CC BY
52
список литературы
1. Библиотека I2R [Электронный ресурс]: Классификация атак. 2002. <http://i2r.ru>.
2. IEEE, 802.1AB. IEEE Standard for Local and Metropolitan Area Networks. Station and Media Access Control Connectivity Discovery. N. Y., 2005.
3. Pat. 5,926,462 USA, МКИ6 H04L 12/28. Method of Determining Topology of a Network of Objects which Compares the Similarity of the Traffic Sequences/Volumes of a Pair of Devices /D. Schenkel, M. Slavitch, N. Dawes. 20.07.1999.
4. Казиев В. М. Введение в математику и информатику. СПб.: БИНОМ, 2007.
5. Минько А. А. Статистический анализ в MS Excel. М.: Изд. дом „Вильямс", 2004.
Сведения об авторе
Михаил Юрьевич Будько — аспирант; Санкт-Петербургский государственный университет информационных технологий, механики и оптики, кафедра мониторинга и прогнозирования чрезвычайных ситуаций; E-mail: bmu@mail.ru
Рекомендована кафедрой Поступила в редакцию
мониторинга и прогнозирования 29.04.08 г.
чрезвычайных ситуаций
УДК 004.056, 519.812.3
А. В. Гирик ПРИМЕНЕНИЕ
МЕТОДОВ МНОГОКРИТЕРИАЛЬНОГО ПРОГНОЗИРОВАНИЯ В СЕТЕВЫХ СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Рассматриваются вопросы разработки математических моделей для сетевых систем обнаружения вторжений. Предложен метод обнаружения сетевых аномалий на основе многокритериального прогнозирования показателей безопасности. Поставлена и решена задача расчета весовых коэффициентов, учитывающих значимость моделей прогнозирования, которая может изменяться с течением времени. Предложенный подход обладает малой вычислительной сложностью и не зависит от характера критериев выбора прогнозов.
Ключевые слова: обнаружение вторжений, обнаружение сетевых аномалий, сетевая безопасность, многокритериальное прогнозирование.
Широкое распространение разнообразных информационных систем и расширение набора услуг, предоставляемых клиентам этих систем, обусловили увеличение количества информационных угроз безопасности сетей передачи данных. В связи с этим обеспечение своевременного выявления и идентификации угроз нарушения информационной безопасности является актуальной и важной проблемой. Как правило, она решается с помощью специального программного комплекса — распределенной системы обнаружения вторжений (Intrusion Detection System — IDS), которая осуществляет [1] мониторинг потоков данных в сети, анализ этих данных и выявление в анализируемых потоках данных признаков информационных угроз безопасности.
По принципу функционирования системы обнаружения вторжений делятся на два класса — выполняющие сигнатурный анализ и анализирующие статистику показателей безопасности. Особый интерес представляет обнаружение угроз безопасности сети в целом, так как последствия перегрузок, распределенных DoS-атак и других угроз, направленных на дестаби-
лизацию функционирования сети, приводят к значительным материальным потерям [1]. В общем случае угрозой можно считать аномальное поведение любого из наблюдаемых показателей безопасности. На практике показатели объединяют в группы и считают аномалию достоверно обнаруженной в случае, если поведение каждого показателя в группе идентифицировано как отклонение от нормального профиля сверх некоторого предельного значения.
Метод обнаружения сетевых аномалий в режиме реального времени заключается в следующем: выполняется мониторинг некоторого показателя безопасности, затем на основе накопленных данных строится прогноз, т. е. рассчитывается, какие значения показатель примет в ближайшее время, после чего прогноз сравнивается с реальными значениями показателя и на основании определенных критериев (в первую очередь, величины ошибки прогноза) принимается решение о наличии аномалии.
Эффективность метода зависит от точности прогноза. При решении задач обнаружения сетевых аномалий (в отличие, например, от задач планирования инфраструктуры) существует потребность в получении точных прогнозов с относительно небольшим горизонтом [2]. Для повышения точности прогноза предлагается одновременно использовать несколько моделей прогнозирования. В зависимости от времени и других факторов степень корректности моделей может изменяться, поэтому при формировании обобщенного прогноза необходимо определить степень значимости модели. Таким образом, приходим к задаче выбора весовых коэффициентов, учитывающих значимость модели, т.е. определение вклада, который вносит та или иная модель прогнозирования (тот или иной ее компонент) в формирование прогноза на очередном шаге.
Сформулированные задачи будем решать как задачи многокритериальной оптимизации [3]. Пусть имеется совокупность моделей прогнозирования Zk, к = 1, 2,..., N, которые обеспечивают формирование прогнозов с некоторым горизонтом h (т.е. на h отсчетов вперед). Степень соответствия совокупности прогнозов Xj, j = 1, 2,..., N, реальным значениям параметра
X определяется с помощью семейства критериев Q = {Q\, Q2,. ., Qs }, которое содержит S частных критериев. Будем считать, что каждый критерий Qt (Xj)е[0,1], иными словами, значение каждого частного критерия есть величина из интервала [0,1], причем „0" означает полное несовпадение по данному критерию, а „1" соответствует полному совпадению. Таким образом, частные критерии нормализованы и приведены к безразмерному виду. В этом случае нужно обеспечить Qt (X j ) ^ max для всех j.
Как правило, многокритериальная задача сводится к однокритериальной путем введения обобщенного критерия оптимальности F, который может быть аддитивной, мультипликативной или среднестепенной функцией частных критериев [4]. В простейшем случае можно считать, что все критерии обладают одинаковой значимостью. На практике, тем не менее, часто оказывается так, что в зависимости от времени и от исходных данных степень значимости критериев может изменяться. В этом случае каждому критерию ставится в соответствие весовой коэффициент, отражающий его значимость. Для определения значений коэффициентов используются различные методы, например диалоговый метод задания коэффициентов, в общем случае предполагающий, что лицо, принимающее решение, предоставит достаточные для расчета коэффициентов сведения [5]. Другой подход заключается в вычислении значений коэффициентов исходя из качественных характеристик критериев, например чувствительности. Будем считать, что частные критерии качественно соизмеримы между собой.
Введем следующие обозначения: Qopt = max (Xj) — оптимальное значение i-го кри-
J
терия для совокупности прогнозов Xj, j = 1, 2,..., N; X°pt = arg max Q{ (Xj) — решение (про-
j
гноз), оптимальное по i-му критерию. Рассмотрим меру
Cl =
QOpt _Q (XCpt)
Qi
opt
которая определяет относительное отклонение оптимального значения i-го критерия от значения i-го критерия, полученного для оптимального решения по /-му критерию, i,l = 1, 2,..., S . Для всех возможных значений i и / построим матрицу из элементов С/ .
По значениям С/ можно судить о том, насколько чувствительным к решениям Xj является i-й критерий: для этого нужно проанализировать соответствующий столбец матрицы. Вычислим разность между максимальным и минимальным элементами всех столбцов и
т
сформируем вектор V = (v1, v2,..., vs ), где vi = max С/ - min С/ . Весовые коэффициенты оп-
7
ределяются как вектор W = (wb w2,..., ws ), где
( s Л
Wu = v
I'
V г=1 У
Таким образом, определим обобщенный критерий оптимальности для решения Xу в аддитивной форме:
F (Xj ) = I wQ (Xj ),
(1)
i=l
тогда оптимальное решение будет найдено как Xopt = arg max F(Xj) .
Если с течением времени предпочтения, определяющие выбор моделей, изменяются, то весовые коэффициенты для моделей прогнозирования могут быть рассчитаны с учетом динамики изменения значений обобщенного критерия. Рассчитаем эти значения для каждой из N моделей и последних М прогнозов. В результате получим матрицу Г, состоящую из элементов Еу, где Еу — значение обобщенного критерия, рассчитанного с использованием формулы (1) для к-й модели прогнозирования и прогноза Хку, у = 1,..., М , к = 1,..., N . Рассчитаем весовые коэффициенты иу для моделей следующим образом. Пусть ае[0,1] — некоторая
м
константа, рк = Е ам -у+1 Еу , тогда
j=1
( N Л
uk = Рк,
Е Р1
VI=1 ,
Матрица Г переформировывается по мере получения реальных значений параметров таким образом, чтобы значения коэффициентов отражали относительный вклад той или иной модели на очередном шаге. Если (г) — к-я модель прогнозирования, то обобщенная модель процесса может быть представлена в виде
N
(2)
X (г)=Е ик1к (г). к=1
Для расчета процесса с помощью выражения (2) необходимо заполнить матрицу Г, т.е. нужно, чтобы модели были настроены на обучающей выборке, составляющей, по меньшей мере, М прогнозов.
Рассмотренный в настоящей статье подход, основанный на сравнении оперативных прогнозов показателей безопасности с их нормальным профилем, позволяет обеспечить повы-
шение точности обнаружения сетевых аномалий. Необходимо также отметить, что при защите сети следует ориентироваться не только на известные в настоящее время, но и на возможные угрозы, и, кроме того, учитывать особенности поведения показателей безопасности в конкретном сетевом окружении.
список литературы
1. Лукацкий А. В. Системы обнаружения атак // Сетевой. 2002. № 4. С. 45—48.
2. Будько М. Б., Будько М. Ю., Гирик А. В. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Науч.-техн. вестн. СПбГУ ИТМО. 2007. № 39. С. 319—323.
3. Рыков А. С. Методы системного анализа: многокритериальная и нечеткая оптимизация, моделирование и экспертные оценки. М.: Экономика, 1999. 191 с.
4. ГайдышевИ. Анализ и обработка данных: Спец. справочник. СПб.: Питер, 2001. 752 с.
5. Жигулин Г. П., Серебров А. И., Яковлев А. Д. Прогнозирование устойчивости и функционирования объектов с использованием теории игр и исследования операций. СПб.: СПбГУ ИТМО, 2004. 204 с.
Алексей Валерьевич Гирик
Сведения об авторе аспирант; Санкт-Петербургский государственный университет информационных технологий, механики и оптики, кафедра мониторинга и прогнозирования чрезвычайных ситуаций; E-mail: alexei.guirik@googlemail.com
Рекомендована кафедрой мониторинга и прогнозирования чрезвычайных ситуаций
Поступила в редакцию 25.04.08 г.
