CC BY
17
70/2010
Вестник Ставропольского государственного университета
ПРИМЕНЕНИЕ ТЕОРИИ ДИНАМИЧЕСКИХ СИСТЕМ ДЛЯ ЗАДАЧИ ОБНАРУЖЕНИЯ АНОМАЛИЙ В СЕТЕВОМ ТРАФИКЕ
В. А. Артамонов, А. Л. Копыстко
APPLICATION OF DYNAMIC SYSTEMS THEORY FOR PROBLEM OF ANOMALIES DETECTION IN NETWORK TRAFFIC
Artamonov V. A., Kopystko A. L.
The article suggests and describes an approach to the detection of anomalies with the use of dynamic systems. The result of its application to the time series of network traffic indices is presented. The research has been made in the frames of the "Scientific and Scientific-Pedagogical Personnel of Innovational Russia" Federal Program.
Key words: dynamic models, reconstruction of a model, detection of anomalies.
В статье предлагается и описывается подход к обнаружению сетевых аномалий с использованием динамических систем. Приводится результат его применения на временном ряду показателей сетевого трафика. Исследования вы/полнены/ в рамках ФЦП «Научные и научно-педагогические кадрыI инновационной России».
Ключевые слова: динамические модели, рекоснтрукция модели, обнаружение аномалий.
УДК 004.94
В настоящее время число факторов, негативно влияющих на безопасность информационных процессов, резко возросло. Злоумышленников все больше интересует кража пользовательской информации через организацию эпидемий вирусов и новых атак. Для этих целей все чаще используются многочисленные группы зараженных компьютеров, так называемые «ботнет» сети. Разработчики вредоносных программ активно работают над повышением технологичности своих разработок и улучшением методов сокрытия присутствия в системе [1]. Это приводит к тому, что полностью препятствовать действиям злоумышленников в информационных системах невозможно. Поэтому для обеспечения необходимого уровня безопасности наиболее актуальны направления исследований, связанные с разработкой систем обнаружения вторжений.
На сегодняшний день в информационной безопасности понятие системы обнаружения вторжений (СОВ) употребляется в широком смысле. Методы обнаружения атак принято разделять на методы обнаружения аномалий и методы обнаружения злоупотреблений. В последних методах используется сигнатурный анализ для определения факта воздействия на систему. Этот метод сходен с работой антивируса - каждое событие вторжения имеет свое описание в базе СОВ. Системы этого типа эффективны при обнаружении известных атак и так же, как и антивирусное программное обеспечение,
сигнатурная СОВ эффективна настолько, насколько хороша ее база сигнатур.
Главными преимуществами систем обнаружения аномалий (СОА) являются отсутствие шаблонов поиска и способность к обнаружению новых атак. Это предопределило бурное развитие СОА в последние годы. Наиболее распространенными методами обнаружения сетевых аномалий являются [4]:
- моделирования правил;
- конечных автоматов;
- сигнатурный;
- статистический.
Для любого из вышеперечисленных методов необходимо наличие данных для обучения, прежде чем можно будет запускать СОА в эксплуатацию. Необходимым требованием для тренировочных данных является отсутствие каких-либо атак, иначе СОА будет неспособна обнаруживать атаки, которые были в обучающих данных. Наличие несвойственных аномалий в тренировочном трафике также может быть причиной увеличения количества ложных срабатываний детектора аномалий, когда «нормальный» трафик маркируется как аномалия и возможная атака. Поэтому актуальной является задача разработки методов выявления аномалий, основанных на автоматическом построении модели поведения системы.
Для решения этой задачи предлагается использовать методику реконструкции математической модели динамической системы по временным рядам показателей состояния сети. Это позволит по записи временного ряда показателей одного из параметров системы восстановить сложность и некоторые характеристики (например, динамику) всей системы. Отслеживание изменения параметров реконструированной модели сможет выявлять атаки в наблюдаемой системе.
Задача выявления аномалий предложенным методом выполняется в три шага:
1. Выбор оптимальных параметров реконструкции для восстановления аттрактора системы и выполнение реконструкции.
2. Идентификация параметров системы дифференциальных уравнений, описывающих восстановленный аттрактор.
3. Мониторинг изменения параметров уравнений реконструированной модели.
Объектом анализа являются временные ряды из количества пакетов, прошедших через сетевой интерфейс за 1 секунду.
Для реконструкции аттрактора динамической системы по временному ряду экспериментальных данных {х} необходимо решить проблему выбора оптимальных параметров реконструкции: временной задержки т и размерности вложения т. Результат реконструкции полностью зависит от выбора обоих параметров. Оценка оптимальных {тор, ,тор,} выполняется с помощью показателя дифференциальной энтропии [2], так как этот метод, в отличие от альтернативных, позволяет получить оба параметра одновременно.
Дифференциальная энтропия используется для оценки «беспорядка» с использованием плотности распределения вероятностей р(х) данных. Из-за гибкости по отношению к размерности используемых данных очень часто используется оценка для дифференциальной энтропии, предложенная Ю. В. Коза-ченко и Г. М. Леоненко:
N
Н(х) = £Ы(Npj) + 1п2 + Се . (1)
]=1
В формуле (1) N - длина временного ряда, р] - Евклидова дистанция от ] -го реконструированного вектора к его ближайшему соседу и Се (»0.5772) - постоянная Эйлера. Дифференциальная энтропия для вложения временного ряда {х}, размерности вложения т , временной задержки т обозначается как Н (х, т,т). Н (х, т,т) будет обратной мерой структуры в фазовом пространстве.
Набор оптимальных параметров {тор, ,тор,} позволяет получить фазовый
портрет, наиболее полно отражающий динамику в реальной системе. Таким образом оптимальный портрет имеет минимальную дифференциальную энтропию (минимальный «беспорядок») и отклонение от оптимальных {т ,тр} приводит к увеличению
«беспорядка». Поэтому для нахождения оп-
70/2010
Вестник Ставропольского государственного университета
тимального набора параметров необходимо минимизировать Н (х, т,т).
Для компенсации неустойчивости уравнения (1) по отношению к изменению размерности, в [2] было рекомендовано использовать некоторое количество «суррогатных» сигналов, полученных из {х}. Необходимое количество N таких сигналов {хх1}, г = 1,..., , генерируется случайными
перестановками в оригинальном временном ряде. В этом случае распределение сигнала не меняется и корреляция внутри ряда остается случайной. В результате получается новый «обеленный» сигнал с распределением, идентичным исходному ряду {х}. Дифференциальная энтропия вычисляется для реконструированных временных рядов экспериментальных данных и для суррогатов по формуле (1) для постоянно увеличивающихся т и т . Чтобы определить оптимальные параметры реконструкции, необходимо оптимизировать следующее отношение:
Н (х, т,т )
I (m,t ) = -
(2)
< H(xsi, m,t) > где < • >i означает среднее значение выражения по i. В таблице 1 представлены результаты оценки оптимальных параметров реконструкции для 10 временных рядов длиной 200 точек, составленных по тестовым наборам данных MIT Lincoln Laboratory [3].
Таблица 1
Обработка всех данных за 4-ю и 5-ю недели наблюдений от MIT Lincoln Laboratory и реальных данных для канала доступа в Интернет Ставропольского государственного университета позволяет сделать вывод, что примерно в 80 % случаев реконструируемый аттрактор будет иметь размерность 2. Это значит, что для его описания потребуется система из 2-х дифференциальных уравнений второй степени вида:
Xi Ci,kFi,k (X1, X2 XD ):
(3)
где i = 1, . . ., D, D - степень уравнений, K -количество уравнений и cik - параметры,
которые надо найти. Идентификация параметров уравнений (3) выполняется с помощью метода наименьших квадратов. Для случая из 2-х уравнений необходимо найти значения 18 параметров.
Проверка предложенного метода выполнялась по временному ряду для 5-минутного отрезка тренировочных данных MIT Lincoln Library. Реконструкция уравнений производилась по последним 200-м точкам от момента наблюдений. График изменения параметров во времени представлен на рисунке 1. Ось абсцисс - порядковый номер параметров (здесь 10-й - 18-й параметры - соответственно 1-й - 9-й параметры второго уравнения), ось ординат - порядковый номер реконструкции и ось аппликат -значение параметров.
Оптимальные параметры реконструкции
k =1
Rent
mopt ^ opt
1 2 16
2 2 12
3 2 23
4 3 15
5 2 28
6 5 14
7 2 42
8 2 34
9 2 19
10 2 33
Рисунок 1. Изменение параметров реконструрованной модели по времени
Через 1 минуту после начала мониторинга наблюдается резкое изменение всех параметров уравнений, что сигнализирует об обнаружении атаки. Этот момент точно совпадает с данными Lincoln Library о том, что в это время была выполнена атака вида mailbomb.
Таким образом, предложен новый метод обнаружения сетевых аномалий по временным рядам одного из показателей состояния сети, который не требует наличия данных для обучения системы обнаружения аномалий.
ЛИТЕРАТУРА
1. Гостев А., Современные информационные угрозы, I квартал 2007, http://www. viruslist. com/ru/analysis?pubid=20 4007545
2. Gautama T., Mandic D., Van Hulle M., A differential Entropy based method for determining the optimal embedding parameters of a signal, 2003
3. MIT Lincoln Library DARPA Intrusion Detection Evaluation, http://www. ll. mit. edu/IST/ideval/data/datainde x.html
4. Thottan M. and Ji C., Anomaly Detection in IP Networks, IEEE transactions on signal processing. Vol. 51. 2003. № 8.
Об авторах
Артамонов Владислав Александрович, ГОУ
ВПО «Ставропольский государственный университет», старший преподаватель кафедры организации и технологии защиты информации. Сфера научных интересов - динамические системы, системы обнаружения сетевых вторжений и аномалий.
vlad@stavsu.ru
Копыстко Алексей Леонидович, ГОУ ВПО
«Ставропольский государственный университет», аспирант. Сфера научных интересов - динамические системы, системы обнаружения сетевых вторжений и аномалий. kopystko@,stavsu. ги
