автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Анализ и управление данными в виде временных рядов

На правах рукописи □03055ТЭ1

БЕЗРУКАВНЫЙ ДМИТРИЙ СЕРГЕЕВИЧ

АНАЛИЗ И УПРАВЛЕНИЕ ДАННЫМИ В ВИДЕ ВРЕМЕННЫХ

РЯДОВ

Специальность 05.13.01. - «Системный анализ, управление и обработка

информации»

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва 2007

003055791

Работа выполнена в Московском Государственном Университете Леса

Научный руководитель:

доктор технических наук, профессор

Ретинская Ирина Владимировна

Официальные оппоненты: доктор технических наук, профессор

Артамонов Евгений Иванович

кандидат технических наук, старший научный сотрудник

Барахнин Юрий Владимирович

Ведущая организация:

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ УЧРЕЖДЕНИЕ «Государственный научно-исследовательский институт информационных технологий и телекоммуникаций ИНФОРМИКА"

Защита состоится 20 апреля 2007 г. в 14 час. 30 мин. в аудитории 1307 на заседании диссертационного совета Д 212.141.04 при Московском Государственном Университете Леса (141005, Московская обл., г. Мытищи, ул. 1-я Институтская, 1,МГУЛ).

С диссертацией можно ознакомиться в библиотеке Московского Государственного Университета Леса.

Автореферат разослан «/%>Г 2007 г.

Ученый секретарь диссертационного совета

кандидат технических наук, доцент

Тарасенко П.А.

Актуальность темы. С развитием вычислительной техники всё чаще появляется необходимость обрабатывать большие объёмы информации, представляющие последовательность наблюдений за числовой характеристикой неких объектов - временной ряд. Существует множество практических задач, связанных с обработкой информации в виде временных рядов: контроль передачи информации через телекоммуникационные каналы, наблюдение за различными технологическими процессами и пр. Анализ таких временных рядов представляет собой нетривиальную задачу, связанную как с особенностью поведения объектов, представленных этим рядом, так и с особенностью регистрации информации.

Методы анализа временных рядов развиваются в двух направлениях: построение моделей временных рядов и эвристические методы. Практика показывает, что часто в реальной ситуации невозможно подобрать адекватный метод анализа временных рядов, позволяющий анализировать и прогнозировать временной ряд. В частности, интерпретация результатов анализа трафика телекоммуникационной сети, представляющий при определённых способах регистрирования временной ряд, является весьма сложной задачей, требующей развития и адаптации методов анализа временных рядов. Продолжением этой задачи является задача управления работой объекта на основе метода анализа временных рядов.

Выявление в работе систем передачи данных аномалий, связанных со сбоями аппаратуры или с деятельностью хакеров, также представляет серьезную практическую задачу, которой в большинстве случаев отдаётся первостепенное значение. Существующие системы анализа потоков данных способны выявлять только уже известные аномалии (сценарии атак на сети), в то время как новые не обнаруживаются. Это связано с ограниченностью используемых характеристик потоков данных и методов их анализа.

Кроме того, многие коммерческие пакеты, решающие близкие задачи, помимо дороговизны, также страдают таким недостатком, как непрозрачность используемых методов обработки данных.

Таким образом, представляется актуальным развитие методов, связанных с анализом и моделированием данных, представленных в виде временных рядов на примере трафика телекоммуникационной сети.

Работа выполнена при поддержке гранта РФФИ № 05-07-90360.

Цель и задачи диссертации. Целью работы является исследование и совершенствование методов анализа и управления данными в виде временных рядов, а также, в качестве примера, разработка на их основе метода контроля трафика телекоммуникационной сети, независящего от технологии передачи информации, позволяющего выявлять и предотвращать возникновение различных неисправностей.

Для достижения указанной цели в работе поставлены и решены следующие основные задачи:

• изучены и классифицированы различные виды трафика с целью определения области применения разрабатываемых методов;

• разработаны этапы анализа сетевого трафика для выделения основных слагающих компонент загрузки из исходного временного ряда;

• изучены и классифицированы нештатные ситуации в телекоммуникационной системе в терминах статистических характеристик временного ряда;

• разработан подход к оценке и управлению качеством работы телекоммуникационной системы на основе анализа нештатных ситуаций;

• разработана реализация предложенных подходов в виде алгоритмов и программ.

Методы исследования. Для решения поставленных задач использовались методы Фурье и вейвлет анализа, методы теории нечётких множеств, вычислительной математики и математического программирования. Для программной реализации использован язык программирования «Borland Delphi 6.0».

На защиту выносятся.

1. Результаты исследования алгоритма фильтрации шумов во временном ряде на основе метода главных компонент (алгоритм «Гусеница»), позволившие выявить возможности и ограничения его области применения.

2. Алгоритм фильтрации незначащих шумов во временном ряде с помощью вейвлет-анализа, обладающий рядом преимуществ по сравнению с известными методами сглаживания: предназначение специально для анализа с выраженной периодичностью, возможность наглядной визуализации, низкая вычислительная сложность.

3. Метод оценивания и управления качеством передачи информации в виде временных рядов с использованием нечётких множеств, построенных на основе статистических характеристик временного ряда и экспертных оценок, позволяющий выявлять отклонения от нормального режима временного ряда.

Научная новизна диссертационной работы определяется следующими результатами:

• разработан метод выделения основных слагающих компонент загрузки из исходного временного ряда, позволяющий учитывать особенности исходной информации;

• разработана классификация нештатных ситуаций в системе по степени опасности, позволяющая связывать характеристики временного ряда со степенью опасности;

• разработан метод выделения нештатных ситуаций работы системы на основе построения нечётких множеств, параметры которых определяются как на базе предварительного статистического исследования информации, так и на основе экспертных оценок;

• разработаны алгоритмы и программы, позволяющие в режиме реального времени оценивать и управлять качеством передачи информации в телекоммуникационной системе;

• классифицированы различные виды временных рядов на примере телекоммуникационной системы.

Практическое значение результатов работы.

Разработанные методы обработки данных позволили создать на их основе программное средство «Анализатор трафика», способное контролировать состояние одной из разновидностей телекоммуникационных систем -компьютерной сети. Его основное отличие от ныне существующих антивирусов и файрволлов заключается в изменении самого подхода к исследованию трафика. Подход, разработанный в диссертационной работе, позволяет абстрагироваться от конкретной информации, передаваемой через сеть. Достаточно обучить программу нормальным параметрам функционирования данной сети. Далее она способна, с помощью нечётких методов, определять отклонения от этих параметров, анализировать их природу и степень опасности и предупреждать об этом пользователя. Такой новый подход приводит к тому, что программа не зависит от антивирусных баз данных и регулярных обновлений и способна выявлять даже совершенно новые, неизвестные разработчикам виды атак на сеть.

Разработанные подходы и программные средства могут быть использованы для анализа режимов газопотребления в сетях распределения газа.

Достоверность полученных результатов подтверждена опытом эксплуатации программы в научно-образовательной сети ШЖЫе! и полученными положительными результатами работы, а также строгостью использованного математического аппарата.

Практическое использование результатов работы. Результаты диссертационной работы используются в следующих организациях.

• Научно-образовательная сеть ШЛчПЧй - контроль за состоянием компьютерной сети с помощью написанной по результатам диссертации программы.

• Федеральное Государственное Учреждение «Государственный научно-исследовательский институт информационных технологий и телекоммуникаций ИНФОРМИКА"

• Российский Государственный Университет им И.М. Губкина - при чтении курсов «Методы обработки экспериментальных данных и планирование экспериментов» и «Программные статистические комплексы»

• Московский Государственный Университет Леса - при чтении курса «Автоматизированные информационные технологии»

Апробация. Результаты диссертации прошли апробацию на научных конференциях: Международные научно-практические конференции «Телематика», г. Санкт-Петербург, 2004, 2005, 2006 г.г.; ежегодные научно-технические конференции профессорско-преподавательского состава МГУЛ; XIII международная студенческая школа-семинар «Новые информационные технологии», Судак, 2005 г.; Международная конференция по нечётким множествам(Риг2у Zittau Colloquium), Цитгау, 2005 г., Всероссийский конкурс инновационных проектов аспирантов и студентов по приоритетному направлению развития науки и техники «информационно-телекоммуникационные системы» в Ершово.

Публикации. Результаты диссертации изложены в 9 печатных работах(две из них опубликованы в изданиях, рекомендуемых ВАК для докторских диссертаций), в том числе в 3 статьях и 6 тезисах докладов на международных и Всероссийских конференциях.

СОДЕРЖАНИЕ ДИССЕРТАЦИИ

Во введении обоснована актуальность темы, изложены цели и задачи исследования. Определены научная новизна и практическая значимость полученных результатов. Обоснована структура диссертации, приведены основные положения, выносимые на защиту.

В первой главе описываются методы статистического анализа временных рядов. Рассмотрены возможности и особенности применения таких методов, как разложение в ряд Фурье, метод скользящего среднего, метод

анализа главных компонент «гусеница» и т.д. Проанализированы различные виды трафика и возможные методы их исследования. Выявлено, что большинство этих методов позволяют исследовать только один из факторов, определяющих природу ряда (тренд, периодическую составляющую и т.д.), а вейвлет - анализ (анализ с помощью вейвлет - функций), позволяет выделить не только частотные характеристики ряда, но и локальные выбросы. Указывается различие между дискретным и непрерывным вейвлет-анализом, аппарат которых можно применять как для непрерывных, так и для дискретных сигналов. Сделаны выводы о необходимости предварительной фильтрации исследуемых данных с помощью вейвлет-анализа с целью повышения устойчивости и помехозащищённости разрабатываемого комплексного метода анализа потока информации.

Во второй главе описывается разработанный автором метод полного анализа сетевого трафика. Метод состоит из нескольких этапов, последовательное выполнение которых позволяет получить некий эталонный набор характеристик ряда. Далее проводится сравнение текущих характеристик с эталонными и, при возникновении отклонений, анализируется их причина и степень опасности.

I

Сначала описывается первый этап метода — фильтрация с помощью вейвлет-анализа. Сигнал анализируется путем разложения по базисным функциям, полученным из некоторого прототипа путем сжатий, растяжений и сдвигов. Функция - прототип называется анализирующим

(материнским) вейвлетом.

Как известно, вейвлет - функция должна удовлетворять 2-м условиям:

1. Среднее значение (интеграл по всей прямой) равен 0.

2. Функция быстро убывает при г —> оо.

Обычно, функция-вейвлет обозначается буквой у.

В общем случае вейвлет преобразование функции f(t) выглядит следующим образом

W(x,s) = -l¥\^)f(t)dt, (1)

s -1 s

где t - ось времени, х - момент времени, s - параметр, обратный частоте, а (*) -означает комплексно-сопряженное.

В формуле (1) параметр х изменяется на области определения функции f(x), а параметр s может принимать значения из промежутка (О, I], где / - длина области определения f(x) Чем меньше будут значения s, тем более подробно будет проанализирована функция. Главным элементом в вейвлет анализе является функция-вейвлет. Вообще говоря, вейвлетом является любая функция, отвечающая двум вышеуказанным условиям. Наибольшей популярностью пользуются два изображенных на рисунке 1 вейвлета:

Рис 1. Примеры вейвлетов.

Сверху показан вейвлет Хаара - самый простой из используемых вейвлетов. Он описывается уравнением

i 0 ,ai > 1 или а>< О, 4/(fi>) = \ 1 0 <£¡><1/2, (2) '(-1 1/2 < (о <1

На нижней части рисунка 1 изображен вейвлет "сомбреро" (Mexican Hat) названный так благодаря своему внешнему виду. Он описывается формулой

И®) = «" (3)

График любого вейвлет выглядит примерно также как и вейвлет «сомбреро». В разработанном методе используется анализ вейвлетом «сомбреро», т.к. выяснилось, что данный вейвлет обладает оптимальным соотношением сложность расчетов - качество фильтрации.

Если имеется некоторая функция f(t), зависящая от времени, то результатом ее вейвлет-анализа будет некоторая функция W(x,s), которая зависит уже от двух переменных: от времени и от частоты (обратно пропорционально). Для каждой пары х и s способ вычисления вейвлет преобразования следующий:

1. Функция вейвлет растягивается в s раз по горизонтали и в 1/s раз по вертикали.

2. Далее она сдвигается в точку х. Полученный вейвлет обозначается y(x,s).

3. Производится усреднение в окрестности точки х при помощи \|/(x,s) по формуле(2).

В диссертационной работе описывается использование известного графического фильтра для отсечения шумов. Для фильтрации в каждой точке предлагается вычислять градиент яркости

ега^ЩМ-, (4)

s, = (/(< -1, J +1) + 2/(». ; +1) + /о +1, j +1)) - (/(» -1, J -1) + 2/(1, j -1) + Д/+1, j -1) S2-(f(i + hj +1) + 2/(/ +1,7) +/0 + 1))-(/('-1,7 + 1) + 2/(i- 1,у) + /(/-1,у -1)

где f(ij) - обрабатываемая точка, a f(i±lj±l) - её соседи по таблице, полученной после вейвлет - преобразования, где i - координата точки по параметру s, a j - по параметру х. После вычисления градиентов для всех точек, находится их среднее арифметическое и каждый градиент сравнивается с ним. Если градиент яркости в данной точке меньше среднего арифметического, то

И

точка удаляется из таблицы результата (её значение заменяется на 0). Новой разработкой, в данном случае, является именно сочетание вейвлет-разложения и фильтрации по градиенту яркости.

Таким образом отсекаются все шумовые эффекты, а затем производится обратное вейвлет - преобразование, чтобы получить «чистый» ряд.

По отфильтрованному результату вейвлет - преобразования нужно построить очищенный от шумов ряд. Эта процедура осуществляется с помощью обратного стандартного вейвлет - преобразования, которое описывается формулой

= (б) где - нормализующий коэффициент.

Еще один метод выделения высокочастотной составляющей - алгоритм «Гусеница», основанный на методе главных компонент. Он состоит из четырех этапов:

1) развертка одномерного ряда в многомерный;

2) анализ главных компонент полученной матрицы;

3) отбор главных компонент;

4) восстановление одномерного ряда.

Алгоритм в соответствии с указанными выше этапами выглядит следующим образом.

1. Развертка одномерного ряда в многомерный. Выбирается некоторое число М<N (где 'Ы- длина анализируемого ряда), называемое длиной гусеницы, и первые М значений последовательности представляются в качестве первой строки матрицы X . В качестве второй строки матрицы берутся значения последовательности с Х2 по хм+\. Последней строкой с номером к= N - М + 1 будут последние М элементов последовательности.

2. Анализ главных компонент. Вычисляется матрица V = (1/к)ХтX. Далее вычисляются её собственные числа и вектора, т.е. ее разложение V = РЬРТ, где Ь - диагональная матрица, на диагонали которой стоят упорядоченные по убыванию собственные числа, а Р - ортогональная матрица собственных векторов матрицы V.

3. Отбор главных компонент. В силу свойств матрицы Р можно представить матрицу ряда X как X = У Рт. Таким образом, получается разложение матрицы ряда по ортогональным составляющим (главным компонентам).

4. Восстановление одномерного ряда. Эта процедура основана на разложении X = У Р^. Будем говорить, что восстановление проводится по данному набору главных компонент, если при применении формулы восстановления X = У* Р^ матрица К* получена из матрицы У обнулением всех не входящих в набор главных компонент.

Результаты исследования показали, что алгоритм «Гусеница» может хорошо выделять высокочастотную составляющую только в случае малого изменения математического ожидания от времени («почти» стационарный процесс) или в случае, когда диапазон изменения основной составляющей много меньше шумовой составляющей.

С целью идентификации математической модели для нестационарных серий были проведены визуализация и статистический анализ большого числа реализаций трафиков научно-образовательных сетей.

Исследования и расчеты приводят к следующему известному описанию временного ряда загрузок >(?,), измеряемых в моменты времени 1, через равные промежутки времени А

уА,)=/(0+Е(0+е(1,), (7)

где /(I)- тренд, медленно меняющаяся во времени функция, описывающая изменения среднесуточных загрузок за интервалы времени большие, чем суточная периодичность (в частности, линейный тренд-аа+а¡1);

§(1)- периодическая составляющая гармонического типа (может быть

описана конечным рядом Фурье, построенным по экспериментальным данным). Эта составляющая интерпретируется как «сезонная», а в [2] -как циклическая компонента;

eft) -стохастическая шумовая последовательность сама является суммой двух слагаемых

где 4(0 - шум, независимая случайная последовательность, относительно которой делается предположение, что для любого момента времени 1, математическое ожидание М/с;(г,)/=0 и дисперсия равна а2^,)

Второе слагаемое г|(Ч)- описывает последовательность случайных событий («выбросов»), представляющих собой аномальные наблюдения в случайные моменты времени т,.(аномальные наблюдения возникают случайным образом в отдельные моменты времени т):

Здесь А,- амплитуда аномального наблюдения, значительно превышающая размах исходного ряда наблюдений. Известно, что последовательность аномальных наблюдения образует Пуассоновский поток событий с параметром или интенсивностью X.

Построение модели (7) по реализации трафика сводится к идентификации аналитического представления каждого слагаемого.

Моделирование тренда проводится с помощью хорошо разработанных методов регрессионного анализа, модифицированных для обработки временных рядов и включающих применение процедур усреднения (за интервалы времени, превосходящие основные периоды колебательного процесса), методы скользящего среднего и их комбинации. Здесь оказывается полезным также применение разностных операторов с временными сдвигами, равными основным периодическим составляющим.

Для оценки периодических колебаний привлекаются методы гармонической регрессии, анализа периодограмм и спектральный анализ

£(t)=W) + 4(t), (8)

К«,)-!,

Г А,,при /, = г,, [0, в противном случае .

(9)

Фурье, а также метод Фишера.

Всё это реализуется применением нечётких методов к анализу заданного ряда. По отдельности рассматривается каждый из возможных случаев отклонения от нормальных параметров функционирования. Во-первых, рассматривается ситуация изменения средней частоты аномальных наблюдений X, которая устанавливается в результате регистрации числа "выбросов" за время, достаточное для подсчета интенсивности. Оценкой интенсивности Пуассоновского потока является средняя частота событий Д=По/То, где п0- число выбросов произошедших за время наблюдения Т0 (время измеряется в выбранной единице), причем а2(Х)=Я.

Для доверительного интервала 95% истинное значение интенсивности лежит в границах Я ±1.96^ Я; для 99 8%-ного интервала - в границах Приведенные статистические оценки позволяют достаточно обоснованно формализовать представление предложенной ниже функции принадлежности для описания нечеткого множества, задающего меру соответствия новой интенсивности ранее установленной.

1+(я-(Л 41)) > х-Ъ4х<х<х-4х,

Ра(Х) =

2 4Х ПО)

' 1 , Д-л/Д <дг<Л + -ДУ

^-(Я + л/Г)) л + + 3 I 2 л/Я

Если администратором сети задана необходимая степень (уровень) соответствия а>0, ае [0,1], например а=0.5, то по (10) устанавливаются границы для допустимых вариаций интенсивностей аномальных данных х с помощью уравнения щ (х) = а. В рамках этих границ можно считать, что наблюдаемая интенсивность соответствует режиму нормальной работы. Выход новой оценки параметра х за пределы может трактоваться как

полное несоответствие прежнему состоянию, что приводит к необходимости перестройки модели и анализа причин вмешательства в нормальный режим, если х> X.

Степень соответствия спектральных характеристик новых наблюдений исходному ряду вводится нечетким множеством .?> О, с

функцией принадлежности ц(в) среднеквадратического отклонение шумовой составляющей новых наблюдений 5 режиму нормальной работы с отклонением 5:

Близость к 0 соответствует случаю, когда практически весь разброс около среднего представляет собой случайный процесс £(0 в (2). В этом случае описание циклической составляющей модели g(t) лишь двумя основными гармониками суточной и недельной неправомерно. Для хорошего прогнозирования исходной моделью реальных наблюдений требуется перерасчет спектрального разложения и включение в прогнозную модель большего числа гармоник. Другой вариант, приводящий к большому значению 5 и необходимости заново определять g(í),- сильно возросший размах колебаний данных относительно среднего уровня.

Рассмотренные выше ситуации отклонения от режима нормальной работы предполагали наличие необходимой информации для идентификации параметров модели в новых условиях. Дальнейшие рассуждения и оценки предполагают, что серия из 6-ти последовательных наблюдений, приведшая к сигналу несоответствия, относится к генеральной совокупности с теми же параметрами разброса но со средним, отличающимся от значения средней загрузки на величину скачка Ь, иными словами, математическое ожидание новой совокупности равно у + Ь.

При наличии скачка загрузки на величину Ь может реализоваться две ситуации. Первая - скачок произошел, но загрузка канала не достигает опасной близости к порогу пропускной способности. В этом случае осуществляется переход в режим текущей регистрации и сбора новых данных для подстройки прогностической модели.

(И)

0, при

0,95

Вторая - из-за скачка загрузка приблизилась к пороговому уровню Лтрпг. Этот случай рассматривается ниже при оценивании опасности для функционирования канала сети.

Вводится нечеткое множество С={{г,/лс(т))}, г>0, с функцией принадлежности цс(~г) значения ъ совокупности со средним у, геУ, где У -множество значений загрузок:

Значение ¿/с(г) задает степень или меру соответствия нового состояния канала сети г=г6 исходному трафику. Выбор администратором сети приемлемой степени соответствия а>0, ае [0,1], например а=0.5, позволяет по (12) определить границы для допустимых изменений среднего уровня загрузки г с помощью уравнения ¿/с(г) =а.

Выход новой оценки г= г6 за пределы ^±35 может трактоваться как полное несоответствие прежнему состоянию, что приводит к необходимости корректировки модели

Описанные методы нечеткого оценивания соответствия новых данных регистрации нормальному режиму относятся к контролю отдельных элементов трафика. Контроль осуществляется на основе меры принадлежности нового значения параметра диапазону, свойственному прежнему режиму работы. Отсутствие соответствия для какого-либо элемента означает анализа трафика в полном объеме.

Расширение на многомерный случай позволяет перейти к нечеткому оцениванию соответствия трафику в целом.

ч

/

(12)

В третьей главе на основе опыта эксплуатации и анализа воздействий характеристик трафика на качество передачи информации, определяется степень опасности для стабильного функционирования сети, вызванная тем или иным отклонением от нормального профиля.

Зачастую экспертное лингвистическое описание опасной ситуации носит нечеткий, расплывчатый характер и требует определенных усилий для своей аналитической формализации. Были рассмотрены описанные варианты нарушений режима нормальной работы и приведены примеры ситуаций, оцениваемые администратором как опасные.

По аномальным наблюдениям ситуация может расцениваться как весьма опасная, если их частота достигает 20 % от количества регистрации загрузки в единицу времени. Для сетей Ш-М^ при регистрации каждые 5 минут опасная ситуация возникает при средней частоте аномальных данных Я.ПОрог=0-2*288(регистраций /сутки)» 60 наблюдений за сутки.

В другом случае, весьма опасным считается увеличение в 10 раз частоты аномальных данных по сравнению с режимом нормальной работы, поскольку это может объясняться атакой на сеть или несанкционированным доступом. Здесь А,порог=10*А,, где Х- интенсивность аномальных данных в нормальном режиме.

В обоих случаях удается формализовать требования администратора и установить пороговое значение ^порог, соответствующее опасной ситуации. Администратор сети определяет также граничное значение Х0 для вполне безопасной и стабильной работы канала связи.

Экспертные оценки позволяют на множестве возможных интенсивностей X, хеХ, ввести нечеткое множество К={(х,^л(х))}, х>0, с функцией принадлежности Цл(х), характеризующей степень соответствия х безопасному режиму работы канала

1 ,при х < Ля,

\,пр» ^<х<ЛЯГС1, (13)

'[ 0, при

где >.о, ^порог >

Выбор необходимого уровня безопасности а>0, ае [0,1], например а=0.5, позволяет определить а-безопасную границу изменения частоты аномальных данных.

Опасность, возникающая от хаотической, изменяющейся в широких пределах шумовой составляющей, связана с частотой появления в рабочем режиме предельных состояний по загрузкам. Администратор указывает значения граничные значения и 5порог для меры разброса б, которые соответствуют безопасному и опасному состоянию режима. Требования на граничные значения могут описываться, например, так: для стабильной работы канала разброс не должен превышать 20% от максимально допустимой загрузки Атрог, или, коэффициент вариации относительно среднего трафика не должен превышать 50 %.

Экспертные суждения позволяют определить степень безопасности работы канала посредством нечеткого множества Д, заданного на подпространстве Я параметров разброса в, %еЯ= {.ч\ч>0]}

Введем нечеткое множество Д={ (у,/^))}, х>0, с функцией принадлежности 1> //^¿0, характеризующей степень соответствия 5 безопасному режиму работы канала

1, При $ < 5,)

= 50 , (14)

К^тро; -¿О)

|[ 0, при 5,юрог<з

По (14) оценивается мера безопасности работы канала с разбросом данных з около среднего уровня загрузки

Качество функционирования канала падает с приближением загрузки к некоторому предельному значению Атрог, связанному с пропускной

способностью сети.

Если средняя загрузка далека от предельного Апорог, то опасность потери качества передачи мала. В случае же приближения загрузки к порогу потери передаваемой информации могут быть значительными и необходимо выдавать сигнал недопустимого состояния.

Мера безопасности средней загрузки г>0 вводится нечетким множеством Д определенным на У (множество значений загрузок), геУ, где А={(2,1лА(г))}, г>0, с функцией принадлежности значения г

безопасному режиму работы канала связи:

1, при г < 0.6А,

порог»

ГО 9 А — г)

-==—^ при 0 6А^<г<0.9А^, (15)

||_ 0 при 0 9 А„^<г

При недостаточном уровне безопасности функционирования канала принимаются технические решения по сети в зависимости от того, в какой мере и за счет какой ситуации возникает опасность.

В четвёртой главе представлен алгоритм и программа «Анализатор трафика», реализующая описанные выше методы контроля за состоянием сети, а также рассматриваются результаты её работы в конкретных ситуациях.

Программа «Анализатор трафика» предназначена для контроля в реальном времени за загрузкой сети, выявления нежелательных тенденций в сетевом трафике и выдачи рекомендаций по их устранению для сетевого администратора.

Программа может работать в двух режима. В основном - режиме контроля и во вспомогательном — режиме обучения. Режим обучения должен быть включен при первом запуске программы, чтобы она определила текущие параметры функционирования, и запомнила их, как эталонные. После расчета эталона программа автоматически переходит в режим контроля.

При работе в контроле, один раз в заданный промежуток времени ( по умолчанию 1 час) считываются данные текущей загрузки и сравниваются с эталонными параметрами. При возникновении отклонений системному администратору выдаются рекомендации в зависимости от природы выявленных отклонений.

ЗАКЛЮЧЕНИЕ

Основные результаты работы состоят в следующем.

1. Выявлено, что существующие методы анализа временных рядов требуют развития, так как они в основном выполняют функцию мониторинга за теми или иными параметрами, но не позволяют осуществлять контроль и управление.

2. Исследования показали, что в рассматриваемой в качестве примера задаче контроля сетевого трафика более удобно применять метод простого скользящего среднего, так как все анализируемые данные обладают одинаковым уровнем важности для построения верной модели и осуществления контроля.

3. Создана адаптация метода вейвлет-анализа для фильтрации незначащих шумов исследуемого временного ряда, обладающая рядом преимуществ по сравнению с другими методами сглаживания. Определено, что для фильтрации ряда больше всего подходит вейвлет «Сомбреро».

4. Определены границы использования метода главных компонент (метод «Гусеница») для фильтрации незначащих шумов во временном ряде.

5. Разработана классификация различных видов загрузок телекоммуникационного канала и отобраны методы, подходящие для тех или иных разновидностей трафика.

6. На примере временных рядов, описывающих трафик телекоммуникационной сети

а) проведены исследования большого количества сетевых каналов с помощью анализа Фурье, позволившие выявить основные периодические составляющие и связать их с особенностями работы сети;

б) разработан нечёткий метод контроля состояния сети, способный предупреждать сетевого администратора о возникновении различных проблем в работе канала, контроль осуществляется на основе меры принадлежности нового значения параметра диапазону, свойственному прежнему режиму работы;

в) реализована программа «Анализатор трафика», в реальном времени контролирующая состояние сети с помощью вышеперечисленных методов, проведено тестирование программы на модельных примерах, а также её функционирование в рабочем режиме с контролем реальной компьютерной сети;

г) тестирование программы, а также её функционирование в рабочем режиме показывают, что разработанный метод и написанные на его основе алгоритмы справляются с заявленными задачами и могут успешно применяться для контроля и управления временными рядами.

7. Проведено исследование большого количества разнообразных видов атак на сеть, изменяющих природу временного ряда, многие из которых не могут быть идентифицированы в первое время после их создания.

8. Создан математический метод, способный использовать в процессе работы эмпирические данные и подстраиваться для каждого конкретного случая мониторинга.

СПИСОК ПУБЛИКАЦИЙ

1. Безрукавный, Д.С. Статистический анализ сетевого трафика с помощью вейвлет - функций [Текст] / В.Г. Домрачев, И.В. Ретинская, Э.В. Калинина, Д.С. Безрукавный, Ю.В. Гугель // Телематика'2004 : Труды XI Всероссийской научно - методической конференции / Санкт-Петербург,

2004. - с. 73

2. Безрукавный, Д.С. Программные средства для анализа трафика с использованием Фурье и вейвлет преобразований [Текст] / Д.С. Безрукавный // XIII международная студенческая школа-семинар «Новые информационные технологии»: Тезисы докладов / МГИЕМ ,

2005. - с. 55

3. Besrukavniy, D.S. Fuzzy methods in tasks of the network traffic (at administration of a network). [Текст] / E. Kalinina, D. Besrukavniy, V. Domrachev. // Conference Proceedings: 12-th Zittau East-West Fuzzy Colloquium / Zittau, 2005.- с. 35-44.

4. Безрукавный, Д.С. Моделирование загрузки сети с использованием функций принадлежности[Текст] / Д.С. Безрукавный, В.Г. Домрачев, Э.В. Калинина, И.В. Ретинская // IT-инновации в образовании-Материалы научной конференции / Петрозаводск, 2005. - с.34

5. Безрукавный, Д.С. Моделирование скачкообразного изменения среднего значения загрузки сети с использованием функций принадлежности [Текст] / Д.С. Безрукавный, В.Г. Домрачев, Э.В. Калинина, И.В. Ретинская // RELARN : Материалы научной конференции / Москва, 2005. -с.12

6. Безрукавный, Д.С.. Программные средства для анализа трафика с использованием функций Фурье и вейвлет - преобразований [Текст] / Д.С. Безрукавный, И.В. Ретинская, М.В. Подрезов // Телематика'2005: Труды XII Всероссийской научно - методической конференции / Санкт-Петербург, 2005. -С.24

7. Безрукавный, Д.С. Нечёткие методы в задачах мониторинга сетевого трафика (при администрировании сети) [Текст] / Д.С. Безрукавный // Сборник материалов Всероссийского конкурса инновационных проектов аспирантов и студентов по приоритетному направлению развития науки и техники «информационно-телекоммуникационные системы» / Москва,

.. 2005. - с. 131

8. Безрукавный, Д.С. Нечеткие методы в задачах мониторинга сетевого трафика [Текст] / В.Г. Домрачев, Д.С. Безрукавный, Э.В. Калинина, И.В. Ретинская, А.К.Скуратов // Ж. Информационные технологии. №3 2006. -с. 2-10.

' 9., Безрукавный, Д.С. Методы очистки модели сетевого трафика от высокочастотной компоненты [Текст] В.Г. Домрачев, Д.С. Безрукавный, Э.В. Калинина, И.В. Ретинская // Материалы Научно-практической конференции ИНФО: изд. МИЭМ -2006. - с. 164-166.

Принято к исполнению 12/03/2007 Исполнено 13/03/2007

Заказ № 171 Тираж: 100 экз.

Типография «11-й ФОРМАТ» ИНН 7726330900 115230, Москва, Варшавское ш, 36 (495) 975-78-56 www autoreferat.ru

Введение.

Глава 1. Аналитический обзор видов временных рядов и методов их исследования.

1.1 Анализ видов трафика сети, представленных в форме временного ряда.

1.2 Применение модифицированного алгоритма главных компонент «Гусеница» к фильтрации шумов временного ряда.

1.3 Особенности метода разложения в ряд Фурье для анализа временных рядов.

1.4 Метод скользящего среднего.

1.5 Обзор программных средств анализа временных рядов.

1.6 Существующие подходы к контролю сетевого трафика.

1.7 Выводы.

Глава 2. Метод полного анализа и управления временным рядом на примере сетевого трафика.

2.1 Математическая модель сетевого трафика.

2.2 Выделение гармонической составляющей.

2.3 Фильтрация шумов с помощью вейвлет-анализа.

2.4 Удаление незначащих гармоник с помощью критерия Фишера.ЗЗ

2.5 Нечёткий метод контроля за отклонениями от нормального состояния системы.

2.6. Применение нечетких методов для контроля режима и оценивания опасности.

2.7 Выводы.

Глава 3. Нечеткое оценивание опасности режима.

3.1 Общие характеристики сетевых атак.

3.2 Различные виды атак на компьютерную сеть.

3.2 Определение уровня опасности отклонения от нормального режима временного ряда в разработанном методе.

3.4 Выводы.

Глава 4. Практическая реализация разработанного метода на примере программного средства «Анализатор трафика».

4.1 Общие сведения о программе.

4.2 Тестирование программы.

4.3 Руководство к использованию программы.

4.4 Порядок работы программы.

4.5 Результаты работы программы.

4.6 Выводы.

С развитием вычислительной техники всё чаще появляется необходимость обрабатывать большие объёмы информации, представляющие последовательность наблюдений за числовой характеристикой неких объектов - временной ряд. Существует множество практических задач, связанных с обработкой информации в виде временных рядов: контроль передачи информации через телекоммуникационные каналы, наблюдение за различными технологическими процессами и пр. Анализ таких временных рядов представляет собой нетривиальную задачу, связанную как с особенностью поведения объектов, представленных этим рядом, так и с особенностью регистрации информации.

Методы анализа временных рядов развиваются в двух направлениях: построение моделей временных рядов и эвристические методы. Практика показывает, что часто в реальной ситуации невозможно подобрать адекватный метод анализа временных рядов, позволяющий анализировать и прогнозировать временной ряд. В частности, интерпретация результатов анализа трафика телекоммуникационной сети, представляющего при определённых способах регистрирования временной ряд, является весьма сложной задачей, требующей развития и адаптации методов анализа временных рядов. Продолжением этой задачи является задача управления работой объекта на основе метода анализа временных рядов.

Выявление в работе систем передачи данных аномалий, связанных со сбоями аппаратуры или с деятельностью хакеров, также представляет серьезную практическую задачу, которой в большинстве случаев отдаётся первостепенное значение. Существующие системы анализа потоков данных способны выявлять только уже известные аномалии (сценарии атак на сети), в то время как новые не обнаруживаются. Это связано с ограниченностью используемых характеристик потоков данных и методов их анализа.

Кроме того, многие коммерческие пакеты, решающие близкие задачи, помимо дороговизны, также страдают таким недостатком, как непрозрачность используемых методов обработки данных.

Таким образом, является весьма актуальным развитие методов, связанных с анализом и моделированием данных, представленных в виде временных рядов на примере трафика телекоммуникационной сети.

Работа выполнена при поддержке гранта РФФИ № 05-07-90360.

Целью работы является исследование и совершенствование методов анализа и управления данными в виде временных рядов, а также, в качестве примера, разработка на их основе метода контроля трафика телекоммуникационной сети, независящего от технологии передачи информации, позволяющего выявлять и предотвращать возникновение различных неисправностей.

Для достижения указанной цели в работе поставлены и решены следующие основные задачи:

• изучены и классифицированы различные виды трафика с целью определения области применения разрабатываемых методов;

• разработаны этапы анализа сетевого трафика для выделения основных слагающих компонент загрузки из исходного временного ряда;

• изучены и классифицированы нештатные ситуации в телекоммуникационной системе в терминах статистических характеристик временного ряда;

• разработан подход к оценке и управлению качеством работы телекоммуникационной системы на основе анализа нештатных ситуаций;

• разработана реализация предложенных подходов в виде алгоритмов и программ.

Для решения поставленных задач использовались методы Фурье и вейвлет анализа, методы теории нечётких множеств, вычислительной математики и математического программирования. Для программной реализации использован язык программирования «Borland Delphi 6.0».

На защиту выносятся следующие положения.

1. Результаты исследования алгоритма фильтрации шумов во временном ряде на основе метода главных компонент (алгоритм «Гусеница»), позволившие выявить возможности и ограничения его области применения.

2. Алгоритм фильтрации незначащих шумов во временном ряде с помощью вейвлет-анализа, обладающий рядом преимуществ по сравнению с известными методами сглаживания: предназначение специально для анализа с выраженной периодичностью, возможность наглядной визуализации, низкая вычислительная сложность.

3. Метод оценивания и управления качеством передачи информации в виде временных рядов с использованием нечётких множеств, построенных на основе статистических характеристик временного ряда и экспертных оценок, позволяющий выявлять отклонения от нормального режима временного ряда.

Научная новизна диссертационной работы определяется следующими результатами:

• разработан метод выделения основных слагающих компонент загрузки из исходного временного ряда, позволяющий учитывать особенности исходной информации;

• разработана классификация нештатных ситуаций в системе по степени опасности, позволяющая связывать характеристики временного ряда со степенью опасности;

• разработан метод выделения нештатных ситуаций работы системы на основе построения нечётких множеств, параметры которых определяются как на базе предварительного статистического исследования информации, так и на основе экспертных оценок;

• разработаны алгоритмы и программы, позволяющие в режиме реального времени оценивать и управлять качеством передачи информации в телекоммуникационной системе;

• классифицированы различные виды временных рядов на примере телекоммуникационной системы.

Разработанные методы обработки данных позволили создать на их основе программное средство «Анализатор трафика», способное контролировать состояние одной из разновидностей телекоммуникационных систем - компьютерной сети. Его основное отличие от ныне существующих антивирусов и файрволлов заключается в изменении самого подхода к исследованию трафика. Подход, разработанный в диссертационной работе, позволяет абстрагироваться от конкретной информации, передаваемой через сеть. Достаточно обучить программу нормальным параметрам функционирования данной сети. Далее она способна, с помощью нечётких методов, определять отклонения от этих параметров, анализировать их природу и степень опасности и предупреждать об этом пользователя. Такой новый подход приводит к тому, что программа не зависит от антивирусных баз данных и регулярных обновлений и способна выявлять даже совершенно новые, неизвестные разработчикам виды атак на сеть.

Достоверность полученных результатов подтверждена опытом эксплуатации программы в научно-образовательной сети ШЖ№1 и полученными положительными результатами работы, а также строгостью использованного математического аппарата.

Результаты диссертационной работы используются в следующих организациях.

• Научно-образовательная сеть 111Ж№1 - контроль за состоянием компьютерной сети с помощью написанной по результатам диссертации программы.

• Российский Государственный Университет им И.М. Губкина -научные результаты используются при чтении курса

• Московский Государственный Университет Леса - научные результаты используются при чтении курса «Автоматизированные информационные технологии»

Результаты диссертации прошли апробацию на научных конференциях: Международные научно-практические конференции «Телематика», г. Санкт-Петербург, 2004, 2005, 2006 г.г.; ежегодные научно-технические конференции профессорско-преподавательского состава МГУЛ; XIII международная студенческая школа-семинар «Новые информационные технологии», Судак, 2005 г.; Международная конференция по нечётким множествам, Циттау, 2005 г.

Результаты диссертации изложены в 9 печатных работах(одна работыа опубликована в издании, рекомендуемом ВАК для докторских диссертаций), в том числе в 3 статьях и 6 тезисах докладов на международных и Всероссийских конференциях.

Необходимость выполнения целей работы определила следующую структуру диссертации.

В первой главе изучены известные методы анализа временных рядов и возможность их использования для решения различных практических задач, например, анализа трафика сети.

Во второй главе описывается разработанный автором метод полного анализа и контроля состояния временного ряда. Метод состоит из нескольких этапов, последовательное выполнение которых позволяет получить некий эталонный набор характеристик ряда. Далее проводится сравнение текущих характеристик с эталонными и, при возникновении отклонений, анализируется их причина и степень опасности.

В третьей главе на основе опыта эксплуатации и анализа воздействий характеристик трафика на качество передачи информации, определяется степень опасности для стабильного функционирования сети, вызванная тем или иным отклонением от нормального профиля.

В четвёртой главе представлен алгоритм и программа «Анализатор трафика», реализующая описанные выше методы контроля за состоянием сети, а также рассматриваются результаты её работы в конкретных ситуациях.

В заключении перечислены основные научные результаты работы.

Основные результаты работы состоят в следующем.

1. Выявлено, что существующие методы анализа временных рядов требуют развития, так как они в основном выполняют функцию мониторинга за теми или иными параметрами, но не позволяют осуществлять контроль и управление.

2. Исследования показали, что в рассматриваемой в качестве примера задаче контроля сетевого трафика более удобно применять метод простого скользящего среднего, так как все анализируемые данные обладают одинаковым уровнем важности для построения верной модели и осуществления контроля.

3. Создана адаптация метода вейвлет-анализа для фильтрации незначащих шумов исследуемого временного ряда, обладающая рядом преимуществ по сравнению с другими методами сглаживания. Определено, что для фильтрации ряда больше всего подходит вейвлет «Сомбреро».

4. Определены границы использования метода главных компонент (метод «Гусеница») для фильтрации незначащих шумов во временном ряде.

5. Разработана классификация различных видов загрузок телекоммуникационного канала и отобраны методы, подходящие для тех или иных разновидностей трафика.

6. На примере временных рядов, описывающих трафик телекоммуникационной сети а) проведены исследования большого количества сетевых каналов с помощью анализа Фурье, позволившие выявить основные периодические составляющие и связать их с особенностями работы сети; б) разработан нечёткий метод контроля состояния сети, способный предупреждать сетевого администратора о возникновении различных проблем в работе канала, контроль осуществляется на основе меры принадлежности нового значения параметра диапазону, свойственному прежнему режиму работы; в) реализована программа «Анализатор трафика», в реальном времени контролирующая состояние сети с помощью вышеперечисленных методов, проведено тестирование программы на модельных примерах, а также её функционирование в рабочем режиме с контролем реальной компьютерной сети; г) тестирование программы, а также её функционирование в рабочем режиме показывают, что разработанный метод и написанные на его основе алгоритмы справляются с заявленными задачами и могут успешно применяться для контроля и управления временными рядами.

7. Проведено исследование большого количества разнообразных видов атак на сеть, изменяющих природу временного ряда, многие из которых не могут быть идентифицированы в первое время после их создания.

8. Создан математический метод, способный использовать в процессе работы эмпирические данные и подстраиваться для каждого конкретного случая мониторинга.

9. Программное средство «Анализатор трафика», написанное на основе разработанного метода, в настоящий момент используется для контроля за состоянием компьютерной сети в научно-образовательной сети ШЖМе1 и в Федеральном Государственном Учреждении «Государственный научно-исследовательский институт информационных технологий и телекоммуникаций ИНФОРМИКА"

ЗАКЛЮЧЕНИЕ

1. Айвазян С.А., Енюков И.С., Мешалкин Л.Д. Прикладная статистика: Исследование зависимостей. М.: Финансы и статистика, 1985,488 с.

2. Алексахин C.B., Балдин A.B. Прикладной статистический анализ. М.: Приор; 2001

3. Андерсон Т. Введение в многомерный статистический анализ. М.: Физматгиз, 1963 г., 500 с.

4. Андерсон Т. Статистический анализ временных рядов. М.: Мир, 1976, 755 с.

5. Афанасьев В.Н., Юзбашев М.М. Анализ временных рядов и прогнозирование. М.: Финансы и статистика; 2001, 228 с.

6. Бендат Дж., Пирсол А. Измерение и анализ случайных процессов. Пер. с англ. Г.В. Матушевског и В.Е. Привальского. М.: «Мир», 1974, 464 с.

7. Бокс Дж., Дженкинс Г. Анализ временных рядов, прогноз и управление. М.: Мир, 1974 г,

8. Болышев JI.H., Смирнов Н.В. Таблицы математической статистики. М.: «Наука», Главная ред-ия физ.-мат. Литературы, 1983,416 с

9. Вопросы динамико-статистических прогнозов и спектрального анализа временных рядов; Тр. Вып.56; Под ред. Алехина Ю.М. Л.; Изд-во Ленингр. гидрометеорол. ин-та; 1975

10. Глубев В.В., Никитин В.М., Никитина Д.А. Статистика. Определение общей тенденции развития рядов динамики. М.: РГОТУПС, 2002,105

11. Гусейнзаде М.А., Калинина Э.В., Добкина М.Б. Методы математической статистики в нефтяной и газовой промышленности. М. Недра, 1979, 340 с.

12. Дженкинс Г., Ватте Д. Спектральный анализ и его приложения. М.: Мир, 1972, вып 2.

13. Дрейпер Н., Симт Г. Прикладной регрессионный анализ. М.: Финансы и статистика, 1986, 366 с.14. http://www.dIink.ru/technology/attacks.php

14. Ефремова М.Р., Петрова Е.В., Румянцев В.Н. Общая теория статистики. М.: ИНФА -М, 2000, 416 с.

15. Калинина Э.В. , Лапина А.Г. и др. Оптимизация качества. Сложные продукты и процессы. Москва. Химия. 1989, 256 с.

16. Кендалл М. Дж., Стьюарт А. Многомерный статистический анализ и временные ряды. М.: Наука, 1976, 736 с.

17. Кильдишев Г.С., Френкель A.A. Анализ временных рядов и прогнозирование. М.: Статистика, 1973

18. Князевский B.C., Житников И.В. Анализ временных рядов и прогнозирование. М-во общ. и проф. образования РФ. Рост. гос. экон. акад. Ростов н/Д : Рост. гос. экон. акад., 1998,161 с.

19. Аверьянова С.Ф. Информационные технологии в открытом образовании. Теоретические основы информатики и ее приложений: Сб. ТЗЗ научных трудов/ Под ред. проф. А.А Сытникова. Саратов: Изд-во Сарат. Ун-та 2003, вып 5,с. 3-5

20. Городецкий А.Я., Заборовский B.C. Фрактальные процессы в компьютерных сетях. Изд-во СПбГТУ, 2000, 101 с.

21. Гугель Ю.В. Internet современная среда вещания. Труды Международной научно - методической конференции Телематика' 2001, 18-21 июня 2001 года, Санкт-Петербург, изд-во СПбГТУ, с. 44

22. Калугина Т.А. Социальные аспекты формирования информационного общества. Теоретические основы информатики и ее приложений: Сб. ТЗЗ научных трудов/ Под ред. проф. А.А Сытникова. Саратов: Изд-во Сарат. Ун-та 2003, вып 5,с. 75-80

23. Айвазян С.А., Бухштабер В.М. Прикладная статистика; Классификация и снижение размерности. Справ. Издание. М.; Финансы и статистика; 1989,

24. Айвазян С.А., Енюков И.С., Мешалкин Л.Д. Прикладная статистика. Основы моделирования и первичная обработка данных; Справ. Издание. М.; Финансы и статистика; 1983,471 с

25. Кокс Д., Льюис П. Статистический анализ последовательности событий. М.: Мир, 1969,312 с.

26. Лукашин Ю.П. Адаптивные методы краткосрочного прогнозирования. М.: «Статистика», 1979,254 с.

27. Основы теории статистических выводов: Пер. с англ. Питмен Э., 1986, 104 с.

28. Преобразование Фурье в комплексной области: Пер. с англ. Винер Н. Пэли Р., 1964, 268 с.

29. Прохоров Ю.В. Вероятность и математическая статистика. Энциклопедия, 1999.

30. Справочник по прикладной статистике. Том 2. Под редакцией Э.Ллойда, У. Ледермана М.: Финансы и статистика, 1990. 525 с.

31. Тюрин Ю.Н., Макаров A.A. Анализ данных на компьютере. Под редакцией В.Э. Фигуров М: ИНФРА, М, Финансы и статистика, 1995.

32. Шурин A.M. Регрессия: выбор вида зависимости, эффективность и устойчивость решений. Автоматика и телемеханика. №6 , 1996, с. 90102.

33. Блэк У., Internet: протоколы безопасности. Питер, 2001,288 с.

34. Бройдо В.JI. Вычислительные системы, сети и телекоммуникации. Спб.: Питер, 2002, 688 с.

35. Васильев П.М., Иванов В.В., Кореньков В.В. и др. Система сбора, анализа и управления сетевым трафиком фрагмента сети ОИЯИ на примере подсети университета "Дубна" -Дубна, 2001.11 с.

36. Мартин М. Введение в сетевые технологии. Изд-во Лори, 2002, 659 с.

37. Мельников Д.А. Информационные процессы в компьютерных сетях М.: Кудиц-Образ, 1999, 256 с.

38. Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. Юнити, 2001, 587 с.

39. Назаров ATM: Технические решения создания сетей, Горячая линия-Телеком, 2000, 376 с.

40. Норкатт С. Обнаружение вторжений в сеть. Лори, 2000,416 с.

41. Олифер В.Г., Олифер Н.А Новые технологии и оборудование IP-сетей, BHV-СПб, 2000, 512 с.

42. Олифер В.Г., Олифер Н.А Основы сетей передачи данных. ИНТУИТ.ру , 2003, 248 с.

43. Олифер В.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Питер, 2000. 672 с.

44. Остерлох X. TCP/ IP Семейство протоколов в сетях компьютеров, Diasoft, 2002, 576 с.

45. Остерлох X. Маршрутизация в IP-сетях. Принципы, протоколы, настройка, Diasoft, 2002, 512 с.

46. Вегешна Ш. Качество обслуживания в сетях 1Р, Изд-во Вильяме, 2003, 368 с.

47. Вильям Столингс, Структурная организация и архитектура компьютерных систем. Изд.5, Вильяме 2002, 896 с.

48. Жуков И.О. Актуальность процесса диагностики корпоративных сетей. Новые информационные технологии: Тезисы докладов XI Международной студенческой школы-семинара в 2-х томах, май 2003 г., Изд-во: М. МГИЭМ, 2003 том 2 с. 470

49. Козлов В.А. Открытые информационные системы, Финансы и статистика, 1999, 224 с.

50. Комашинский В.И., Нейронные сети и их применение в системах управления и связи, Горяч.Линия-Телеком, 2002, 94 с.

51. Компьютерные сети. Модернизация и поиск неисправностей. Пер. с англ., Закер К., БХВ-Петербург, 2001,1008 с.

52. Коноплев В.В. Назиров Р.Р., Модель представления данных сетевого трафика, М., 2002. 22 с

53. Коноплев В.В. Организация центра учета, классификации и мониторинга сетевого трафика: Автореферат диссертации на соискание ученой степени канд. техн. наук :05.13.11. М., 2002,18 с.

54. Кульгин М. Технология корпоративных сетей: Энциклопедия. СПб.: Изд-во «Питер», 2000, 512 с.

55. Лукацкий А. Обнаружение атак. СПб.: «БХВ-Петербург», 2001, 624 с.

56. Майнагашев С.М., Попков В.К. Задача о максимальном потоке в нестационарных сетях связи. В сб. Моделирование в информатике и вычислительной технике. Сб. трудов ВЦ СО РАН, 1988, с. 64-69.

57. Максимов К.Н. Методы анализа сетевой активности пользователей информационных систем. Информационные технологии, №1, 2002. Изд-во «Машиностроение», «Информационные технологии, 2002. с. 16-22

58. Пятибратов А.П., Гудыно Л.П., Вычислительные системы, сети и телекоммуникации, М.: Финансы и статистика, 2001, 512 с.

59. Спортак М., Паппас Ф. и др. Компьютерные сети и сетевые технологии, ДиаСофт, 2002, 736 с.

60. Столлингс В., Компьютерные системы передачи данных. Изд. 6, Вильяме 2002, 928 с.

61. Сэмми Лейз Качество обслуживания. //Computerworld, №32, 2000

62. Тимонина Е.Е. Контроль каналов как основа защиты информационных технологии. Труды международной конференции «Информационные технологии в науке, образовании, телекоммуникации, бизнесе», Украина, Крым, 20-30 мая 2002 г., с. 149-151.

63. Толковый словарь сетевых терминов и аббревиатур. Официальное издание Cisco Systems, Вильяме, 2000,368 с.

64. Уилсон Эд. Мониторинг и анализ сетей. Методы выявления неисправностей, Лори, 2002, 350 с.

65. Фейт С., TCP/IP Архитектура, протоколы, реализация, Лори, 2000, 424 с.

66. Хелд Г. Технологии передачи данных. Изд. 7, Питер, 2003, 720 е.,

67. Хогдал Анализ и диагностика компьютерных сетей. Просто и доступно, Изд-во ЛОРИ, 2000,353 с.

68. Айвазян С.А., Степанов B.C. Инструменты статистического анализа данных. //Мир ПК №8,1997 , Изд-во Открытые системы, 1997, с. 1-15

69. Айвазян С.А. Программное обеспечение персональных ЭВМ по статистическому анализу данных //Компьютер и экономика: экономические проблемы компьютеризации общества. М.: Наука, 1991, с. 91-107.

70. Айвазян С.А. Интеллектуализированные инструментальные системы в статистике и их роль в построении проблемно-ориентированных систем поддержки принятия решений // Обозрение проблем прикладной математики. Том 4, №2 М.: Наука, 1997

71. Кузнецов С.Е., Халиев В.А. Обзор специализированных статистических пакетов по анализу временных рядов: Науч. Отчет. М.: СтатДиалог, 1993

72. Статистические и математические системы // Тысячи программных продуктов: Каталог: Вып. 2. М., 1995, с. 88-92.

73. Хованова Н. А., Хованов И. А. Методы анализа временных рядов. Саратов : Изд-во Гос. учеб.-науч. центра «Колледж», 2000, 119 с.

74. Сажин Ю. В., Катынь А. В., Басова В. А., Сарайкин Ю. В. Статистические методы прогнозирования на основе временных рядов. Саранск : Изд-во Морд, ун-та, 2000,113 с.

75. Безрукова Е. Г., Руденчик Е. А. Прогнозирование статистических временных рядов. М-во общ. и проф. образования РФ. Яросл. гос. техн. ун-т Ярославль, 1997, 94 с.

76. Макарова Н.В. Статистика в Excel. М.: Финансы и статистика, 2002, 398 с.

77. Чекотовский Э.В. Графический анализ статистических данных в Microsoft Excel 2000, Изд-во: Вильяме 2002, 464 с.

78. Дуброва Т.А. Статистические методы прогнозирования. ЮНИТИ, 2003, 206 с.

79. Журбенко И.Г. Спектральный анализ временных рядов. 1982,168 с.87. http://www.gistatgroup.com/gus/

80. А.К. Скуратов, А.И. Бугай. Исследование информационных потоков в сети тМЫе^ Труды Международной научно методической конференции Телематика' 2001, 18- 21 июня 2001 г., Санкт-Петербург, изд-во СПбГТУ, с. 29-30;

81. Бугай А.И., Калинина Э.В., Ретинская И.В., Мониторинг телекоммуникационных сетей на основе статистического подхода. Материалы 8-ой межвузовской научно-методической конференций

82. Информационные технологии и фундаментализация высшего образования» (21 февраля 2002 г.), М.: РГУ нефти и газа им. И.М. Губкина, 2002, с. 86-88;

83. Скуратов А.К., Бугай А.И. Моделирование загрузки сетевых каналов передачи информации. Информационно-коммуникационные технологии в управлении вузом: Материалы Всерос. Науч.-практ. Конф. (25-28 февраля 2003 года)/ ПетрГУ. -Петрозаводск, 2003, с. 129 -130

84. Besrukavniy, D.S. Fuzzy methods in tasks of the network traffic (at administration of a network). Текст. / E. Kalinina, D. Besrukavniy, V. Domrachev. // Conference Proceedings: 12-th Zittau East-West Fuzzy Colloquium / Zittau, 2005.- с. 35-44.

85. Безрукавный, Д.С. Моделирование загрузки сети с использованиемфункций принадлежностиТекст. / Д.С. Безрукавный, В.Г. Домрачев,

86. Э.В. Калинина, И.В. Ретинская // IT-инновации в образовании: Материалы научной конференции / Петрозаводск, 2005. с.34

87. Безрукавный, Д.С. Нечеткие методы в задачах мониторинга сетевого трафика Текст. / В.Г. Домрачев, Д.С. Безрукавный, Э.В. Калинина, И.В. Ретинская, А.К.Скуратов // Ж. Информационные технологии. №3 2006. с. 2-10.

88. Безрукавный, Д.С. Методы очистки модели сетевого трафика от высокочастотной компоненты Текст. В.Г. Домрачев, Д.С. Безрукавный, Э.В. Калинина, И.В. Ретинская // Материалы Научно-практической конференции ИНФО: изд. МИЭМ -2006. с. 164-166.

89. Kendall, М. G. (1984). Time Series. New York: Oxford University Press.

90. Kendall, M., & Ord, J. K. (1990). Time series (3rd ed.). London: Griffin.

91. Makridakis, S. G., Wheelwright, S. C., & McGee, V. E. (1983). Forecasting: Methods and applications (2nd ed.). New York: Wiley.

92. Montgomeiy, D. C., Johnson, L. A., & Gardiner, J. S. (1990). Forecasting and time series analysis (2nd ed.). New York: McGraw-Hill.

93. Pankratz, A. (1983). Forecasting with univariate Box-Jenkins models: Concepts and cases. New York: Wiley.

94. Shumway, R. H. (1988). Applied statistical time series analysis. Englewood Cliffs, NJ: Prentice Hall.

95. Vandaele, W. (1983). Applied time series and Box-Jenkins models. New York: Academic Press.

96. Velleman, P. F., & Hoaglin, D. C. (1981). Applications, basics, and computing of exploratory data analysis. Belmont, CA: Duxbuiy Press.

97. Walker, J. S. (1991). Fast Fourier transforms. Boca Raton, FL: CRC Press.

98. Wei, W. W. (1989). Time series analysis: Univariate and multivariate methods. New York: Addison-Wesley.

99. Alexander S., Arbaugh W.A., Keromytis A.D., Smith J. M. Safety and security of programmable network infrastructures IEEE Communications Magazine. Volume 36, Issue 10. - Oct. 1998, p. 84-92

100. Bykova M., Ostermann S., Tjaden B. Detecting network intrusions via a statistical analysis of network packet characteristics. //Southeastern Symposium on System Theory, 2001. Proceedings of the 33rd, 2001, p. 309-314