CC BY
97
I РЕЗУЛЬТАТ ИССЛЕДОВАНИЯ АЛГОРИТМОВ ВЫЯВЛЕНИЯ СЕТЕВЫХ АНОМАЛИЙ
Микова Софья Юрьевна, студентка кафедры информационной безопасности ФГАОУ ВО «Волгоградский государственный университет», г. Волгоград E-mail: mikova.s@yandex.ru Оладько Владлена Сергеевна, кандидат технических наук, доцент
кафедры информационной безопасности ФГАОУ ВО «Волгоградский государственный университет», кафедра информационной безопасности г. Волгоград
E-mail: oladko.vs@yandex.ru
В статье рассмотрена проблема обнаружения сетевых аномалий. Исследованы алгоритмы: на основе дискретного вейвлет-преобразования с применением статистических критериев и обнаружения аномалий Бродского-Дарховского. Предложены критерии, позволяющие проанализировать результаты работы каждого алгоритма и оценить его точность. Приведено формализованное описание процедуры выбора наиболее точного алгоритма выявления сетевых аномалий. В результате проведения экспериментов и оценки критериев был найден алгоритм, имеющий наименьшее количество ошибок 1 и 2 рода и наибольшее количество правильно обнаруженных аномалий.
Ключевые слова: атака, информационная система, злоумышленник, ошибки первого рода, ошибки второго рода, размер окна, точность.
THE RESULT OF THE RESEARCH OF ALGORITHMS I TO IDENTIFY NETWORK ANOMALIES |
Sof'ya Mikova, student Volgograd State University, Department of Information security, Volgograd E-mail: mikova.s@yandex.ru Vladlena Oladko, Ph.D, Associate Professor of ln-formation Security, Volgograd State University, Volgograd
E-mail: oladko.vs@yandex.ru
The article deals with the problem of detection of network anomalies. We investigated algorithms: the algorithm based on discrete wavelet transform using statistical criteria and anomaly detection algorithm Brodsky-Darhovsky. We found criteria to analyze the performance of each algorithm. Powered rule of evaluation criteria for identifying the most accurate algorithm to identify network anomalies. As a result of 3 experimentation and evaluation criteria was found algorithm having the least amount of errors of 1 and 2 kind and the largest number of correctly detected anomalies.
Keywords: attacks, the information system, the attacker, false negative, false positive, the window size.
Введение
Проблема обнаружения сетевых аномалий актуальна в настоящее время, так как их действие может привести к утечке или искажению данных, обрабатываемых в информационных системах организаций и в технологических системах предприятия. Часто аномалия в сети - это один из признаков атаки злоумышленника. В соответствии с [1]
основными причинами возникновения аномалий в сети являются:
- действия злоумышленников;
- действия и ошибки некомпетентных пользователей;
- неисправность аппаратного обеспечения;
- дефекты и ошибки программного обеспечения.
Существует много алгоритмов обнаружения аномалий в сети, основными из которых являются:
1) алгоритм на основе дискретного вейвлет-преобразования;
2) алгоритм Бродского-Дарховского;
3)алгоритм на основе сумме квадратов вейв-лет-коэффициентов;
4) алгоритм на основе максимума квадратов вейвлет-коэффициентов.
Из них наиболее простыми в реализации являются: алгоритм на основе дискретного вейвлет-преобразования с применением статистических критериев (ДВП) и алгоритм обнаружения аномалий Бродского-Дарховского (БД). [4,5]
А поскольку алгоритмы обнаружения аномалий часто используются при диагностике атак на корпоративные сети и информационные системы предприятий, то одним из важных показателей качестве алгоритма будет являться его точность.
В соответствии с [3] для описания точности работы алгоритмов могут использоваться следующие показатели:
1)ошибки первого рода - Е1;
2) ошибки второго рода - Е2 ;
3) размеры окон - W1 и W2;
4) количество правильно обнаруженных аномалий - Б.
(2)
г о Р 1
3, если — =1
N
р
2, если 3 < — <1
з^ р
1, если 0 < — < 0,3
р
0, если — =0
' N
где Р- количество правильно обнаруженных аномалий; N общее число аномалий.
Критерий К4, позволяет оценить количество ошибок первого рода алгоритма при обнаружении им аномалий.
3, если — =0
N
2, если 0 < — <0,5
N
ь
1, если 0,5 < - <1
^ N
0, если — =1
N
кМ
(3)
где Ь- количество ложных тревог, К- общее число аномалий.
Критерий К5, позволяет оценить количество ошибок второго рода, которые появляются в процессе работы алгоритма.
Формализация процедуры оценки точности алгоритмов сетевых аномалий
Формализованная процедура оценки точности и выбора лучшего алгоритма может быть описана следующей последовательностью шагов.
1) Для нормализованной ранговой оценки значений W1, W2, Б, Е1, Е2 каждого алгоритма вводится множество критериев оценки алгоритмов
К, ЕК\ К £ [0,3],* = 1..5 .
2) Каждому критерию оценки К^ Е К присваивается ранговое значение в соответствии с правилами, описанными формулами 1-4.
Критерии К: 2-описывают размеры окон Ш1,Ш2 в алгоритмах обнаружения сетевых аномалий. При чем размер окна W2 применяется только для работы алгоритма дискретного вейвлет-преобразования с применением статистических критериев. [3]
(3,если 1У12 < 10 ; 2,если 10 < И/, , < 19 1,если 19 < №12 < 30 №12 >30, гап§К12 = 0.
(4)
г 3, если — =0
N
2, если 0 < — <0,5
N
Н
1, если 0,5 < — <1
^ N
0, если — =1
N
3) Для каждого анализируемого алгоритма j={ДBП, БД} по формуле 5 вычисляется комплексный показатель . Более точным будет считаться тот алгоритм обнаружения сетевых аномалий, который имеет наибольшую комплексную оценку.
(5)
(1)
Критерий К3 позволяет оценить количество верно идентифицированных алгоритмом сетевых
аномалий.
4) Для получения более достоверной оценки рекомендуется провести т оценок алгоритмов и для полученного ряда значений >-> ? каждого алгоритма рассчитать математическое ожидание М[К^ит ]. В этом случае, как и в шаге 3, наиболее точным признается тот алгоритм, математическое ожидание которого имеет максимальную оценку.
Мониторинг безопасности объектов
Экспериментальные исследования алгоритмов обнаружения сетевых аномалий Бродского-Дарховского и дискретного вейвлет-преобразо-вания с применением статистических критериев
Для проведения исследований точности алгоритмов был разработан программный комплекс,
с помощью которого было проведено множество экспериментов, направленных:
на оценку влияния зависимостей входных параметров алгоритмов БД и ДВП на точность обнаружения аномалий;
на выбор наиболее точного в своей работе алгоритма обнаружения сетевых аномалий.
Экспериментальные исследования алгоритмов обнаружения сетевых аномалий ДВП и БД состояли из трех экспериментов, входные данные которых, одинаковые для каждого из двух исследуемых алгоритмов представлены в таблице 1.
Таблица 1. Входные данные экспериментов
Номер эксперимента 1 2 4
Входные данные 1= 500 1= 300 1= 450
эксперимента ^ 4 ^ 10 ^ 15
Ж =30 Ж =25 Ж =10
И^ =10 =13 Ж2= 5
Рис. 1. Результат работы алгоритмов.
где 1У1(И<2 -размеры окон, I- количество интервалов, К- число аномалий.
Каждый эксперимент включал в себя исследование работы обоих алгоритмов. Пример проведения одного из этапов эксперимента с помощью разработанной программы представлен на рисунке 1.
В результате проведения эксперимента для разных входных данных были получены значения, представлены в таблице 2:
Таблица 2. Результаты работы алгоритмов.
№ этапа эксперимента Алгоритмы W1 W2 Б Е1 Е2
1 (1= 500; ^ 4) ДВП 30 10 1 0,13 0
БД 30 0 0,25 0,75 0,75
2 (1= 300; ^ 10) ДВП 25 13 0 5,3 1
БД 25 0 0,3 0,4 0,7
3 (1= 450; ^ 15) ДВП 10 5 0 0,6 0,8
БД 10 0 0,4 0,5 0,4
Таблица 3. Критериальная оценка точности алгоритмов обнаружения сетевых аномалий
Алгоритм Эксперимент *к К2 к4 КБ ^'яип
1 0 3 3 2 3 11
ДВП 2 1 2 0 0 0 3
3 3 3 0 1 1 8
1 0 3 1 1 1 6
БД 2 1 3 1 2 1 8
3 3 3 2 1 2 11
В соответствии с результатами работы алгоритмов была проведена оценка каждого критерия (формулы 1-5), результаты которой представлены в таблице 3 и графиков на рисунке 2.
о
12 3
№ эксперимента
Рис. 2. Результаты оценки критериев работы алгоритмов.
Вывод
Из анализа результатов работы алгоритмов следует, что наиболее точным в обнаружении аномалий является алгоритм Бродского-Дар-ховского поскольку математическое ожидание его обобщённых оценок — 8,33
,на 12% превышает математическое ожидание алгоритма на основе дискретного вейвлет-преобразования с применением статистических критериев М^двп^ит] = 7,ЗЗ.Также при его использовании обнаруживается меньше ошибок 1-ого и 2-ого рода, чем при использовании алгоритма на основе дискретного вейвлет-преобразования с применением статистических критериев. Кроме того, алгоритм Бродского-Дарховского имеет наибольшее количество правильно обнаруженных аномалий.
Литература:
1. Жидков И.В., Кадушкин И.В. О признаках потенциально опасных событий в информационных системах//Вопросы кибербезопасности., -2014.-№1(2).-С. 40-48.
2. Басараб М.А., Строганов И.С. Обнаружение аномалий в информационных процессах на основе мультифрактального анализа // Вопросы кибербезопасности., -2014.-№4(7).-С. 30-40.
3. Микова С.Ю. Оладько В.С. Нестеренко М.А., Кузнецов И.А. Критерии оценки качества алгоритмов обнаружения сетевых аномалий// Международный научно-исследовательский журнал, -2015 - №4 (35) -С. 87-88.
4. Шелухин О.И., Филинова А.С. Обнаружение сетевых аномальных выбросов трафика методом разладки Бродского-Дарховского // T-Comm - Телекоммуникации и Транспорт., -2013.-№10 , том 7-С. 116-118.
5. Шелухин О.И., Панкрушин А.П. Оценка достоверности обнаружения аномалий сетевого трафика методами дискретного вейвлет-преобразования // T-Comm - Телекоммуникации и Транспорт., -2013.-№10 , том 7-С. 110-113.
References:
1. Zhidkov I.V. , Kadushkin I.V. O priznakakh potentsial'no opasnykh sobytiy v informatsionnykh sistemakh//Voprosy kiberbezopasnosti , -2014.- №1 (2) .- S . 40-48
2. Basarab M.A. , Stroganov I.S. Obnaruzheniye anomaliy v informatsionnykh protsessakh na osnove mul'tifraktal'nogo analiza // Voprosy kiberbezopasnosti . , -2014. - №4 ( 7 ) .- S . 30-40 .
3. Mikova S.YU. Olad'ko V.S. Nesterenko M.A. , Kuznetsov I.A. Kriterii otsenki kachestva algoritmov obnaruzheniya setevykh anomaliy // Mezhdunarodnyy nauchno - issledovatel'skiy zhurnal , -2015 - №4 ( 35 ) -S . 87-88 .
4. Shelukhin OI Filinova AS Detection of abnormal network traffic emissions by discord Brodsky-Darhovsky // T-Comm -Telecommunications and Transport., -2013.-№10 (7)-S. 116-118.
5. Shelukhin OI Pankrushina AP Evaluation of reliability of network traffic anomaly detection method of discrete wavelet transform // T-Comm - Telecommunications and Transport., -2013.-№10( 7)-S. 110-113.
