Оценка аномалий сетевого трафика на основе циклического анализa Текст научной статьи по специальности «Компьютерные и информационные науки»

т

«и»

ОЦЕНКА АНОМАЛИИ СЕТЕВОГО ТРАФИКА НА ОСНОВЕ ЦИКЛИЧЕСКОГО АНАЛИЗА

DOI 10.24411/2072-8735-2018-10173

Киреева Наталья Валерьевна,

Поволжский государственный университет телекоммуникаций и информатики, г. Самара, Россия, kireeva@psuti.ru

Караулова Ольга Александровна,

Поволжский государственный университет Ключевые слова: сетевой трафик, аномалия,

телекоммуникаций и ^^рш^^ г. Самара, Россия циклический анализ, вычислительная сеть,

Olya4369@yandex.ru.ru информационная безопасность.

Представлены общие понятия аномалий сетевого трафика, а также причины невозможности обнаружения вторжений вредоносных программ в современные сетевые системы, в частности системы, которые основаны на определении атак и сигнатурный способ анализа данных. Дана подробная классификация аномалий по причинам их возникновения. Детальным образом представлены основные методы обнаружения аномалий сетевого трафика в вычислительных сетях, описаны принцип действия, а также достоинства и недостатки каждого из них. Из представленных методов наиболее эффективным и оптимальным методом прогнозирования аномалий является метод с использованием статистического анализа, произведена оценка аномалий сетевого трафика на основе циклического анализа. Рассмотрены распространенные на сегодня средства для выявления аномалий, а именно средства обнаружения атак (СОА). Объектом исследования являются аномалии сетевого трафика. Предметом исследования послужила оценка аномалий сетевого трафика посредством циклического анализа. Цель статьи - оценить аномалии сетевого трафика на основе циклического анализа. Область применения - инфокоммуникационные технологии.

Методология управления трафиком при вычислении аномалий имеет следующий вид:

- "извлечение информации о сетевых пакетах;

- построение прогноза;

- поиск и оценка аномалии;

- реагирование на аномалию;

- заполнение и редактирование базы" правил.

При этом методология проведения циклического анализа состоит из следующих этапов:

- "отбор данных;

- сглаживание данных;

- поиск возможных циклов;

- удаление трендовых компонентов в трафике;

- проверка циклов с точки зрения статистической значимости;

- комбинирование и проецирование циклов в" будущее.

Таким образом, предложенный алгоритм прогнозирования трафика на базе циклического анализа временных рядов, позволяет определять загрузку сети на основе поиска периодичности в сетевом трафике. Необходимо отметить, что прогнозирование аномалий является важной составляющей оценки сетевого трафика и позволяет быстро и качественно решать проблемы управления перегрузками сетевого трафика.

Информация об авторах:

Киреева Наталья Валерьевна, Поволжский государственный университет телекоммуникаций и информатики, доцент кафедры МСИБ, к.т.н., г. Самара, Россия

Караулова Ольга Александровна, Поволжский государственный университет телекоммуникаций и информатики, аспирант, г. Самара, Россия Для цитирования:

Киреева Н.В., Караулова О.А. Оценка аномалий сетевого трафика на основе циклического анализa // T-Comm: Телекоммуникации и транспорт. 2018. Том 12. №11. С. 28-33.

For citation:

Kireeva N.V., Karaulova O.A. (2018). Evaluation of network traffic anomalies based on cyclic analysis. T-Comm, vol. 12, no.11, pр. 28-33.

(in Russian)

т

Введение

В связи с активным развитием и использованием инфо-коммуникационных технологий появляется необходимость эффективной и надежной передачи данных по каналам связи. Сетевые атаки уже давно стали привычными в современных вычислительных сетях, их быстрое и эффективное выявление - основная задача для любой крупной сети.

С достаточно быстро растущей пропускной способностью каналов, а также более быстрым появлением неизвестных атак и вредоносных программ большинство современных систем обнаружения вторжений не могут справиться. ] 1ричинами этого может служить то, что:

- многие системы основаны на определении атак, направленных на некоторое выделенное устройство (такие системы не приспособлены к крупным масштабным сетям);

— зачастую методы, на которых основаны системы обнаружения, используют сигнатурный способ анализа данных, из-за чего происходит пропуск неизвестных атак [ 1 ].

Одним из методов обнаружения сетевых атак и вредоносного программного обеспечения (ПО), влияющего на работу вычислительной сети, является детектирование аномалии трафика.

Аномалия в общем случае - это отклонение от нормы либо от общей закономерности в передаваемом графике. Под данным термином подразумеваются различные виды сетевых атак, в том числе и неизвестные (zeroday attack).

Существуют различные причины появления сетевых аномалий, классифицировать которые можно в порядке, представленном на рис. I.

Для осуществления безопасной работы с данными в вычислительной сети было разработано множество способов и методов обнаружения сетевых аномалий.

Существуют следующие основные методы выявления атак:

- «анализ сигнатур;

-статистический анализ;

- контроль целостности;

- анализ систем состояний;

- графы сценариев атак;

- экспертные системы;

- методы, основанные на спецификациях;

- нейронные сети;

- иммунные сети;

— кластерный анализ;

— поведенческая биометрия;

— циклический анализ» [1].

Метод обнаружения аномалий с помощью анализа сигнатур был одним из первых, применявшихся для выявления вторжения в вычислительной сети. Принцип метода заключается в сравнении текущего состояния системы и выполняемых в ней действий с существующими сигнатурами -хранимых в заранее составленной базе данных [1].

Под сигнатурами в данном случае понимаются наборы данных (словари), хранящие в себе информацию о вирусах или атаках. При обращении к этим словарям происходит сравнение подозрительного файла (пакета) с данными из словаря (информация о вирусе/атаке) и впоследствии применяется решение о блокировке (отправке в карантин) либо разрешении данного образца (пакета). Ярким примером работы с сигнатурами могут служить антивирусное ПО и системы обнаружения вторжений, которые, просматривая файл или пакет, обращаются к словарю с известными вирусами, составленному авторами программы.

К достоинствам этого метода можно отнести: скорость анализа; заранее созданный список правил упрощает работу (правила легко написать, понять, настроить).

К недостаткам - замедление скорости работы со временем ввиду накопления большого количества правил (сигнатур); отсутствие защиты от неизвестных атак.

Метод статистического анализа основан па выявлении атаки при отклонении работы системы от шаблона. Шаблон (набор файлов с настройками) создается с заранее заданными параметрами, включающими в себя нормальное поведение системы. Через постоянные промежутки времени производятся замеры некоторых параметров сетевого трафика, например, количество TCP (Transmission Control Protocol) и UPD (User Datagram Protocol) пакетов. Предполагается, что полученный ряд отображает «нормальное» поведение сети. Далее происходит поиск отклонений текущего состояния от «нормального» поведения [1].

Достоинство метода - это адаптивность (возможность выявления неизвестных атак), а недостаток - невыявление изменений в деятельности объекта (как следствие, пропуск атак).

На данный момент разработано достаточное количество алгоритмов сравнения текущего поведения с «нормальным». Но один из самых эффективных и часто используемых является метод Holt-Winters.

Во-первых, присутствует открытая реализация этого метода в RRDtool (программа для работы с RRD (Round-robin Database, кольцевая база данных)). RRDtool позволяет создавать графики на основе данных, хранящихся в кольцевой базе данных (RRD). Во-вторых, данный метод уже давно зарекомендовал себя на практике.

Метод прогнозирования Holt-Winters основан на том, что наблюдаемый временной ряд (данные сетевого трафика) может быть разложен на три составляющие: нормальная составляющая, линейное отклонения и сезонное отклонение. Предполагается, что каждая из этих компонент изменяется со временем и ее изменение можно найти с помощью последовательного применения экспоненциального сглаживания (способ выравнивания временного ряда, как следствие, более точное прогнозирование) [ 1 ].

Сетевые аномалии

T-Comm Vol.12. #11-2018

У

При использовании метода анализа систем состояний процесс работы описывается в виде состояний и переходов между ними. В результате работа всей системы реализуется с помощью ориентированного графа, как правило, с бесконечным множеством вершин. Метод анализа систем состояний осуществляет поиск в построенном 1рафе состояний защищаемой системы известных недопустимых путей. Обнаружение последовательности переходов, приводящей в опасное состояние, означает успешное обнаружение атаки.

Достоинство ме тода - его верифицируемое^, а к недостаткам можно отнести то, что при частичном совпадении последовательности невозможно выявить атаки.

Метод графов сценариев атак заключается в построении графа, который содержит все известные сценарии атак, на основе определенного свойства корректности системы. На основе данного свойства поведение системы делится на допустимое и недопустимое. На данном методе строится полный набор вариантов недопустимого поведения для конкретной защищаемой системы, что лает на выходе описание возможных путей атаки [I]. Данный метод может быть реализован для поиска уязвимостей при проектировании систем, однако для задачи обнаружения атак неприменим по причине высокой вычислительной сложности. Достоинства метода - адаптивность и верифицируемое«,, а недостаток — высокая сложность вычислений.

Метод экспертных систем основан на описании работы системы и виде фактов и правил вывода |1]. Па входе системе предоставляются данные о наблюдаемых событиях в системе. На основании фактов и правил система составляет вывод о наличии атаки. Дгя данного метода может наблюдаться полный перебор большого числа альтернатив. Преимущество использования экспертных систем заключается в возможности разделения причин и решений возникающих проблем. К недостаткам можно отнести низкую эффективность при работе с большими объемами данных и сложность учета зависимости природы параметров оценки.

Метод нейронных систем основан на представлении защищаемых систем в виде траекторий в некотором числовом пространстве [1]. Задача обнаружения атак рассматривается как задача распознавания образов. Достоинство метода в том, что он имеет сравнительно низкую сложность вычислений и может быть адаптивным. Недостатками метода можно считать его неверифицируемость и устойчивость только в пределах той сети, в которой он обучался.

Метод иммунных системы основан на построении по аналогии с иммунной системой живого организма [1]. Достоинствами будет возможность быстрого получения «антител» к уже известным атакам и адаптивность метода. Недостатки же — это вычислительная сложность и опять-таки неверифицируем о с т ь.

Анализируя каждый представленный метод, можно сказать, что на данный момент наиболее эффективным и точным методом прогнозирования аномалий является метод с использованием статистического анализа. У каждого представленного метода есть свои достоинства и недостатки, выбор конкретной используемой системы и соответствующего метода Обнаружения аномалий зависит от бюджета организации, уровня знаний специалиста по безопасности. ] 1ри практической реализации рекомендуется дублировать устройства или ] Ю, выполняющие функции обнаружения.

Например, установить систему предотвращения вторжений совместно с проверяющей ее системой обнаружения вторжений.

На сегодняшний день одними из наиболее распространенных средств, используемых для выявления аномалий, Являются средства обнаружения атак (СОА) [2,3Данные средства идентифицируют подозрительную (аномальную) активность, направленную на вычислительные или сетевые ресурсы и реагируют на нее. Однако ни одно из существующих средств обнаружения атак не способно полностью выявлять аномальную активность в графике вычислитель-пых систем. По статистике около 80% нарушений совершаются внутренними нарушителями, т.е. сотрудниками организации [4].

Используемые средства обнаружения атак малоэффективны при выявлении негативных воздействии со стороны внутренних злоумышленников. В связи с существующими недостатками современных СОА возникает необходимость разработки новых методов обнаружения аномального сетевого трафика позволяющих выявлять и оценивать величину аномалии, а также принимать решения о необходимости ее устранения.

Общую схему управления трафиком на основе выявления аномалий можно представить в виде следующих функциональных блоков:

- «извлечение информации о сетевых пакетах;

- построение прогноза;

- поиск и оценка аномалии;

- реагирование па аномалию;

— заполнение и редактирование базы правил» [4],

На первом этапе осуществляется извлечение всей необходимой для прогнозирования информация. Так как главной целью прогнозирования на основе имеющихся данных о загрузки сети - получить значение объема трафика на определенный период времени в будущее, из заголовка 1Р-пакета необходимо выделять информацию об общей длине пакета, а также сохранять дату и время получения пакета. При фильтрации может быть использована информация об адресе источника и адресе назначения 1Р-пакета. Таким образом, для прогнозирования трафика из 1Р-пакета извлекается следующая информация:

-объем !Р-пакета;

— И'-адрее источника;

— (Р-адрес назначения;

-дата получения 1Р-пакета;

— время получения 1Р-пакета [4|.

При этом следует учитывать, что прогнозирование сетевого трафика производи тся на основе собранной статистики.

Ниже представим алгоритм прогнозирования графика на основе циклического анализа временных рядов.

!. Отбор данных. На первом этапе необходимо определить форму и количество данных, на которых будет производиться прогнозирование. Циклический анализ сильно зависит от однородности данных. Используемые данные должны иметь однородную структуру, иначе неоднородность данных при анализе, скорее всего, изменит структуру циклов. Таким образом, резкое изменение в работе вычислительной сети (например, подключении большого количество хостов или изменение в расписании), которые могут изменить форму циклов, должны учитываться при поиске и

Т-Сотт Том 12. #11-2018

У

Т-Сотт Уо!.12. #11-2018

7ТЛ

Y

Уф «¿ад, (4)

>=1

Данная функция описывает периодичность в трафике, найденную на основе данных за период времени Т. Полученная функция может быть экстраполирована в будущее и позволяет получить прогнозируемое значение трафика на

период времени Т в будущее (рис. 4):

Чтобы определить объем трафика, который поступает в реальном времени, следует использовать извлекаемую информацию о сетевых пакетах.

Рис. 4. Прогнозирование трафика

Далее, опираясь на получаемые данные о трафике и текущем прогнозе, производится описка аномалии. В случае если аномалия была найдена, результат поиска аномалии передается на блок поиска источников аномалии. Определение источников аномалии осуществляется на основе результата поиска аномалии и информации о сетевых пакетах, поступающих в реальном времени. Далее производится оценка величины аномалии, В оценке используется полученная информация о нарушителях, информация о пакетах, а также лицо принимающее решение и эксперт. Информация о величине аномалии обобщается и передается для дальнейшего использования.

При поиске аномалий объема сетевого трафика, необходимо использовать следующие характеристики:

- величина отклонения реального трафика от прогнозируемого;

- размер окна для сглаживания реального трафика;

- 1Р-адрес подсети и маски;

- направление трафика (входящий или исходящий);

- внешняя или внутренняя сеть [4].

В заключении необходимо отметить, что рассмотренный алгоритм прогнозирования трафика на базе циклического анализа временных рядов, позволяет определять загрузку сети па основе поиска периодичности в сетевом трафике. Полученные в результате применения данной методологии сведения могут быть использованы для поиска неисправностей сетевого оборудования, выявления ошибок в настройке программного обеспечения, выявления случайных и преднамеренных действий со стороны пользователей, а также действия злоумышленников.

Литература

1. Емельянов В.И., Емельянова М.М., Зиновьева Е.Л., Шамонов М.Ю. Анализ методов обнаружения аномалий сетевого трафика / В сборнике: Приборостроение в XXI веке - 2015. Интеграция науки, образования и производства Сборник материалов XI Международной научно-технической конференции. 2016, С. 420-425.

2. Беляев А., Петренко С. Системы обнаружения аномалий: новые идеи в защите информации [Электронный ресурс] // Cit Forum [Сайт]. URL: littp://citforum.ru/security/articles/anomalis/ (дата обращения: 14.03.2018).

3. Микова С.Ю., Оладько B.C. Модель системы обнаружения аномалий сетевого трафика // Информационные системы и технологии. 2016. №5 (97). С. 115-121.

4. Ажмухамедов И.М., Марьенков А.Н. Поиск и оценка аномалий сетевого трафика на основе циклического анализа // Инженерный вестник Дона. 2012. Т. 20. № 2. С. 17-26.

5. Марьенков А.Н. Управление трафиком вычислительной сети на основе идентификации аномалий: автореферат дис. ... кандидата технических наук: 05.13.01 / Марьенков Александр Николаевич; [Место защиты: Астрахан. гос. техн. ун-т]. Астрахань, 2012. 16 с.

6. Микова С.Ю. Разработка алгоритма обнаружения сетевых аномалий / В сборнике: Материалы научной сессии Сборник материалов: в 6 частях. Волгоградский государственный университет. 2016. С. 113-116.

T-Comm Том I2. #II-20I8

Y

EVALUATION OF NETWORK TRAFFIC ANOMALIES BASED ON CYCLIC ANALYSIS

Natalya V. Kireeva, Povolzhskiy State University of Telecommunications and Informatics, Samara, Russia,

kireeva@psuti.ru

Olga A. Karaulova, State University of Telecommunications and Informatics, Samara, Russia,

Olya4369@yandex.ru@psuti.ru

Abstract

The article presents the General concepts of network traffic anomalies, as well as the reasons for the inability to detect malware intrusion into modern network systems, in particular systems that are based on the definition of attacks and signature method of data analysis. Detailed classification of anomalies for the reasons of their occurrence is given. The main methods of network traffic anomalies detection in computer networks are presented in detail, the principle of operation, as well as advantages and disadvantages of each of them are described. Of the presented methods, the most effective and optimal method of prediction of anomalies is the method using statistical analysis, the evaluation of anomalies of network traffic on the basis of cyclic analysis. The article deals with the widespread today means to detect anomalies, namely the means of detecting attacks (SOA). The object of the study are anomalies of network traffic. The subject of the study was the evaluation of anomalies of network traffic through cyclic analysis. The purpose of the article is to estimate anomalies of network traffic on the basis of cyclic analysis. The scope of information and communication technology. The traffic management methodology for calculating anomalies is as follows:

- retrieving information about network packets;

- forecast construction; finding and evaluating anomalies; respond to the anomaly; filling and editing of the rules database.

The methodology of the cyclic analysis consists of the following stages: data selection; data smoothing; search for possible cycles; removal of trend components in the traffic; inspection cycles from the point of view of statistical significance; combination and projection of cycles in the future.

Thus, the proposed algorithm of traffic forecasting based on cyclic time series analysis allows determining the network load based on the periodicity search in network traffic. It should be noted that anomaly prediction is an important component of network traffic estimation and allows to quickly and efficiently solve problems of network traffic congestion management.

Keywords: network traffic, anomaly, cyclic analysis, computer network, information security.

References

1. Emel'yanov V.N., Emel'yanova M.M., Zinov'eva E.L., Shamonov M.U. (2016). Analiz metodov obnaruzheniya anomaliy setevogo trafi-ka // V sbornike: Priborostroenie v XXI veke - 2015. Integraciya nauki, obrazovaniya I proizvodstva. Sbornik materialov Xi Mezdunarodnoy naucho-technicheskoy konferencii, pp. 420-425.

2. Belyaev A., Petrenko S. Sistemy obnaruzheniya anomaliy: novye idei v zashite informacii [Online] // Cit Forum [Сайт]. URL: http://citforum.ru/security/articles/anomalis/ (Accessed: 14.03.2018).

3. Mikova, S.U., Olad'ko, V.S. (2016). Model' sistemy obnaruzheniya anomaliy setevogo trafika. Informacionnye sistemy I technologii. No.5 (97), pp. 115-121.

4. Azhmuchamedov I.M., Mar'enkov A.N. (2012). Poisk i ozenka anomaliy setevogo trafica na osnove ziklicheskogo analiza. Inzenerniy vestnik Dona. Vol. 20. No.2, pp. 17-26.

5. Mar'enkov A.N. (2012). Upravlenie trafikom vwchislitel'noy seti na osnove identifikacii anomaliy: avtoreferat dis. Kandidata tech-nitheskich nauk: 05.13.01 / Mar'enkov Alexandr Nikolaevith, [Mesto zachitw:Astrach. gos. tech. un-t]. Astrachan'. P. 16.

6. Mikova S.U. (2016). Razrabotka algoritma obnaruzhenya setevych anomaly. V sbornike: Materiaky nauchnoy sessii. Sbornik materialov: v 6 thastyach. Volgogradskii gosudarstvennwi universitet, pp. 113-116.

Information about authors:

Natalya V. Kireeva, Povolzhskiy State University of Telecommunications and Informatics, Assistant professor, Samara, Russia Olga A. Karaulova, State University of Telecommunications and Informatics, postgraduate, Samara, Russia