более высоким уровнем сложности, и, соответственно, более высокий уровень снижения своевременности его обработки в узлах сети.
Для разработки такого ИТВ, основанного на преобразовании структуры трафика, предлагается использовать метод функционального преобразования трафика, впервые предложенный в работе Г.И. Линца, Л.А. Фомина, С.А. Скоробогатова [58].
В работе обоснован оператор преобразования трафика из простейшего потока в поток со сложной структурой, имеющий распределение Парето. Проведено исследование этого оператора. Выявлено, что преобразование трафика из простого в сложный состоит из двух процессов. Это процесс «сжатия» интервалов между пакетами и формирование «пачек» трафика, что соответствует росту вероятности коротких интервалов между пакетами выходного сложного трафика. И процесс «разрежения» интервалов между пакетами и формирование «длинных пауз» между «пачками» пакетов, что соответствует формированию «длинного хвоста» плотности распределения интервалов выходного сложного трафика.
Исследование процессов преобразования выявило, что процесс «разрежения» интервалов между пакетами в области больших значений интервалов входного трафика возникает с небольшой вероятностью и негативно влияет на процесс преобразования. В связи с этим, данным процессом при формировании инженерной системы ИТВ можно пренебречь. Исследование процесса «сжатия» пакетов трафика выявило, что при прямом использовании оператора преобразования возникают отрицательные задержки пакетов в системе ИТВ, что противоречит физическому смыслу процесса. Проведено исследование этих задержек, построена функция плотности вероятности, проведен анализ области ее определения. Сформированы предложения по исключению отрицательных задержек при преобразовании трафика. Кроме того, сформированы направления дальнейших исследований, направленных на доработку процесса преобразования трафика и согласования его с требованиями по ОоБ, используемыми в сети.
Литература
1. Михайлов Р.Л., Макаренко С.И. Оценка устойчивости сети связи в условиях воздействия на неё дестабилизирующих факторов // Радиотехнические и телекоммуникационные системы. № 4. 2013. С. 69-79.
2. Макаренко С. И., Чукляев И. И. Терминологический базис в области информационного противоборства // Вопросы кибербезопасности. № 1(2). 2014. С. 13-21.
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
3. Макаренко С. И., Михайлов Р. Л. Информационные конфликты -анализ работ и методологии исследования // Системы управления, связи и безопасности. 2016. № 3. С. 95-178. URL: http://sccs.intelgr.com/archive/2016-03/04-Makarenko.pdf (дата обращения 17.09.2016).
4. Макаренко С. И. Информационное оружие в технической сфере: терминология, классификация, примеры // Системы управления, связи и безопасности. 2016. № 3. С. 292-376. URL: http://sccs.intelgr.com/archive/2016-03/11-Makarenko.pdf (дата обращения 05.12.2016).
5. Микова С. Ю., Оладько В. С., Нестеренко М. А. Подход к классификации аномалий сетевого трафика // Инновационная наука. 2015. № 11. С. 78-80.
6. Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии // Вестник Волгоградского государственного университета. Серия 10: Инновационная деятельность. 2011. № 5. С. 54-56.
7. Артамонов В. А. Обнаружение сетевых аномалий через реконструкцию сетевого трафика // Известия Южного федерального университета. Технические науки. 2007. Т. 76. № 1. С. 127-130.
8. Шелухин О. И., Сакалема Д. Ж., Филинова А. С. Обнаружение вторжений в компьютерные сети (сетевые аномалии). Учебное пособие для вузов / Под ред. О.И. Шелухина. - М.: Горячая линия-Телеком, 2013. - 220 с.
9. Ажмухамедов И. М., Марьенков А. Н. Поиск и оценка аномалий сетевого трафика на основе циклического анализа // Инженерный вестник Дона. 2012. Т. 20. № 2. С. 17-26.
10. Ажмухамедов И. М., Марьенков А. Н. Выявление аномалий в вычислительных сетях общего пользования на основе прогнозирования объема сетевого трафика // Проблемы информационной безопасности. Компьютерные системы. 2012. № 3. С. 35-39.
11. Шелухин О. И., Судариков Р. А. Анализ информативных признаков в задачах обнаружения аномалий трафика статистическими методами // T-Comm: Телекоммуникации и транспорт. 2014. Т. 8. № 3. С. 14-18.
12. Талалаев А. А., Тищенко И. П., Фраленко В. П., Хачумов В. М. Распределённая система защиты облачных вычислений от сетевых атак // Вестник СибГУТИ. 2013. № 3. С. 46-62.
13. Шелухин О. И., Филинова А. С. Сравнительный анализ алгоритмов обнаружения аномалий трафика методами дискретного вейвлет-анализа // T-Comm: Телекоммуникации и транспорт. 2014. Т. 8. № 9. С. 89-97.
14. Шелухин О. И., Гармашев А .В. Обнаружение аномальных выбросов телекоммуникационного трафика методами дискретного вейвлет-анализа // Электромагнитные волны и электронные системы. 2012. Т. 17. № 2. С. 15-26.
15. Шелухин О. И., Гармашев А. В. Обнаружение DOS и DDOS-атак методом дискретного вейвлет-анализа // T-Comm: Телекоммуникации и транспорт. 2011. № 1. С. 44-46.
16. Ажмухамедов И. М., Марьенков А. Н. Определение аномалий объема сетевого трафика на основе аппарата нечетких множеств // Вестник
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
Астраханского государственного технического университета. 2011. № 1. С. 4850.
17. Басараб М. А., Строганов И. С. Обнаружение аномалий в информационных процессах на основе мультифрактального анализа // Вопросы кибербезопасности. 2014. № 4 (7). С. 30-40.
18. Шелухин О. И., Антонян А. А. Анализ изменений фрактальных свойств телекоммуникационного трафика вызванных аномальными вторжениями // T-Comm: Телекоммуникации и транспорт. 2014. Т. 8. № 6. С. 61-64.
19. Mazurek M., Dymora P. Network anomaly detection based on the statistical self-similarity factor for HTTP protocol // Przegl^d Elektrotechniczny. 2014. Vol. 90. № 1. P. 127-130.
20. Tarrío P., Bernardos A. M., Casar J. R. Weighted least squares techniques for improved received signal strength based localization // Sensors. 2011. Т. 11. № 9. С. 8569-8592.
21. Фраленко В. П. Обнаружение сетевых атак с помощью генетически создаваемых конечных автоматов // Вестник РУДН. Серия Математика. Информатика. Физика. 2012. № 4. С. 96-102.
22. Шелухин О. И., Чернышев А. И. Исследование и моделирование нейросетевых алгоритмов обнаружения аномальных вторжений в компьютерные сети // T-Comm: Телекоммуникации и транспорт. 2014. Т. 8. № 12. С. 102-106.
23. Талалаев А. А., Тищенко И. П., Фраленко В. П., Хачумов В. М. Эксперименты по нейросетевому мониторингу и распознаванию сетевых атак // Информационное противодействие угрозам терроризма. 2010. № 15. С. 81-86.
24. Талалаев А. А., Тищенко И. П., Фраленко В. П., Хачумов В. М. Разработка нейросетевого модуля мониторинга аномальной сетевой активности // Нейрокомпьютеры: разработка и применение. 2011. № 7. С. 32-38.
25. Большев А. К., Яновский В. В. Применение нейронных сетей для обнаружения вторжений в компьютерные сети // Вестник Санкт-Петербургского университета. Серия 10. Прикладная математика. Информатика. Процессы управления. 2010. № 1. С. 129-135.
26. Lei J. Z., Ghorbani A. Network Intrusion Detection Using an Improved Competitive Learning Neural Network // Proc. of Second Annual Conf. on Communication Networks and Services Research. 2004. P. 190-197.
27. Wang G., Hao J., Ma J., Huang L. A New Approach to Intrusion Detection Using Artificial Neural Net-works and Fuzzy Clustering // Expert Systems with Applications. 2010. Vol. 37. No. 9. P. 6225-6232.
28. Lei J. Z., Ghorbani A. A. Improved Competitive Learning Neural Networks for Network Intrusion and Fraud Detection // Neurocomputing. 2012. Vol. 75. No. 1. P. 135-145.
29. Cannady J. Artificial Neural Networks for Misuse Detection // Proc. of National Information Systems Security Conf. 1998. P. 368-381.
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
30. Toosi A. N., Kahani M., Monsefi R. Network Intrusion Detection Based on Neuro-Fuzzy Classification // Proc. of Intern. Conf. on Computing and Informatics. 2006. P. 1-5.
31. Orang Z. A., et al. Using Adaptive Neuro-Fuzzy Inference System in Alert Management of Intrusion Detection Systems // Intern. Journal of Computer Network and Information Security. 2012. Vol. 4. No. 1. P. 32-38.
32. Zainal A., Maarof M. A., Shamsuddin S. M. Ensemble Classifiers for Network Intrusion Detection System // Information Assurance and Security. 2009. Vol. 4. P. 217-225.
33. Hofmeyr S. A., Forrest S. Architecture for an Artificial Immune System // Journal of Evolutionary Computation. 2000. Vol. 8. No. 4. P. 443-473.
34. Hofmeyr S. A. An Immunological Model of Distributed Detection and its Application to Computer Security: PhD dissertation. - Department of Computer Sciences, University of New Mexico. 1999. - 113 p.
35. Тищенко И. П., Фраленко В. П., Хачумов В. М. Программно-инструментальные средства обнаружения и распознавания сетевых атак // Прикладная физика и математика. 2013.№ 4. С. 70-85.
36. Браницкий А. А., Котенко И. В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейронечетких классификаторов // Информационно-управляющие системы. 2015. № 4. С. 69-77.
37. Zhou Y. P. Hybrid Model Based on Artificial Immune System and PCA Neural Networks for Intrusion Detection // Asia-Pacific Conf. on Information Processing. 2009. Vol. 1. P. 21-24.
38. Powers S. T., He J. A Hybrid Artificial Immune System and Self Organising Map for Network Intrusion Detection // Information Sciences. 2008. Vol. 178. No. 15. P. 3024-3042.
39. Корнев П. А., Пылькин А. Н., Свиридов А. Ю. Применение инструментария искусственного интеллекта в системах обнаружения вторжений в вычислительные сети // Современные проблемы науки и образования. 2014. № 6. С. 1715.
40. Емельянова Ю. Г., Талалаев А. А., Тищенко И. П., Фраленко В. П. Нейросетевая технология обнаружения сетевых атак на информационные ресурсы // Программные системы: теория и приложения. 2011. № 3 (7). С. 3-15.
41. Кондратьев А. А., Тищенко И. П., Фраленко В. П. Разработка распределенной системы защиты облачных вычислений // Программные системы: теория и приложения. 2011. № 4 (8). С. 61-70.
42. Емельянова Ю. Г., Фраленко В. П. Анализ проблем и перспективы создания интеллектуальной системы обнаружения и предотвращения сетевых атак на облачные вычисления // Программные системы: теория и приложения. 2011. № 4 (8). С. 17-31.
43. Ушанев К. В. Имитационные модели системы массового обслуживания типа Pa/M/1, H2/M/1 и исследование на их основе качества обслуживания трафика со сложной структурой // Системы управления, связи и безопасности. 2015. № 4. С. 217-251.
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
44. Ушанев К. В., Макаренко С. И. Показатели своевременности обслуживания трафика в системе массового обслуживания PalM/\ на основе аппроксимации результатов имитационного моделирования // Системы управления, связи и безопасности. 2016. № 1. С. 42-65. - URL: http :llsccs. intelgr. comlarchivel2016-01 l03-Ushanev.pdf (дата обращения 01.12.2016).
45. Рыжиков Ю. И. Расчет систем обслуживания с групповым поступлением заявок // Информационно-управляющие системы. 2007. № 2. С. 39-49.
46. Рыжиков Ю. И. Полный расчет системы обслуживания с распределениями Кокса // Информационно-управляющие системы. 2006. № 2. С. 38-46.
47. Будко П. А., Рисман О. В. Многоуровневый синтез информационно-телекоммуникационных систем. Математические модели и методы оптимизации. - СПб.: ВАС, 2011. - 476 с.
48. Малофей О. П., Фомин Л. А., Родионов В. В., Ряднов Д. С. Моделирование самоподобного трафика при построении сетей NGN // Известия Южного федерального университета. Технические науки. 2009. № 11. С. 176186.
49. Бахарева Н. Ф., Карташевский И. В., Тарасов В.Н. Анализ и расчет непуассоновских моделей трафика в сетях ЭВМ // Инфокоммуникационные технологии. 2009. Т. 7. № 4. С. 61-66.
50. Тарасов В. Н., Бахарева Н. Ф., Горелов Г. А. Математическая модель трафика с тяжелохвостным распределением на основе системы массового обслуживания Н2/М/1 // Инфокоммуникационные технологии. 2014. Т. 12. № 3. С. 36-41.
51. Шелухин О. И., Иванов Ю. А., Пастухов А. С. Исследование влияния самоподобия ON-OFF источников на скорость интернет-трафика ll Электротехнические и информационные комплексы и системы. 2008. Т. 4. № 1-2. С. 97-100.
52. Назаров А. Н., Сычев К. И. Модели и методы расчета показателей качества функционирования узлового оборудования и структурно-сетевых параметров сетей связи следующего поколения. - Красноярск: «Поликом», 2010. - 389 с.
53. Макаренко С. И. Преднамеренное формирование информационного потока сложной структуры за счет внедрения в систему связи дополнительного имитационного трафика. // Вопросы кибербезопасности. № 3 (4). 2014. С. 7-13.
54. Макаренко С. И. Анализ математических моделей информационных потоков общего вида и степени их соответствия трафику сетей интегрального обслуживания ll Вестник Воронежского государственного университета. 2012. Т. 8. № 8. С. 28-35.
55. Задорожный В. Н., Долгушин Д. Ю., Юдин Е. Б. Аналитико-имитационные методы решения актуальных задач системного анализа больших сетей / Под ред. В. Н. Задорожного - Омск: Издательство ОмГТУ, 2013. - 324 с.
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
56. Ушанев К. В., Макаренко С. И. Преобразование структуры трафика с учетом требований по качеству его обслуживания // Радиотехнические и телекоммуникационные системы. 2015. № 2. С. 74-84.
57. Линец Г. И. Методы структурно-параметрического синтеза, идентификации и управления транспортными телекоммуникационными сетями для достижения максимальной производительности: Автореф. дис. ... д-ра техн. наук. Ставрополь: Северо-Кавказский федеральный университет, 2013. -34 с.
58. Линец Г. И., Фомин Л. А., Скоробогатов С. А. Снижение влияния самоподобности трафика в пакетных сетях // Автоматизация, телемеханизация и связь в нефтяной промышленности. 2008. № 11. С. 38-42.
59. Линец Г. И., Фомин Л. А., Скоробогатов С. А., Криволапов Р. В. Способ снижения влияния самоподобности в сетевых структурах и устройство для его осуществления // Патент на изобретение № 2413284. 27.02.2011.
60. Линец Г. И., Фомин Л. А., Говорова С. В., Меденец В. В. Построение мультисервисных сетей на основе функциональных преобразований трафика // Инфокоммуникационные технологии. 2014. Т. 12. № 4. С. 40-45.
61. Вентцель Е. С. Теория вероятностей. - М.: Высшая школа, 2002. -
575 с.
62. Новиков Е. А., Павлов А. Р., Зиннуров С. Х. Метод оперативного планирования частотно-временного ресурса спутника-ретранслятора при нестационарном входном потоке сообщений // Авиакосмическое приборостроение. 2014. № 5. С. 14-23.
63. Новиков Е. А. Оперативное распределение радиоресурса спутника-ретранслятора при нестационарном входном потоке сообщений с учетом запаздывания в управлении // Информационно-управляющие системы. 2014. № 2 (69). С. 79-86.
64. Новиков Е. А., Косяков Е. Н., Павлов А. Р. Динамическое резервирование радиоресурса в сетях спутниковой связи при передаче самоподобного трафика // Труды Научно-исследовательского института радио. 2014. № 2. С. 49-60.
65. Жуков С. Е., Новиков Е. А., Павлов А. Р. Метод динамического распределения радиоресурса ретранслятора в сетях спутниковой связи с учетом неоднородности трафика и запаздывания при управлении // Труды Научно-исследовательского института радио. 2014. № 1. С. 74-80.
References
1. Mikhailov R. L., Makarenko S. I. Estimating Communication Network Stability under the Conditions of Destabilizing Factors Affecting it. Radio and telecommunication systems, 2013, no. 4, pp. 69-79 (in Russian).
2. Makarenko S. I., Chucklyaev I I. The Terminological Basis of the Informational Conflict Area. Voprosy kiberbezopasnosti, vol. 2, no. 1, 2014, pp. 1321 (in Russian).
3. Makarenko S. I., Mikhailov R. L. Information Conflicts - Analysis of Papers and Research Methodology. Systems of Control, Communication and Security, 2016,
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
no. 3, pp. 95-178. Available at: http://sccs.intelgr.com/archive/2016-03/04-Makarenko.pdf (accessed 17 September 2016) (in Russian).
4. Makarenko S. I. Information Weapon in Technical Area - Terminology, Classification and Examples. Systems of Control, Communication and Security, 2016, no. 3, pp. 292-376. Available at: http://sccs.intelgr.com/archive/2016-03/11-Makarenko.pdf (accessed 05 December 2016) (in Russian).
5. Mikova S. Iu., Oladko V. S., Nesterenko M. A. Podkhod k klassifikatsii anomalii setevogo trafika [The approach to classification of anomalies in network traffic]. Innovatsionnaia nauka, 2015, no. 11, pp. 78-80 (in Russian).
6. Bagrov E. V. Monitoring i audit informatsionnoi bezopasnosti na predpriiatii [Monitoring and auditing of information security in the enterprise]. Vestnik Volgogradskogo gosudarstvennogo universiteta. Seriia 10: Innovatsionnaia deiatel'nost, 2011, no. 5, pp. 54-56 (in Russian).
7. Artamonov V. A. Obnaruzhenie setevykh anomalii cherez rekonstruktsiiu setevogo trafika [Detection of network anomalies through the reconstruction of network traffic]. Izvestiya SFedU. Engineering Sciences, 2007, no. 1, pp. 127-130 (in Russian).
8. Sheluhin O. I., Sakalema D. Zh., Filinova A. S. Obnaruzhenie vtorzhenii v komp'iuternye seti (setevye anomalii) [Intrusion detection in computer networks (network anomalies)]. Moscow, Goriachaia liniia - Telekom Publ., 2013. 220 p. (in Russian).
9. Azhmukhamedov I. M., Marenkov A. N. Poisk i otsenka anomalii setevogo trafika na osnove tsiklicheskogo analiza [Search and evaluation of anomalies in network traffic]. Engineering journal of Don, 2012, vol. 20, no. 2, pp. 17-26 (in Russian).
10. Azhmukhamedov I. M., Marenkov A. N. Vyiavlenie anomalii v vychislitel'nykh setiakh obshchego pol'zovaniia na osnove prognozirovaniia ob"ema setevogo trafika [Anomaly detection in computer networks based on the prediction of network traffic]. Information Security Problems. Computer Systems, 2012, no. 3, pp. 35-39 (in Russian).
11. Sheluhin O. I., Sudarikov R. A. Analysis of diagnostic criteria for statistical network anomaly detection. T-Comm, 2014, vol. 8, no. 3, pp. 14-18 (in Russian).
12. Talalaev A. A., Tishchenko I. P., Fralenko V. P., Khachumov V. M. Distributed security system for cloud protection from network attacks. Vestnik SibGUTI, 2013, no. 3, pp. 46-62 (in Russian).
13. Sheluhin O. I., Filinova A. S. The comparative analysis of detection algorithms detection of traffic anomalies methods of the discrete wavelet-analysis. T-Comm, 2014, vol. 8, no. 9, pp. 89-97 (in Russian).
14. Sheluhin O. I., Garmashev A. V. Detection of abnormal spikes in network traffic by methods of discrete wavelet analysis. Elektromagnitnye volny i elektronnye sistemy, 2012, vol. 17, no. 2, pp. 15-26 (in Russian).
15. Shelukhin O. I., Garmashev A. V. Obnaruzhenie DOS i DDOS-atak metodom diskretnogo veivlet-analiza [Detection DOS and DDOS attacks using discrete wavelet analysis]. T-Comm, 2011, no. 1, pp. 44-46 (in Russian).
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
16. Azhmukhamedov I. M., Marienkov A. N. Network traffic anomaly detection based on fuzzy sets apparatus. Vestnik of Astrakhan State Technical University, 2011, no. 1, pp. 48-50 (in Russian).
17. Basarab M. A., Stroganov I. S. Anomaly detection in information processes based on multifractal analysis. Voprosy kiberbezopasnosti, 2014, vol. 7, no. 4, pp. 30-40 (in Russian).
18. Sheluhin O. I., Antonian A. A. Analysis of changes in the fractal properties of telecommunication traffic caused by abnormal invasions. T-Comm, 2014, vol. 8, no. 6, pp. 61-64 (in Russian).
19. Mazurek M., Dymora P. Network anomaly detection based on the statistical self-similarity factor for HTTP protocol. Przeglqd Elektrotechniczny, 2014, vol. 90, no. 1, pp. 127-130.
20. Tarrío P., Bernardos A. M., Casar J. R. Weighted least squares techniques for improved received signal strength based localization. Sensors, 2011, vol. 11, no. 9, pp. 8569-8592.
21. Fralenko V. P. Intrusion Detection using Genetically Generated Finite Automata. Bulletin of the Russian University of Peoples' Friendship. Series Mathematics. Informatics. Physics, 2012, no. 4, pp. 96-102 (in Russian).
22. Shelukhin O. I., Chernyshev A. I. Research and modeling neural network algorithm for detecting an abnormal intrusion. T-Comm, 2014, vol. 8, no. 12, pp. 102106 (in Russian).
23. Talalaev A. A., Tishchenko I. P., Fralenko V. P., Khachumov V. M. Eksperimenty po neirosetevomu monitoringu i raspoznavaniiu setevykh atak [Experiments on neural network monitoring and detection of network attacks] //
Information counteraction to the terrorism threats, 2010, no. 15, pp. 81-86 (in Russian).
24. Talalaev A.A., Tishchenko I. P., Fralenko V. P., Khachumov V. M. Working out neural of the module of monitoring of abnormal network activity. Neyrokompyutery: razrabotka iprimenenie, 2011, no. 7, pp. 32-38 (in Russian).
25. Bolshev A. K., Yanovskiy V. V. Using artificial neural networks in network intrusion detection. Vestnik of St. Petersburg State University. Series 10. Applied Mathematics. Computer Science. Control Processes, 2010, no. 1, pp. 129135 (in Russian).
26. Lei J. Z., Ghorbani A. Network Intrusion Detection Using an Improved Competitive Learning Neural Network. Proc. of Second Annual Conf. on Communication Networks and Services Research, 2004, pp. 190-197.
27. Wang G., Hao J., Ma J., Huang L. A New Approach to Intrusion Detection Using Artificial Neural Net-works and Fuzzy Clustering. Expert Systems with Applications, 2010, vol. 37, no. 9. pp. 6225-6232.
28. Lei J. Z., Ghorbani A. A. Improved Competitive Learning Neural Networks for Network Intrusion and Fraud Detection. Neurocomputing, 2012, vol. 75, no. 1, pp. 135-145.
29. Cannady J. Artificial Neural Networks for Misuse Detection. Proc. of National Information Systems Security Conf, 1998, pp. 368-381.
Системы управления,связи и безопасности №4. 2G16
Systems of Control, Communication and Security sccs.intelgr.com
30. Toosi A. N., Kahani M., Monsefi R. Network Intrusion Detection Based on Neuro-Fuzzy Classification. Proc. of Intern. Conf. on Computing and Informatics, 2006, pp. 1-5.
31. Orang Z. A., et al. Using Adaptive Neuro-Fuzzy Inference System in Alert Management of Intrusion Detection Systems. Intern. Journal of Computer Network and Information Security, 2012, vol. 4. no. 1, pp. 32-38.
32. Zainal A., Maarof M. A., Shamsuddin S. M. Ensemble Classifiers for Network Intrusion Detection System. Information Assurance and Security, 2009, vol. 4, pp. 217-225.
33. Hofmeyr S. A., Forrest S. Architecture for an Artificial Immune System. Journal of Evolutionary Computation, 2000, vol. 8, no. 4, pp. 443-473.
34. Hofmeyr S. A. An Immunological Model of Distributed Detection and its Application to Computer Security: PhD dissertation. Department of Computer Sciences, University of New Mexico. 1999. 113 p.
35. Tishchenko I. P., Fralenko V. P., Khachumov V. M. Software and tools for network attacks detection and identification. Applied Physics and Mathematics, 2013,-no. 4, pp. 70-85 (in Russian).
36. Branitskiy A. A., Kotenko I. V. Network Attack Detection Based on Combination of Neural, Immune and Neuro-fuzzy Classifiers. Informatsionno-upravliaiushchie sistemy, 2015, no. 4, pp. 69-77 (in Russian).
37. Zhou Y. P. Hybrid Model Based on Artificial Immune System and PCA Neural Networks for Intrusion Detection. Asia-Pacific Conf. on Information Processing, 2009, vol. 1, pp. 21-24.
38. Powers S. T., He J. A Hybrid Artificial Immune System and Self Organising Map for Network Intrusion Detection. Information Sciences, 2008, vol. 178, no. 15, pp. 3024-3042.
39. Kornev P. A., Pylkin A. N., Sviridov A. U. Using artificial intelligence in intrusion detection systems. Modern problems of science and education, 2014, no. 6, pp. 1715 (in Russian).
40. Yemelyanova Yu. G., Talalaev A. A., Tishchenko I. P., Fralenko V. P. Neyrosetevaya tekhnologiya obnaru-zheniya setevykh atak na informatsionnye resursy [Neural network intrusion detection technology to in-formation resources]. Programmnye sistemy: teoriya i prilozheniya, 2011, vol. 7, no. 3, pp. 3-15 (in Russian).
41. Kondratev A. A., Tishchenko I. P., Fralenko V. P. Razrabotka raspredelennoy sistemy zashchity oblachnykh vychisleniy [Development of a distributed cloud computing security]. Programmnye sistemy: teoriya i prilozheniya, 2011, vol. 8, no. 4, pp. 61-70 (in Russian).
42. Yemelyanova Yu. G., Fralenko V. P. Analiz problem i perspektivy sozdaniya intellektualnoy sistemy obnaruzheniya i predotvrashcheniya setevykh atak na oblachnye vychisleniya [Analysis of the problems and prospects of creating an intelligent system to detect and prevent network attacks on cloud computing]. Programmnye sistemy: teoriya i prilozheniya, 2011, vol. 8, no. 4, pp. 17-31 (in Russian).
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
43. Ushanev K. V. Simulation Models of Queuing Systems of Type Pa/M/1, H2/M/1 and Research on the Basis of their Quality of Service Traffic with a Complicated Structure. Systems of Control, Communication and Security, 2015, no. 4, pp. 217-251 (in Russian).
44. Ushanev K.V., Makarenko S. I. The Timeliness Indicators of Traffic Service in Queue Systems Pa/M/l Based on Approximation of Imitating Modeling Results. Systems of Control, Communication and Security, 2016, no. 1, pp. 42-65. Available at: http://sccs.intelgr.com/archive/2016-01/03-Ushanev.pdf (accessed 01 December 2016) (in Russian).
45. Ryzhikov Y. I. Raschet sistem obsluzhivanija s gruppovym postupleniem zajavok [Calculation of Systems of Service with Group Receipt of Demands]. Informatsionno-upravliaiushchie sistemy, 2007, no. 2, pp. 39-49 (in Russian).
46. Ryzhikov Y. I. Polnyj raschet sistemy obsluzhivanija s raspredelenijami Koksa [Full Calculation of System of Service with Cox's Distributions]. Informatsionno-upravliaiushchie sistemy, 2006, no. 2, pp. 38-46 (in Russian).
47. Budko P. A., Risman O. V. Mnogourovnevyj sintez informacionno-telekommunikacionnyh sistem. matematicheskie modeli i metody optimizacii [Multilevel Synthesis of Information and Telecommunication Systems. Mathematical Models and Methods of Optimization]. Saint-Petersburg, Military Academy of Communications, 2011. 476 p. (in Russia).
48. Malofej O. P., Fomin L. A., Rodionov V. V., Rjadnov D. S. Modelirovanie samopodobnogo trafika pri postroenii setej NGN [Modeling of a Self-Similar Traffic at Creation of the NGN Networks]. Izvestiya Southern Federal University. Engineering Sciences, 2009, no. 11, pp. 176-186 (In Russian).
49. Bakhareva N. F., Kartashevskii I. V., Tarasov V. N. Analiz i raschet nepuassonovskih modelej trafika v setjah EVM [The Analysis and Calculation of Not-Poisson Traffic Models in Computer Networks]. Infokommunikacionnye Tehnologii, 2009, vol. 7, no. 4, pp. 61-66 (in Russian).
50. Tarasov V. N., Bakhareva N. F., Gorelov G. A. Matematicheskaja model' trafika s tjazhelohvostnym raspredeleniem na osnove sistemy massovogo obsluzhivanija [The Mathematical Model of Traffic with Heavy Tail Distribution on the Basis of Queuing System Type of H2/M/1]. Infokommunikacionnye Tehnologii, 2014, vol. 12, no. 3, pp. 36-41 (in Russian).
51. Sheluhin O. I., Ivanov Y. A., Pastuhov A. S. Issledovanie vlijanija samopodobija ON-OFF istochnikov na skorost' internet-trafika [Research of Influence of Self-simIlarity of ON-OFF of Sources on Internet Traffic Speed]. Elektrotehnicheskie i informacionnye kompleksy i sistemy, 2008, vol. 4. no. 1-2, pp. 97-100 (in Russian).
52. Nazarov A. N., Sychev K. I. Modeli i metody rascheta pokazatelej kachestva funkcionirovanija uzlovogo oborudovanija i strukturno-setevyh parametrov setej svjazi sledujushhego pokolenija [The Models and the Methods of Measuring of Quality Indicators of Nodal Equipment Functioning and Network Structural Parameters of Next Generation Networks]. Krosnoyarsk, Polykom Publ., 2010. 389 p. (in Russian).
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
53. Makarenko S. I. Premeditated formation of the traffic of difficult structure due to implementation in the communication system of additional imitative traffic. Voprosy kiberbezopasnosti, 2014, vol. 4, no. 3, pp. 7-13 (in Russian).
54. Makarenko S. I. Analyzing of Mathematical Models of General type Data Streams and Degree of their Conformity to Integral Service Net Traffic. Proceedings of Voronezh State University, 2012, vol. 8, no. 8, pp. 28-35 (in Russian).
55. Zadorozhnii V. N., Dolgushin D. U., Udin E. B. Analitiko-imitatsionnye metody resheniia aktual'nykh zadach sistemnogo analiza bol'shikh setei [Analytical-Imitating Methods of the Decision of Actual Problems of the System Analysis of the Big Networks]. Omsk, Omsk State Technical University Publ., 2013. 324 p. (in Russian).
56. Ushanev K. V., Makarenko S. I. Traffic structure conversion with requirements for the traffic service quality. Radio and telecommunication systems, 2015, no. 2, pp. 74-84 (In Russian).
57. Linec G. I. Metody strukturno-parametricheskogo sinteza, identifikacii i upravlenija transportnymi telekommunikacionnymi setjamin dlja dostizhenija maksimal'noj proizvoditel'nosti. Diss. dokt. tehn. nauk [The Methods of Structural Parametric Synthesis, Identification and Control of Transport Telecommunication Networks for Achievement of the Maximum Productivity. Extended Abstract of Dr. habil. Thesis]. Stavropol, Northern-Caucasus State University, 2013. 34 p. (in Russian).
58. Linec G. I., Fomin L. A., Skorobogatov S. A. Snizhenie vlijanija samopodobnosti trafika v paketnyh setjah [Lowering of Influence of Self-Similitude of Traffic on Package Networks]. Automation, Telemechanization and Communication in Oil Industry, 2008, no. 11, pp. 38-42 (in Russian).
59. Linec G. I., Fomin L. A., Skorobogatov S. A., Krivolapov R. V. Sposob snizhenija vlijanija samopodobnosti v setevyh strukturah i ustrojstvo dlja ego osushhestvlenija [The Way of Lowering Self-Similitude on Network Structures and the Device for Its Realization]. Patent Russia, no. 2413284, 27 February 2011. (in Russian).
60. Linec G. I., Fomin L. A., Govorova S. V., Medenec V. V. Postroenie mul'tiservisnyh setej na osnove funkcional'nyh preobrazovanij trafika [Creation of Multiservice Networks on the Basis of the Functional Transformations of Traffic]. Infokommunikacionnye Tehnologii, 2014, vol. 12, no. 4, pp. 40-45 (in Russian).
61. Venttsel E. S. Teoriia veroiatnostei [Probability theory]. Moscow, Vysshaia Shkola Publ., 2002. 575 p. (in Russian).
62. Novikov E. A., Pavlov A. R., Zinnurov S. H. Method of operative planning of the satellite repeater's time-and-frequency resource under non stationary ingress flow. Aerospace Instrument Making, 2014, no. 5, pp. 14-23 (in Russian).
63. Novikov E. A. Operative distribution of satellite repeater radio resource in terms of non-stationary ingress flow with account of time lagged control. Informatsionno-upravliaiushchie sistemy, 2014, vol. 69, no 2, pp. 79-86 (in Russian).
64. Novikov E. A., Kosyakov E. N., Pavlov A. R. Dynamic reservation of a radio resource in satellite communication networks by transfer of the self-similar traffic. Trudi NIIR, 2014, no. 2, pp. 49-60 (in Russian).
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
65. Zhukov S. E., Novikov E. A., Pavlov A. R. Method of radio resource dynamic distribution in networks of satellite communication taking into account heterogeneity of a traffic and delay at management. Trudi NIIR, 2014, no. 1, pp. 7480 (in Russian).
Статья поступила 09 декабря 2016 г.
Информация об авторах
Макаренко Сергей Иванович - кандидат технических наук, доцент. Доцент кафедры сетей и систем связи космических комплексов. Военно-космическая академия имени А.Ф. Можайского. Область научных интересов: устойчивость сетей и систем связи к преднамеренным деструктивным воздействиям; радиоэлектронная борьба; информационное противоборство. E - mail: mak-serg@yandex.ru
Коровин Виталий Михайлович - кандидат технических наук. Старший преподаватель кафедры сетей и систем связи космических комплексов. Военно-космическая академия имени А.Ф. Можайского. Область научных интересов: цифровая стеганография, прием и обработка сложных радиотехнических сигналов; математическое моделирование процессов в системах связи. E - mail: 9112116532@mail.ru
Ушанев Константин Владимирович - кандидат технических наук. Инженер лаборатории кафедры систем и средств радиоэлектронной борьбы космического назначения. Военно-космическая академия имени А.Ф. Можайского. Область научных интересов: передача и обработка трафика со сложной и самоподобной структурой. E - mail: stan_007@mail.ru
Адрес: Россия, 197198, г. Санкт-Петербург, ул. Ждановская д. 13.
The Traffic Transformation Operator for Deliberate Increase of the Structural Complexity of the Information Stream
S. I. Makarenko, V. M. Korovin, K. V. Ushanev
Statement of the problem. Theory of information security and theory of information warfare evolve and require the development of new models of cyber-attacks. These new cyber-attacks can be used to test resilience and security of the telecommunication systems. Analysis of means of identifying cyber-attacks showed that their detection is based on the analysis of intensity of the network traffic. Thus, the new cyber attacks that have a high stealth, it must ensure that the traffic intensity remain the same in during the attack. Such cyber-attacks can be based on the formation of the complexity structure of traffic that is transmitted on the network. The aim of the paper is development of the scientific-methodological apparatus for the research of cyber-attacks which are based on the transformation of the traffic structure to make it more complicated. This scientific-methodological apparatus will keep the same intensity of traffic, but to ensure the formation of traffic patterns with a much higher level of complexity. This traffic processed in the individual network nodes and reduces of timeliness of the network as a whole. Methods used. The scientific-methodological apparatus for the research of cyber attacks is based on the method of functional transformation of traffic. Results and novelty. The traffic transformation operator that proposed in paper from the elementary stream makes a stream with a complex structure. This operator was researched. The research revealed that the traffic transformation consists of two processes. The first process is compression
Системы управления,связи и безопасности №4. 2016
Systems of Control, Communication and Security sccs.intelgr.com
of the intervals between packets and formation of the "packs" of traffic. The second process is "rarefaction" of the intervals between the packets and formation of the long pauses between "packs" ofpackets. Proposals for the use of these two processes to substantiate the parameters of cyber-attacks made in the paper. Practical significance. The traffic transformation operator is the basis of scientific-methodological apparatus for the study of a new cyber attacks. Such a cyber attack will be covert in relation to existing means for attack detection which is based on the analysis of the network traffic intensity. These new cyber-attacks can be used to test resilience and security of telecommunication systems, and to develop protection methods.
Key words: information security, information warfare, network attack, intrusion detection, methods of detecting network attacks, information technology impact, converting traffic, complex traffic, complex structure.
Information about Authors
Sergey Ivanovich Makarenko - Ph.D. of Engineering Sciences, Docent. Associate Professor at the Department of Networks and Communication Systems of Space Systems. A. F. Mozhaisky Military Space Academy. Field of research: stability of network against the purposeful destabilizing factors; electronic warfare; information struggle. E-mail: mak-serg@yandex.ru
Vitaly Mikhaylovich Korovin - Ph.D. of Engineering Sciences. Senior Lecturer at the Department of Networks and Communication Systems of Space Systems. A. F. Mozhaisky Military Space Academy. Field of research: digital steganography, reception and processing of complex radio signal; mathematical modeling of processes in communication systems. E - mail: 9112116532@mail.ru
Konstantin Vladimirovich Ushanev - Ph.D. of Engineering Sciences. The Engineer of the Laboratory of the Department of the Space Electronic Warfare Systems. A. F. Mozhaisky Military Space Academy. Field of research: the transmission and servicing of the complicated structure traffic and self-similar structure traffic. E-mail: stan_007@mail.ru
Address: Russia, 197198, Saint-Petersburg, Zhdanovskaya str., 13.
