CC BY
13
Доказательство. Если предположения предложения выполнены, то по лемме 2 (1т ¥у; П+) = 0. Подавно Еу не имеет нулей в П+.
Литература
1. ЛеонтьевА.Ф. Ряды экспонент. М., 1976.
2. Кук Р. Бесконечные матрицы и пространства последовательностей. М., 1960.
3. Карацуба А.А. Основы аналитической теории чисел. М., 1975.
4. ТитчмаршЕ.К. Теория дзета-функции Римана. М., 1953.
5. Копсон Э. Асимптотические разложения. М., 1966.
6. Воронин С.М., Карацуба А.А. Дзета-функция Римана. М., 1994.
Ростовский государственный университет, Владикавказский НИИ прикладной математики
и информатики РАН 10 апреля 2006 г.
УДК 519.254
ОПРЕДЕЛЕНИЕ ЛОКАЛЬНЫХ СТАТИСТИЧЕСКИХ ХАРАКТЕРИСТИК ПОТОКА ПАКЕТОВ В СЕТИ
© 2006 г В.А. Нестеренко
In this article we consider some aspects of statistical methods of detection of abnormal events in a network. We offer a method of definition of local statistical characteristics of a stream in a network during some time interval and definition of size of this interval depending on statistical characteristics of a stream of packages in a network on the big time interval.
Статистические методы обнаружения аномальных событий в сети основаны на сравнении текущих, локальных характеристик потока пакетов с усреднёнными, глобальными характеристиками [1-3]. Если локальные характеристики сильно отличаются от соответствующих глобальных, усреднённых за продолжительный промежуток времени, то вполне вероятна попытка сканирования сети или сетевой атаки (SYN сканирование, Flood атака, DoS атака и т.п.). Таким образом, возникают задачи построения эффективных методов вычислений локальных статистических характеристик в течение некоторого ограниченного интервала времени и определения величины этого интервала в зависимости от глобальных статистических характеристик потока в сети на большом промежутке времени.
В данной статье предлагается метод вычисления локальных статистических характеристик потока пакетов и рассматривается набор весовых функций, позволяющий реализовать эффективные вычисления этих характеристик.
Пусть величина xt характеризует некоторое событие из потока событий, произошедшее в момент времени t. Введём весовую функцию F(z) и определим величину
N
= 1/Мсгш(Ж)F(tN -Ц)х, (1)
1=1
N
где №гш(N) = 2 F^ - ^).
1=\
Если в качестве весовой функции выбрать F(z) = 6(т - z), где 6(х) - те-та-функция:
Г 1 при x > 0
0( x) = \ ,
[ 0 при x < 0
п
то для случая п < N можно получить: и 1/ №гш(^) - 2 xi, Norш(N) ~ п,
1=1
где п = т/А; А - средний временной интервал между двумя последовательными событиями: А ~ ^ - ^.
Использование весовой функции позволяет найти усреднённые значение не на всём временном интервале ..., а на некотором ограниченном отрезке времени, определяемом конкретным видом функции F(z). Кроме того, выбор специального вида функции F(z) позволяет получить простые рекуррентные соотношения для программной реализации эффективного вычисления ^(N).
Выберем весовую функцию следующего вида:
p (z/т)k
Fp (^ =2Нт- ехр (-z/ т). (2)
k=0 k!
Функция Fp(z) локализована вблизи нуля и довольно быстро (экспоненциально) убывает с ростом аргумента z. Параметр т, присутствующий в определении весовой функции (2), определяет временной интервал, на котором эффективно вычисляется усреднённая величина £,р(Щ.
Использование весовой функции (2) позволяет получить рекуррентные соотношения для вычисления величины (1). Для этого представим усреднённую величину в виде ^(Щ = ap(N)/bp(N).
Используя определение (1) и конкретный вид весовой функции (2), получаем
ар (N) = 2 А (N), Ьр (N) = 2 Вк (N),
k=0 к=0
где
1 N к
Ak (N) = Н^Г • 2 ^ (n -t) exp ( - ( -1, )/z);
т ■ к ! i=i
(3)
Из (3) вытекают рекуррентные соотношения для величин Ak(N) и Bk(N):
1 N к
Bk (N) = H^i • 2 (n -1,) exp(-(n -1i /т).
т ■ к ! i=i
A (!) =
k 0'
k (An Т)J
Ak (n) = Xn Sk о + ^an t (' L Aj (n -1) j=o (k - J )■
J=0 1
Bk (1) = Sk о,
k (a t)-j
Bk (N) = Sk о + ^An t X N л ■ Bj (N -1),
11, при i = J
(4)
где ЛИ = N - N-1, дш - символ Кронекера: ду = •
при г Ф у.
Так как величины х1, ..., хИ характеризуют некоторые события, происходящие в последовательные моменты времени ..., N рекуррентные соотношения (4) позволяют реализовать вычисления значений Ак(И), Лк(И + 1), Лк(И + 2),., Бк(И), Бк(Ы + 1), Бк(Ы + 2),. и, следовательно, усреднённых величин %р(И), £Р(И + 1), %Р(И + 2),. в режиме реального времени, по мере поступления новых характеристик хИ, хИ+1, хИ+2 потока событий.
Для оценки величины параметра т, входящего в определение весовой функции (2) и задающего временной интервал усреднения, рассмотрим статистику
N
У(хи х1 ) = 2 кгхг,
г=1
( , у (5)
кг = ьрк 2 ехР(-(и - 4 )Л)
ч=о т х /!
и предположим, что события, происходящие в разные моменты времени, являются независимыми. Тогда для математического ожидания и дисперсии набора величин у(хИ, ..., х1) будут справедливы соотношения:
N 9/9 N 2
у/х=2 кг= 1, ^2/= 2 к . (6)
г=1 г=1
С точки зрения полученных значений математического ожидания и дисперсии статистика у(хИ, ..., х1) эквивалентна выборке п независимых
Г n
событий, где п= I 2 к
V 1=1
Другими словами, использование весовой функции (2) эквивалентно применению тета-функции в(пА —X).
Так как усреднение по N событиям соответствует нахождению глобальных характеристик потока пакетов, а усреднение по п событиям - нахождению локальных характеристик, то в дальнейшем будем полагать N >> п. Так как весовая функция (2) экспоненциально убывает при боль-
ших значениях аргумента, для упрощения вычисления правой части формулы (6) можно считать N ^ да.
Выражение (5) для коэффициентов к, содержит величину ^ - ^ = Ад + + Ад-1 + ... + А/+], где Ак = 4 - ^ есть временной интервал между двумя последовательными событиям. Однако отношение IО в формуле (6) не должно зависеть от вида распределения величины Ак, поэтому для упрощения вычисления 2 кх будем считать, что Ак = А. Справедливость этого предположения подтверждается результатами численных расчётов (таблица).
P С- (1) С- (2) С- (3)
0 2,0 2,0 2,0
1 3,2 3,3 3,3
2 4,4 4,4 4,4
3 5,5 5,6 5,6
4 6,6 6,7 6,7
5 7,8 7,9 7,8
6 8,8 9,0 9,0
7 10,0 10,1 10,0
8 11,0 11,2 11,1
9 12,1 12,3 12,3
10 13,2 13,4 13,4
Используя выражение (5) для величины к, с учётом сделанных допущений
N ^ да, Ак = А, А/т << 1, (7)
находим о2у I(г2х = Ср А/т, где
С = 1 у у (1 + т)! (8)
Р 2(р + 1)х т=0/=0Хг+т1 !т!
Значение коэффициента СР можно получить другим способом: прямыми вычислениями по формулам (5), (6) при помощи численного моделирования последовательности событий со случайным распределением величины Ак.
В таблице приведены результаты вычисления величины Ср различными способами. В первом столбце - по формуле (8), во втором - результаты прямых численных расчётов по формулам (5) и (6), при этом А/т = 0,1 и последовательность величин Ак подчиняется нормальному закону распределения с параметрами А = 100, _уА = 20. Вычисление третьего столбца аналогично второму, но используется равномерное распределение Ак на интервале 0^200. Близость полученных результатов свидетельствует о
правомерности предположений (7) и позволяет использовать формулу (8) для нахождения Ср при различных значениях параметра р.
Таким образом, использование весовой функции (2) при вычислении усреднённых значений £р эквивалентно нахождению среднего значения п последних элементов в последовательности х1, ..., хИ. Величина п и параметр т в формуле (2) при фиксированном значении р связаны соотношением
т = Ср пА. (9)
Выражение (2) представляет семейство функций Ер(х) отличающихся друг от друга значением параметра р, определяющего поведение функции
Fp(z) вблизи нуля:
dzk
Fp (z)
= 0 при 0 < k < p.
z=0
фЛ-z)
nA
Рис. 1
На рис. 1 представлены графики поведения функций ¥р(х), (р = 0, 3, 10) и в(пА - х). При построении графиков были использованы: формула (9), устанавливающая связь между параметрами т и п, и значения коэффициента Ср, приведённые в таблице. Из рис. 1 видно, что с увеличением параметра р функция Ер(Х) становится «более похожей» на тета-функцию: выравнивается относительный вклад разных событий при вычислении усреднённого значения £р.
Рекомендации относительно выбора параметра п приведены в [4], где показано, что если признаком аномалии считать отклонение локального параметра £ от среднего значения х на величину, превышающую ах, то выбор значения п > 10 обеспечивает отсутствие ложных срабатываний с вероятностью выше 0,999. Таким образом, минимально допустимым значением параметра п можно считать п = 10. Его следует использовать для повышения чувствительности метода определения аномалий посредством сравнения локальных и глобальных статистических характеристик потока в сети. Весовая функция (2) также может быть использована для определения характеристик, усреднённых в течение некоторого продолжительного интервала времени Т (час, сутки и т.п.), и наблюдения за изменениями этих характеристик в зависимости от времени суток или дня недели. В
этом случае значение параметра т в соответствии с формулой (9) задаётся выражением т = СРТ.
Графики, приведённые на рис. 2, иллюстрируют возможность практического использования полученных результатов.
При их построении использованы реальные данные, полученные при помощи программы tcpdump на одном из узлов сети. В приводимом примере средний интервал времени между пакетами А ~ 250 м-с, распределение величины Ак близко к равномерному распределению и _уА ~ 150 м-с. Вдоль горизонтальной оси графика отложены номера событий в сети -поступление новых пакетов, вертикальная ось соответствует промежутку времени Ак между приходом двух пакетов. Две пунктирные линии образуют «коридор» для значения Ак: А-аА< Ак <А + аА; выход за указанные границы воспринимается как аномалия. На рис. 2 приведены два графика, соответствующие использованию двух разных весовых функций: в(пА - z) и F5(z); значение параметра n принято равным 10. Начиная с пакета номер Nf трафик в сети резко возрастает, частота поступления пакетов увеличивается в 8-10 раз. На рис. 2 показано, как графики локальных
параметров (1) выходят за границы «коридора» [A-cta , A + cta] , что
должно восприниматься как сигнал об аномальном поведении потока в сети.
Литература
1. Kwitt R. A Statistical Anomaly Detection Approach for Detecting Network Attacks. 14th December. 2004/ 6QM Workshop.
N
Рис. 2
2. Feinstein L., Schnackenberg D. Statistical Approaches to DDoS Attack Detection and Response. Proceedings of the DARPA Information Survivability Conference and Expostion (DISCEX'03). April 2003.
3. Mahadik V.A., WuX., ReevesD.S. Detection of Denial-of-QoS Attacks Based OnX Statistic And EWMA Control Charts. http://arqos.csc.ncsu.edu/papers/2002-02-usenixsec-diffservattack.pdf.
4. Нестеренко В.А. // Изв. вузов. Сев.-Кавк. регион. Естеств. науки. 2006. Приложение. № 3. С. 18-22.
Ростовский государственный университет 23 марта 2006 г.
УДК 519.21
СТОХАСТИЧЕСКИЙ МЕТОД РЕШЕНИЯ ЛИНЕЙНЫХ ОПЕРАТОРНЫХ УРАВНЕНИЙ
© 2006 г. В.Н. Таран, В.С. Стрельченко
The article proposes an iterative-probabilitive approach to the solution of linear operator equations, using a measure theory in a probabilitive expanse. The approach is based on using of a method of iterations and a method of the statistic probations (Monte-Carlo method). This approach permits to overcome difficulties of a choice of an initial point and it may be used in the case when a linear operator or a vector of a free term is set indistinct.
Решение линейного операторного уравнения - одна из основных задач вычислительной математики. Методы решения этих уравнений подразделяются на точные, приближенные и вероятностные. Среди точных методов наиболее известны метод Крамера, метод отражений и метод Гаусса последовательного исключения неизвестных, среди приближенных - метод простых итераций и метод Зейделя [1].
В представляемой статье предлагается итерационно-вероятностный подход к решению операторных уравнений, использующий теорию меры в вероятностном пространстве. Поход основан на применении метода итераций и метода статистических испытаний (Монте - Карло). Использование синтеза этих двух подходов позволяет преодолеть затруднения с выбором начальной точки, так как методом Монте - Карло производится моделирование не точки, а вектора случайных начальных точек. Таким образом, в анализе участвует достаточно широкая окрестность решения, что позволяет выделить точку концентрации, в которой находится решение искомого уравнения.
Кроме того, предлагаемый подход можно использовать в случаях, когда линейный оператор или вектор правых частей заданы неточно.
Пусть на линейном многообразии D(A) банахова пространства E определен линейный оператор A, отображающий его в некоторое банахово пространство F. Рассмотрим линейное уравнение
