автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа

003484354

На правах рукописи

Будько Марина Борисовна

Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа

Специальность 05.13.19 -Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

26 НОЯ 2009

Санкт-Петербург 2009

003484354

Работа выполнена на кафедре Мониторинга и прогнозирования информационных угроз Санкт-Петербургский государственный университет информационных технологий, механики и оптики

Научный руководитель: кандидат технических наук, доцент

Жигулин Георгий Петрович

Официальные оппоненты: доктор технических наук, профессор

Сарычев Валентин Александрович

кандидат технических наук Бузинов Александр Сергеевич

Ведущая организация: ОАО «Научно-производственное

предприятие «Радар ммс»

Защита состоится 15 декабря 2009 года в 12 часов 00 минут на заседании диссертационного совета Д.212.227.05 в ГОУВПО «Санкт-Петербургский государственный университет информационных технологий, механики и оптики» по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д.49.

С диссертацией можно ознакомиться в библиотеке ГОУВПО «СПбГУ ИТМО»

Автореферат разослан 13 ноября 2009 г.

Ученый секретарь

диссертационного совета Д.212.227.05, кандидат технических наук, доцент

Поляков Владимир Иванович

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Активное использование в настоящее время распределенных систем связи приводит к необходимости уделять внимание вопросам безопасности.

Особое место в реализации политики безопасности организации занимают системы обнаружения вторжений (происшествий с безопасностью) (СОВ), которые могут как выполнять функцию обратной связи, контролируя эффективность компонент системы безопасности, т.е. являться дополнением к существующему комплексу средств защиты, так и представлять собой самостоятельный продукт.

Внедрение многих СОВ, как и комплексных систем безопасности, сдерживается рядом факторов, таких как единовременные капиталовложения, необходимость компетентной установки, настройки, поддержки и т.д. В таких компаниях, как правило, функция слежения за работой сети возлагается на администратора. В таком случае результат зависит от человеческого фактора, включающего опыт, интуицию, ответственность, работоспособность и т.п. Следует отметить, что практически в каждой компании, имеющей в распоряжении распределенную сеть, установлены средства сбора статистических данных о загрузке интерфейсов сетевого оборудования. Таким образом, закономерным шагом к автоматизации процесса выявления нештатных ситуаций, является внедрение доступного и, можно сказать, универсального средства, анализирующего интенсивности потоков данных в поиске необычных и подозрительных событий или тенденций, которое можно отнести к подклассу СОВ.

При этом может использоваться как сигнатурный метод, так и метод описательной статистики.

Математически обоснованными видами анализа временных рядов являются исследования сигнала на основе временных, спектральных и интенсивно развивающихся последнее с небольшим десятилетие спектрально-временных алгоритмов.

Анализ во временной области основывается на методах математической статистики и его возможности весьма обширны. Но следует отметить, что исследуемому телекоммуникационному сигналу свойственно «выраженное колебательное поведение» ввиду его особенностей его формирования. Хотя в методах временного анализа существуют подходы для описания такого рода сигналов, наиболее подходящими для исследования колебательного процесса являются методы спектрального и спектрально-временного анализа. Частотные представления являются более информативными и позволяют расширить возможности существующих систем обнаружения аномалий, но требуют больших размерностей для представления результатов и имеют большую вычислительную сложность алгоритмов, что сдерживает их применение и развитие в прикладных задачах. Следовательно, является актуальной разработка метода обнаружения аномалий в интенсивностях потоков данных на основе алгоритмов анализа частотных составляющих, оптимизированных по вычислительной нагрузке.

Целью работы является разработка повышающего безопасность функционирования сети метода обнаружения аномалий в данных о загрузке интерфейсов телекоммуникационного оборудования на основе анализа частотных характеристик; оптимизация по вычислительной нагрузке формирующих метод сдвиговых спектральных и спектрально-временных алгоритмов с получением математических моделей оптимизации и исследование особенностей и ограничений использования частотного представления в рассматриваемом приложении.

Задачи исследований включают:

1. Исследование спектральных и спектрально-временных алгоритмов анализа и представления временных рядов, в том числе определение особенностей и ограничений их использования в области применения.

2. Исследование алгоритмов спектрального разложения, в том числе с учетом сдвигов анализируемой последовательности, с предложением математической модели оптимизации вычислений;

3. Исследование формирования областей влияния и достоверности картины вейвлет-коэффициентов при реализации алгоритмов спектрально-временного анализа;

4. Предложение математической модели оптимизации алгоритмов спектрально-временного разложения, в том числе с учетом сдвигов анализируемой последовательности и области достоверности коэффициентов разложения.

5. Предложение способа уменьшения области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

6. Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

7. Разработка метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

8. Разработка программных модулей.

Методы исследования базируются на теории вероятностей и математической статистики, теории распознавания образов, теории вычислительных систем и сетей.

Научная новизна выносимых на защиту положений заключается в следующем:

1. Определены частотные образы для представления особенностей в данных об интенсивностях телекоммуникационных потоков и разработан алгоритм их обнаружения в вейвлет-спектре сигнала.

2. Предложены математические модели оптимизации вычисления спектральных представлений (Фурье и Хартли), в том числе для сдвиговой последовательности;

3. Выполнено исследование областей достоверности и недостоверности на картине коэффициентов вейвлет-разложения в зависимости от длины анализируемой последовательности и выбранного вейвлета.

4. Предложены математические модели оптимизации вычисления спектрального представления, в том числе для сдвиговой последовательности, с учетом области достоверности коэффициентов разложения;

5. Предложен способ расчета доверительного пространства вейвлет-коэффициентов вне плоскости правдоподобия для возможности их обоснованного включения в дальнейший анализ с определенной степенью уверенности.

Практическая значимость работы заключается в разработке описательной модели системы обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик, в создании программных модулей для реализации ее этапов. Предложенные модели оптимизации спектральных и спектрально-временных алгоритмов имеют самостоятельную практическую значимость и могут найти применение в приложениях, предусматривающих работу со спектрами.

Реализация и внедрение результатов работы. Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения»; применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере по «Разработке способа и системы адаптивного управления передачей потоковых данных». Результаты работы использованы на кафедре Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО в рамках инженерной подготовки по специализациям «Математическое моделирование и прогнозирование чрезвычайных ситуаций» (230401.65.02) и «Математическое моделирование и прогнозирование информационных угроз» (090103.65), а также в рамках дисциплины специализации «Математическое моделирование и про-

гнозирование информационных угроз» (ДС.В.01) образовательной программы СПбГУ ИТМО. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».

Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 7-и всероссийских и международных конференциях и семинарах. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

Публикации. По теме диссертационной работы опубликовано 13 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из которых входят в перечень ведущих периодических изданий; 7 статей в трудах научных конференций.

Структура и объем работы. Диссертация состоит из введения, четырех глав и заключения. Список использованной литературы составляет 107 наименований. Текст диссертации содержит 140 страниц машинописного текста, 48 рисунков и 7 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы, сформулированы цели и задачи исследования, показаны новизна и практическая значимость работы, сформулированы основные положения, выносимые на защиту.

В первой главе выполнен обзор и классификация систем обнаружения вторжений (СОВ) и определено их место в задачах сетевой безопасности.

СОВ определяется как программное или аппаратное средство, собирающее информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующее эту информацию для выявления, как попыток нарушения, так и реализованных нарушений защиты (вторжений). СОВ обеспечивают дополнительный уровень защиты компьютерных

систем, но могут быть и самостоятельным инструментом. Обычно архитектура СОВ включает:

- сенсорную подсистему, предназначенную для сбора информации (событий, связанных с безопасностью защищаемой системы);

- подсистему анализа (обнаружения), предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

- подсистему представления данных (пользовательский интерфейс, консоль управления), позволяющую конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Иногда в архитектуру СОВ включают хранилище, обеспечивающее накопление первичных событий и результатов анализа.

Среди СОВ выделены системы обнаружения аномалий, основной функцией которых является обнаружение необычных и подозрительных событий или тенденций в динамике наблюдаемого процесса.

Выполнена классификация СОВ по обрабатываемой информации: сетевые, узловые, гибридные; по методам: обнаружение аномалий и поиск злоупотреблений; контролируемое и неконтролируемое обучение; моделиование правил, моделирование состояний, описательная статистика, нейронные сети, экспертные системы; синтаксический анализ; по ответной реакции: пассивные, активные; по типу распространения: исследовательские, свободно распространяемые, коммерческие, для государственных учреждений. Выполнено их описание.

Рассмотрены возможности построению систем обнаружения аномалий на основе исследования интенсивностей потоков данных в сети. Автоматический поиск элементарных возмущений может производиться на основе сигнатурного метода и метода описательной статистики.

Математически обоснованными видами анализа временных рядов являются исследования сигнала во временной, спектральной и спектрально-временной областях.

Следует отметить, что исследуемому телекоммуникационному сигналу свойственно «колебательное поведение» ввиду его формирования на основе однозначно непредсказуемых действий пользователей или программ. Для исследований такого рода зависимостей в теории цифровой обработки сигналов обычно используются более информативные при раскрытии частотной картины спектральные и спектрально-временные алгоритмы.

Показаны перспективы применения методов выделения частотных составляющих для задачи обнаружения аномалий в интенсивностях потоков данных: выполнение эталонного сравнения, вычисление частотного представления преданомального временного интервала, определение динамика изменения частот, построение частотной модели сигнала и др. Многие подходы являются аналогами традиционному исследованию сигнала во временной области, используют его принципы как для самой обработки, так и для подготовки данных к анализу, но позволяют иначе взглянуть на объект исследования.

Рассматриваются основы спектрального и спектрально-временного анализов, включенных в качестве базовых алгоритмов в метод обнаружения аномалий телекоммуникационных данных. Делается вывод о том, что особенности применения указанных методов в конкретном приложении требуют дополнительного исследования. В том числе весьма желательным является снижение вычислительной сложности алгоритмов, т.к. по сравнению с традиционным анализом во временной области они являются более трудоемкими ввиду использования представлений сигнала большей размерности, что отрицательно сказывается на привлекательности их использования.

Во второй главе описывается структура метода динамического обнаружения аномалий в интенсивностях потоков телекоммуникационных данных, включающая следующие основные этапы:

1. Сбор данных.

2. «Ручная» классификация части данных на предмет присутствия нормального (типичного) или аномального трафика.

3. Предварительный Фурье-анализ типичного трафика.

4. Выполнение вейвлет-разложения типичного трафика по выбранным функциям для оценки его спектрального-временного представления.

5. Обработка вейвлет-представления аномального трафика.

а) определение моментов резкого изменения характера поведения рядов телекоммуникационных данных по уровневым и частотным характеристикам;

б) формирование баз шаблонов вейвлет-образов:

- базы вейвлет-образов для характера развития трафика на фоне критических ситуаций.

- базы вейвлет-образов для характера развития трафика до критических моментов (до начала зарегистрированных проблем в работе сети).

- сохранение соответствий между данными баз.

в) определение частотных показателей для провоцирующих развитие аномалии событий, в том числе анализ энергетических спектров последовательностей до критических моментов (спектра мощности Ер и скалограммы Ец ) на предмет перераспределения энергии между частотами;

6. Верификация прогноза характеристик трафика с реальными значениями (на основе предварительно собранных данных вне реального режима времени).

7. При поступлении новых данных:

а) сопоставление их вейвлет-представлений с шаблонами сформированных баз данных с помощью 2-0 корреляции и формирование решения о наличии предкритической или критической ситуации.

б) выявление связей между аномалиями, произошедшими в различных точках наблюдения.

В результате выполнения этапов с первого по шестой включительно имеем:

- алгоритм распознавания нештатной ситуации;

- начальные базы вейвлет-шаблонов для нештатных ситуаций и предшествующих по времени интервалов;

- модель прогнозирования характера развития трафика и как следствие априорное определение возможных нештатных ситуаций и их классификация.

Описаны применения спектральных и спектрально-временных алгоритмов, являющихся основными инструментами в решаемой задаче динамического обнаружения аномалий во временных рядах интенсивностей телекоммуникационных данных:

- анализ вкладов частот определяет формирование моделей типичного трафика и отдельных участков с особенностями;

- картины вейвлет-коэффициентов аномалий и предшествующих им участков сигнала формируют базы данных шаблонов для характера развития трафика на фоне критических ситуаций и до критических моментов;

- построенные на основе вычисленных коэффициентов энергетические спектры и другие зависимости позволяют отслеживать распределение (или перераспределение) энергии между частотами и определять скрытую природу отдельных участков сигнала.

Раскрыты этапы накопления информации, анализа готовых наборов, формирования баз данных шаблонов, верификации, обнаружения аномалий в потоках данных, анализа взаимосвязей аномалий в различных потоках.

Третья глава посвящена исследованию спектрального и спектрально-временного преобразований.

Детально проанализированы алгоритмы дискретного преобразования Фурье (ДПФ), дискретного преобразования Хартли (ДПХ), быстрого преобразования Фурье (БПФ) и быстрого преобразования Хартли (БПХ).

Обоснована возможность замены широко используемого ДПФ на менее известное, но более эффективное ДПХ.

В результате получены математические модели оптимизации кратковременного анализа (с участием временного «окна» сканирования) для прямых ПФ и ПХ сдвиговой последовательности:

К = - *м + У" = (КХ - *М У^ , к = 0^1 , (1)

2л

+ xlltl_lcos-k,k = 0,N-l, (2)

я;„=о,*=о, (3)

,,i i 2л, . 2л,1 . 2л, - ...

Н[ = Нкsul х cos—A: + sin — к -*v+,. sin— k,k = l,N-l, (4) \ N N J N

где f/ - значение /-ого отсчета спектра Фурье, вычисленного на /-ом этапе,

#,' - значение i-oro отсчета синусной или косинусной компоненты спектра

Хартли, вычисленного на 1-ом этапе, x¡ - значение /-ого отсчета сигнала, N -

размер «окна».

Для преобразования Хартли обоснована необходимость раздельного вычисления косинусных и синусных составляющих с последующим их суммированием.

Переход от ДПХ к ДПФ следует выполнять по формуле: F„ = Ht х ^ - ) + Hs_k х (I + J± j = I х (Нк + Hs.t) + jX- x (tf - Hk), k = 0,N-\

Предложенные алгоритмы вычисления значений отсчетов спектров на основе предыдущих значений в дальнейшем будут называться оптимизированными. На рис.1 приведен график зависимости количества операций для выполнения преобразований от размера «окна» N для наглядного сравнения вычислительных сложностей существующих алгоритмов БПФ и БПХ и предложенных.

Вычислительные затраты (с учетом реальных размеров окон )

30 ООО

64 123 256 512

Рис.1. Зависимость вычислительной нагрузки спектральных алгоритмов от размера окна сканирования

Полученные практические результаты подтвердили эффективность предложенных методов преобразования и в своем общем виде совпали с теоретическими, несмотря на присутствующие отклонения, вносимые спецификой программной реализации. В соответствии с полученными значениями средних времен выполнения кратковременного спектрального анализа в пределах одного «окна» можно сделать следующий вывод: для сокращения времени выполнения кратковременного Фурье-анализа следует первое «окно» вычислять с помощью БПХ с последующим преобразованием вычисленных значений в результат ПФ, а последующие «окна» на основе предложенного метода для ПФ.

Достоинства предложенного метода:

- высокая скорость вычислений;

- линейная зависимость скорости вычислений от размера «окна»;

Недостатки предложенного метода:

- наличие быстро растущей погрешности вычислений ПХ после второй итерации алгоритма перерасчета спектра.

Для устранения недостатка предложенного метода необходимо:

- применение расширенных форматов представления данных;

- при достижении критического значения погрешности произвести пересчет спектра по стандартному алгоритму.

Далее часть главы посвящена спектрально-временным вейвлет-преобразованиям (ВП). Рассмотрены принципы различных вариаций дискре-тизированного преобразования, влияние базиса на результат вейвлет-разложения и даны рекомендации по возможному использованию вейвлетов.

Подробно рассмотрены: 1) дискретное преобразование с изменением масштабов и сдвигов по значению, равному временной локализации вейвле-та; 2) дискретный диадный кратномасштабный анализ и 3) дискретизирован-ное разложение.

Выполнен анализ возникающих краевых эффектов спектрально-временных картин ВП на примерах рассмотрения углов влияния элементов анализируемой последовательности на вейвлет-коэффициенты и углов достоверности (правдоподобия) в сетках преобразований. Внутри угла правдоподобия, как известно, краевые эффекты проявляться не могут, поскольку каждая особенность, в том числе и возникающая на краях анализируемого сигнала, оказывает лишь локальное воздействие на вейвлет-спектрограмму. Скорректирован вид углов влияния и правдоподобия для сдвиговой последовательности.

С позиции информативности по количеству уточняющих коэффициентов лучшим является случай 3), затем 2), затем 1).

С точки зрения увеличения области достоверных значений лучшим является случай 1), затем 3), затем 2).

В порядке возрастания вычислительной сложности преобразования располагаются в порядке 1), 2), 3).

Для задачи распознавания аномалии первые два критерия являются решающими, причем ни по одному из них выбранное преобразование не должно быть худшим.

Таким является дискретизированное преобразование, хотя его избыточность очевидна и подтверждается третьим критерием - вычислительной сложностью.

Можно предположить, что оптимальным было бы преобразование, «находящееся» между дискретным диадным и дискретизированным, причем именно первое должно быть взято за основу, т.к. имеет хорошо оптимизированные по организации вычислений и используемой памяти быстрые алгоритмы статического вычисления сетки коэффициентов, и расширено для наделения достоинствами дискретизированного разложения. Результат может быть аналогичен использованию фреймов, т.к. преобразование на основе фреймов имеет большое сходство с дискретизированным разложением с той разницей, что изменение масштаба происходит по степеням «двойки».

Разработана схема выполнения дискретизированного по времени и ди-адного по масштабам разложения на основе быстрого алгоритма диадного кратномасштабного анализа. Отметим, что в настоящее время существуют алгоритмы, оптимизирующие стандартную схему быстрого диадного разложения, например на основе нестандартного матричного умножения, т.е. предлагаемый в работе метод расчета вейвлет-коэффициентов может быть дополнительно оптимизирован по вычислительным затратам.

Выполнена оптимизация вычислений сеток дискретизированного разложения по принципу фреймов и положенных в его основу алгоритмов диадного кратномасштабного анализа при сдвиге последовательности.

Общая формула для расчета количества пит вычисляемых коэффициентов диадного разложения при сдвиге последовательности: пит - - I-1,

J=i S=1

где I - длина анализируемой последовательности, t = 1,log, 1-Х, t - целое, значение log2/ - 1 определяет количество уровней вейвлет-разложения.

При сдвиге последовательности на Лх > ~ количество вейвлет-

коэффициентов, значения которых необходимо вычислить равно:

пит , = log J,

2 (7)

а количество коэффициентов, участвующих в оптимизации расчетов:

koef_opt , =/-l-Iog2/

""i , (8)

где level - уровень вейвлет-разложения.

Выигрыш при подобной оптимизации расчетов на примере 16-элементного вектора для анализа продемонстрирован на рис.2. Нижние горизонтальный и убывающий графики соответствуют количеству вейв-лет-коэффициентов, которые вычисляются при сдвиге временной последовательности на Дл: в случае стандартного подхода с полным вычислением вейв-лет-образа на каждом шаге и в случае оптимизированного алгоритма, соответственно. Верхние горизонтальный и убывающий графики аналогичны предыдущим, но учитывают еще необходимость вычисления на каждом шаге отсчета аппроксимации. Пунктирные линии указывают тренд для числа вычислений при оптимизированном подходе.

itliiililiHi

01 2 3 4 5 6 7 8 9 10 11 12 13 1415 16 ^

Рис.2

При выполнении дискретизированного ВП с изменением масштабов по степеням «двойки» обоснован выбор позиций для пересчета коэффициентов с учетом отсутствия или наличия рассмотрения угла правдоподобия, а также

его вида. Количество вейвлет-коэффициентов, значения которых необходимо вычислить при сдвиге последовательности:

пит = log,/, ^

Разработан подход к формированию доверительной области на картине вейвлет-коэффициентов. Задача была решена последовательным выполнением следующих этапов:

1. выбор алгоритма предсказания значений будущих элементов временного ряда;

2. расчет доверительного интервала для предсказанных значений;

3. выполнение верификации;

4. установление связи доверительного интервала с границей угла правдоподобия.

5. расширение угла правдоподобия посредством введения доверительной области в картину вейвлет-коэффициентов.

Предложен подход для минимизации разброса значений вейвлет-коэффициентов в рассчитанной доверительной вейвлет-области на основе введения нестандартной внутренней границы доверительной временной области.

На уверенность попадания вейвлет-коэффициентов в рассчитанный диапазон (вейвлет-уверенность) оказывают влияние значения отсчетов вейвлета, т.к. их можно интерпретировать в рамках настоящего этапа как весовые коэффициенты, в соответствии с которыми принимаются в рассмотрение отсчеты временного ряда, в том числе несуществующие. Таким образом, уверенность с учетом применения процедуры децимации к элементам последовательности в соответствии с исследуемым масштабом рассчитывается следующим образом:

, •|g.|,7 = 0,logJ/-l,* = 0^1 (Ю)

2Л/-1 л-0 '•'■»"тгг

где) - уровень разложения, изменяющийся по степеням 2 (у = 0,/ -1, где / - длина анализируемого временного ряда); к - параметр, определяющий

сдвиг вейвлета (& = 0,/-1и Ак = 1);вейвлет-уверенность для позиции (/', к), с которой истинное значение вейвлет-коэффициента попадет в рассчитанный доверительный диапазон Ди'= н'"'™] (см. далее); (2М-\) - длина области определения вейвлета (М определяет число нулевых моментов), g -значения вейвлет-функции у, совпадающие с коэффициентами фильтра синтеза верхних частот без применения процедуры нормировки.

Если к + > I -1, то вместо р в формуле будет использоваться уверенность для первого влияющего на и> т1 элемента

из несуществующей части временного ряда, где /0

- момент последнего выполненного измерения.

Диапазоны изменений вейвлет-коэффициентов рассчитываются на основе границ доверительных интервалов Ах = [х"ш,л:тах] для предсказанных отсчетов временного ряда внутри внутренней границы доверительной временной области.

Приведен пример формирования доверительной области коэффициентов разложения определением ячеек нулевого, первого и второго уровней, значения которых попадут в определенный диапазон с уверенностью р„те_шь > 0,8. Их выделение показано на рис.3 темной заливкой.

/ > / \

= X 4»-¡--/»1

level

Рис.3

Для использования в анализе доверительной вейвлет-области наиболее подходящим является формирование нескольких ее представлений, заполненных, например, значениями:

- верхней границы;

- нижней границы;

- рассчитанными на основе предсказанных значений аппроксимированной временной последовательности;

- случайно распределенными между верхней и нижней границами.

Комбинация таких представлений доверительной вейвлет-области позволит наиболее верно судить о поведении вейвлет-коэффициентов за пределами угла правдоподобия.

Для получения картины вейвлет-коэффициентов, пригодной для выполнения операций распознавания, необходима определенная длина исходной последовательности. Малая длина последовательности обуславливает пропорциональное количество вейвлет-коэффициентов, что делает картину разложения разбитой на соответствующее количество прямоугольных областей. Элементы такой картины слишком грубы и непригодны для дальнейшего распознавания.

К исходной последовательности предлагается применить алгоритм, увеличивающий число элементов ряда. Проанализированы результаты использования спектральных и временных алгоритмов интерполяции.

В четвертой главе показана реализация предложенного метода в соответствии со схемой, представленной на рис.4.

Приведены результаты выполнения отдельных этапов. Интерес представляет иерархическая организация баз шаблонов. Сравнение происходит по принципу постепенного приближения с нахождения статистической зависимости черно-белых изображений на основе корреляционного метода. При этом размерность эталона и исследуемого представления по вертикали совпадают. Движение эталона вдоль вейвлет-образа сигнала происходит в горизонтальном направлении в случае стационарного анализа. При динамическом обнаружении особенностей эталон и сигнал сопоставляются правыми границами.

Система мониторинга сети..........

Рис.4

Появление аномалий в различных точках наблюдения в течение небольшого промежутка времени говорит о возможной взаимосвязи событий. Объект, имеющий более ранний по времени момент возникновения аномалии может являться источником нестандартного поведения ряда данных. Исследуя возникновение аномалий на различных устройствах, возможным является построение дерева аномалий, ведущего от источника (-ов) через посредников разных уровней к приемникам и наоборот: от приемника к источнику.

Определена функциональность и даны рекомендации по внедрению предложенного метода.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ

В работе получены следующие основные теоретические и практические результаты:

1. Определены возможности, особенности и ограничения использования алгоритмов частотного разложения в области применения.

2. Разработана описательная модель метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

3. Получены математические модели оптимизации алгоритмов спектрального анализа, в том числе сдвиговой последовательности;

4. Предложена схема вычисления спектрально-временного преобразования с дискретизированным изменением параметра сдвига и диадным изменением масштаба на основе быстрых алгоритмов диадного кратномасштабного анализа;

5. Получены математические модели оптимизации алгоритмов спектрально-временного анализа сдвиговой последовательности с учетом области достоверности коэффициентов разложения.

6. Выполнено уменьшение области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

7. Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

8. Разработаны программные модули для реализации этапов метода.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Будько МБ., Будько М.Ю. Отслеживание изменений в структуре сети и решение задач повышения безопасности на основе анализа потоков данных // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. Номер выпуска 59. - СПб.: СПбГУ ИТМО. - 2009. - С. 78-82

2. Будько М.Б., Будько М.Ю. Определение источника широковещательного шторма на основе данных протокола SNMP // Сборник трудов конференции молодых ученых. Выпуск 6. Информационные технологии. - СПб.: СПбГУ ИТМО. - 2009. - С. 153-157

3. Будько М.Б., Будько М.Ю., Гирик A.B. Заявка на патент на изобретение № 2007111888/09 «Способ адаптивного управления передачей потоковых медиаданных» // Федеральная служба по интеллектуальной собственности, патентам и товарным знакам; Бюллетень №28 - Москва, 2008.

4. Будько М.Б., Будько М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. - 2007. - № 39. - С. 319-323.

5. Будько М.Б., Будько М.Ю., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // Труды XIV Всероссийской научно-методической конференции «Телематика'2007». - 2007. - С. 430-432.

6. Будько М.Б., Будько М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Сборник тезисов IV межвузовской конференции молодых ученых. - СПб.: СПбГУ ИТМО. - 2007. -с. 60

7. Будько М.Б. Алгоритм определения речевой активности и генератор комфортного шума высокого быстродействия // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. - 2006. - № 32. - С. 37-43.

8. Будько М.Б. Повышение эффективности передачи речевых сигналов // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. - 2006. - № 25.-С. 89-94.

9. Будько М.Б. Анализ структуры масштабируемого кодирования аудио // Труды 10-й международной конференции «Теория и технология программирования и защиты информации» - СПб.: СПбГУ ИТМО. - 2006 - С. 130133.

Ю.Шалаева М.Б. Оптимизация алгоритмов спектрально-временного преобразования // I научно-практическая конференция «Современные проблемы прикладной информатики»: Сб. докл. - СПб: СПбГИЭУ, 2005. - Выпуск 1,С. 165-167.

11. Шалаева М.Б. Повышение эффективности алгоритмов кодирования речи // II межвузовская конференция молодых ученых - СПб: СПбГУ ИТМО, 2005.-С. 98-103.

12. Шалаева М.Б. Развитие алгоритмов сжатия речи // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. - 2005. - № 19. - С. MOMS.

13. Шалаева М.Б. Сравнение вычислительной сложности алгоритмов для кратковременного спектрально-временного преобразования // XII всероссийская научно-методическая конференция «Телематика'2005» - СПб: СПбГУ ИТМО. - 2005. - С. 95-97.

■vft/

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101, Санкт-Петербург. Саблинская ул.. 14 Тел. (812) 233 4669 объем 1 п.л. Тираж 100 экз.

Список сокращений.

Введение.

Глава 1. Исследование систем обнаружения вторжений.

1.1. Системы обнаружения вторжений и их место в задачах обеспечения безопасности.

1.2. Обоснование подхода к формированию системы обнаружения аномалий на основе анализа интенсивностей потоков данных в сети.

1.3. Основы спектрального анализа.

1.4. Основы спектрально-временного анализа.

Выводы по главе 1.

Глава 2. Этапы формирования метода обнаружения аномалий телекоммуникационных данных.

2.1. Общая структура метода.

2.2. Содержание этапов.

Этап накопления и отбора информации.

Этап анализа готовых наборов.

Этап обнаружения аномалий в потоках данных.

Выводы по главе 2.

Глава 3. Оптимизация спектральных и спектрально-временных алгоритмов и представлений.

3.1. Оптимизация спектрального преобразования.

Математические модели оптимизации кратковременных ДПФ и ДПХ при сдвиге последовательности.

Теоретический расчет вычислительной сложности преобразований.

Результаты применения.

32. Оптимизация спектрально-временного преобразования.

Определение видов углов влияния и достоверности на картине вейвлет-коэффициентов дискретного, дискретного диадного и дискретизированного представлений.

Выполнение дискретизированного по времени и диадного по масштабам разложения на основе быстрого алгоритма диадного кратномасштабного анализа.

Математические модели оптимизации спектрально-временного разложения при сдвиге последовательности.

Формирование доверительного пространства вейвлет-коэффициентов

Выводы по главе 3.

Глава 4. Реализация метода обнаружения аномалий телекоммуникационных данных.

Выводы по главе 4.

Большинство существующих сетей связи имеют достаточно развитую по охвату и содержанию инфраструктуру в виду доступности для специализирующихся в области телекоммуникаций компаний высокотехнологичных средств. Поэтому для поддержания конкурентоспособности многие уже сейчас строят свою политику на развитии новых сервисов: от предоставления дополнительных пользовательских услуг до внедрения уникальных инновационных механизмов обеспечения защиты информации и информационной безопасности.

Несмотря на свою значимость, сервисы, обеспечивающие стабильность функционирования сети, уступают по темпам развития другим нововведениям, поддерживаемым высоким пользовательским спросом.

Активное использование в настоящее время распределенных систем связи приводит к необходимости уделять внимание вопросам безопасности.

Особое место в реализации политики безопасности организации занимают системы обнаружения вторжений (происшествий с безопасностью) (СОВ), которые могут как выполнять функцию обратной связи, контролируя эффективность компонент системы безопасности, т.е. являться дополнением к существующему комплексу средств защиты, так и представлять собой самостоятельный продукт.

Внедрение многих СОВ, как и комплексных систем безопасности, сдерживается рядом факторов, таких как единовременные капиталовложения, необходимость компетентной установки, настройки, поддержки и т.д. В таких компаниях, как правило, функция слежения за работой сети возлагается на администратора. В таком случае результат зависит от человеческого фактора, включающего опыт, интуицию, ответственность, работоспособность и т.п. Следует отметить, что практически в каждой компании, имеющей в распоряжении распределенную сеть, установлены средства сбора статистических данных о загрузке интерфейсов сетевого оборудования. Таким образом, закономерным шагом к автоматизации процесса выявления нештатных ситуаций, является внедрение доступного и, можно сказать, универсального средства, анализирующего интенсивности потоков данных в поиске необычных и подозрительных событий или тенденций, которое можно отнести к подклассу СОВ.

При этом может использоваться как сигнатурный метод, так и метод описательной статистики.

Математически обоснованными видами анализа временных рядов являются исследования сигнала на основе временных, спектральных и интенсивно развивающихся последнее с небольшим десятилетие спектрально-временных алгоритмов.

Анализ во временной области основывается на методах математической статистики и его возможности весьма обширны. Но следует отметить, что исследуемому телекоммуникационному сигналу свойственно «выраженное колебательное поведение» ввиду особенностей его формирования. Хотя в методах временного анализа существуют подходы для описания такого рода сигналов, наиболее подходящими для исследования колебательного процесса являются методы спектрального и спектрально-временного анализа. Частотные представления являются более информативными и позволяют расширить возможности существующих систем обнаружения аномалий, но требуют больших размерностей для представления результатов и имеют большую вычислительную сложность алгоритмов, что сдерживает их применение и развитие в прикладных задачах. Следовательно, является актуальной разработка метода обнаружения аномалий в интенсивностях потоков данных на основе алгоритмов анализа частотных составляющих, оптимизированных по вычислительной нагрузке.

Целью работы является разработка повышающего безопасность функционирования сети метода обнаружения аномалий в данных о загрузке интерфейсов телекоммуникационного оборудования на основе анализа частотных характеристик; оптимизация по вычислительной нагрузке формирующих метод сдвиговых спектральных и спектрально-временных алгоритмов с получением математических моделей оптимизации и исследование особенностей и ограничений использования частотного представления в рассматриваемом приложении.

Задачи исследований включают:

1. Исследование спектральных и спектрально-временных алгоритмов анализа и представления временных рядов, в том числе определение особенностей и ограничений их использования в области применения.

2. Исследование алгоритмов спектрального разложения, в том числе с учетом сдвигов анализируемой последовательности, с предложением математической модели оптимизации вычислений;

3. Исследование формирования областей влияния и достоверности картины вейвлет-коэффициентов при реализации алгоритмов спектрально-временного анализа;

4. Предложение математической модели оптимизации алгоритмов спектрально-временного разложения, в том числе с учетом сдвигов анализируемой последовательности и области достоверности коэффициентов разложения.

5. Предложение способа уменьшения области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

6. Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

7. Разработка метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

8. Разработка программных модулей.

Методы исследования базируются на теории вероятностей и математической статистики, теории распознавания образов, теории вычислительных систем и сетей.

Научная новизна заключается в следующем:

1. Определены частотные образы для представления особенностей в данных об интенсивностях телекоммуникационных потоков и разработан алгоритм их обнаружения в вейвлет-спектре сигнала.

2. Предложены математические модели оптимизации вычисления спектральных представлений (Фурье и Хартли), в том числе для сдвиговой последовательности;

3. Выполнено исследование областей достоверности и недостоверности на картине коэффициентов вейвлет-разложения в зависимости от длины анализируемой последовательности и выбранного вейвлета.

4. Предложены математические модели оптимизации вычисления спектрального представления, в том числе для сдвиговой последовательности, с учетом области достоверности коэффициентов разложения;

5. Предложен способ расчета доверительного пространства вейвлет-коэффициентов вне плоскости правдоподобия для возможности их обоснованного включения в дальнейший анализ с определенной степенью уверенности.

Практическая значимость работы заключается в разработке описательной модели системы обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик, в создании программных модулей для реализации ее этапов. Предложенные модели оптимизации спектральных и спектрально-временных алгоритмов имеют самостоятельную практическую значимость и могут найти применение в приложениях, предусматривающих работу со спектрами.

Выводы по главе 4

Итак, использование анализа частотных характеристик позволяет расширить возможности временного анализа, что делает процесс обнаружения аномалий более эффективным, повышая тем самым безопасность функционирования сетей.

Поскольку блоки спектрального и спектрально временного анализа относительно независимы, то они могут быть внедрены в существующие системы, расширяя их функциональность. Предложенные в главе 3 оптимизированные алгоритмы устраняют недостаток, связанный с повышенной сложностью спектральных и спектрально-временных преобразований, а определение возможностей и ограничений частотных представлений формирует базу для их использования в приложениях.

Заключение

В работе получены следующие основные теоретические и практические результаты:

1. Определены возможности, особенности и ограничения использования алгоритмов частотного разложения в области применения.

2. Разработана описательная модель метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

3. Получены математические модели оптимизации алгоритмов спектрального анализа, в том числе сдвиговой последовательности;

4. Предложена схема вычисления спектрально-временного преобразования с дискретизированным изменением параметра сдвига и диадным изменением масштаба на основе быстрых алгоритмов диадного кратномасштабного анализа;

5. Получены математические модели оптимизации алгоритмов спектрально-временного анализа сдвиговой последовательности с учетом области достоверности коэффициентов разложения.

6. Выполнено уменьшение области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

7. Сформирована теоретическая и практическая база для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

8. Разработаны программные модули для реализации этапов метода.

Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения»; применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере по «Разработке способа и системы адаптивного управления передачей потоковых данных». Результаты работы использованы на кафедре Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО в рамках инженерной подготовки по специализациям «Математическое моделирование и прогнозирование чрезвычайных ситуаций» (230401.65.02) и «Математическое моделирование и прогнозирование информационных угроз» (090103.65), а также в рамках дисциплины специализации «Математическое моделирование и прогнозирование информационных угроз» (ДС.В.01) образовательной программы СПбГУ ИТМО. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».

Результаты диссертационной работы докладывались и обсуждались на 7-и всероссийских и международных конференциях и семинарах. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

По теме диссертационной работы опубликовано 13 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из которых входят в перечень ведущих периодических изданий; 7 статей в трудах научных конференций.

1. Алексеев К.А. Вокруг форумов сайтов Exponenta.ru и Matlab.ru. MATLAB/Wavelet Toolbox // Полезные мелочи. URL: http://soft.mail.ru/journal/pdfVersions/1827119486114541.pdf.

2. Астафьева Н. Вейвлет анализ: основы теории и примеры применения // Успехи Физических Наук. 1996. - Т. 166, № 11. - С. 1145-1170.

3. Барков A.B., Баркова H.A. Вибрационная диагностика машин и оборудования. Анализ вибрации : учеб. пособие. СПб : Изд. центр СПбГМТУ, 2004.- 152 с.

4. Бендат Дж., Пирсол А. Применения корреляционного и спектрального анализа: Пер. с англ. М. : Мир, 1983. - 312 е., ил.

5. Бендат Дж., Пирсол А. Прикладной анализ случайных данных: Пер. с англ. М. : Мир, 1989. - 540 е., ил.

6. Бил Дж. Snort 2.1. Обнаружение вторжений. М. : Бином, 2006. - 656 с.

7. Бобров А. Системы обнаружения вторжений. URL: http://www.icmm.ru/~masich/win/lexion/ids/ids.html.

8. Бойцев О. Взлом и защита локальной сети. URL: http://www.winguard.ru/lansecure.php.

9. Брейсуэлл Р. Преобразование Хартли : Пер. с англ. М. : Мир, 1990. -170 е., ил.

10. Будько М.Б., Будько М.Ю. Определение источника широковещательного шторма на основе данных протокола SNMP // Конференция молодых ученых : информационные технологии : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2009. - № 6. - С. 153-157.

11. Будько М.Б., Будысо М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. 2007. - № 39, С. 319-323.

12. Будько М.Б., Будько М.Ю., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // XIV Всероссийской научно-методической конференции «Телематика'2007» : сб. науч. тр. 2007. -С. 430-432.

13. Будько М.Б. Повышение эффективности передачи речевых сигналов // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. 2006. -№25, С. 89-94.

14. Будько М.Б. Анализ структуры масштабируемого кодирования аудио // 10-я международной конференции «Теория и технология программирования и защиты информации» : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2006. - С. 130-133.

15. Быков С.Ф. Журавлев В.И., Шалимов И.А., Цифровая телефония, учебное пособие для ВУЗов. М. : Радио и связь, 2003.

16. Вегешна Ш. Качество обслуживания в IP-сетях. — М., СПб, Киев : Вильяме, 2003.

17. Витязев В.В. Вейвлет-анализ временных рядов : учебн. пособие. СПб : Изд-во СПбУ, 2001.-58 с.

18. Вопрос про вейвлеты : научный форум dxdy. URL: http://dxdy.ru/topic5772.html.

19. Воробьев В., Грибунин В. Теория и практика вейвлет-преобразования. -СПб : Издательство ВУС, 1999. 208 с.

20. Галягин Г., Фрик П. Адаптивные вейвлеты (алгоритм спектрального анализа сигналов с пробелами в данных) // Математическое моделирование систем и процессов. 1996. - № 6, С. 10.

21. Гольдштейн Б.С. Пинчук A.B., Суховицкий A.JI. IP-телефония. М. : Радио и связь, 2001.

22. Городецкий В.И., Котенко И.В., Карсаев О.В., Хабаров A.B. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах // ISINAS 2000 : сб. науч. тр. СПб, 2000.

23. Гриняев С. Системы обнаружения вторжений // BYTE Россия. 2001. -№ 10.

24. Гусев В.А., Короновский A.A., Храмов А.Е. Применение адаптивных вейвлетных базисов к анализу нелинейных систем // Письма в ЖТФ. -Саратов : Изд-во Государственного УНЦ «Колледж», 2003. Т. 29, Вып. 18. — С. 61.

25. Дабровски А., Дабровски Б., Пиотрович Р. Суточное мониторирование ЭКГ. М. : Медпрактика, 2000.

26. Давыдов A.B. Вейвлетные преобразования сигналов. Тема 1. Основы вейвлет-преобразования сигналов. URL: http://prodav.narod.ru/wavelet/index.html.

27. Давыдов A.B. Вейвлеты. Вейвлетный анализ сигналов : курс лекций. URL: http://prodav.narod.ru/wavelet/index.html.

28. Двораковская М. Программы для обеспечения безопасности // Компьютерная газета. URL: http://www.nestor.minsk.by/kg/2004/09/kg40915.html.

29. Добеши И. Десять лекций по вейвлетам : Пер. с англ. Ижевск : НИЦ «Регулярная и хаотическая динамика», 2001. - 464 с.

30. Дремин И., Иванов О., Нечитайло В. Вейвлеты и их использование // Успехи физических наук. 2001. - Т. 171, № 5. - С. 465-561.

31. Дрю X. Внутренний мир Microsoft TCP/IP : Пер. с англ. Киев: DiaSoft, 2000.

32. Кевин И. Сонг Азбука сетевой безопасности. 2004. URL: http://www.certification.ru/library/articlesdir/bigl67.html730.

33. Козлов П.В., Чен Б.Б. Вейвлет-преобразование и анализ временных рядов // Вестник КРСУ. 2002. - № 2.

34. Коноплев В.В., Бауман М.Н., Назиов P.P. Особенности трафика инфраструктурного мониторинга в системах ГРИД-компьютинга. URL: http://www.robyshoes.com/manual2350gen.html.

35. Консультационный центр Matlab компании Softline. URL: http://matlab.exponenta.ru/index.php (дата обращения: 10.06.2009).

36. Корниенко A.A., Слюсаренко И.М. Системы и методы обнаружения вторжений: современное состояние и направления совершенствования. -2009. URL: http://www.citforum.ru/security/internet/idsoverview/.

37. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ и его приложения. М. : Физматлит, 2003. - 196 с.

38. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ в приложениях к задаче нелинейной динамики. Саратов : Изд-во Государственного УНЦ «Колледж», 2002. - 216 с.

39. Кулешов А. Формирование признаков для классификации объектов полутоновых изображений по их контурному представлению // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4.-С. 95-106.

40. Лазоренко О.В., Лазоренко C.B., Черногор Л.Ф. Вейвлет-анализ модельных сигналов с особенностями. 1. Непрерывное вейвлет-преобразование // Радиофизика и радиоастрономия. 2007. - Т. 12, № 2. -С. 182-204.

41. Левкович-Маслюк Л., Переберин А. Два курса по вейвлет-анализу. URL: http://algolist.manual.ru/compress/image/leolev/index-1 .php.

42. Малоземов В., Певный А., Третьяков А. Быстрое вейвлетное преобразование дискретных периодических сигналов и изображений // Проблемы передачи информации. 1998. - Т. 34, № 5. - С. 465-561.

43. Мачнев А., Селиханович А. Алгоритмы вычисления контуров на полутоновых изображениях // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4. - С. 53-58.

44. Минами С. Обработка экспериментальных данных с использованием компьютера. М. : Радио и связь, 1999.

45. Минько A.A. Статистический анализ в MS Excel. М. : Вильяме, 2004. -448 е., ил.

46. Новиков JI. Адаптивный вейвлет-анализ сигналов // Научное приборостроение. 1998. - Т. 9, № 2. - С. 35.

47. Обзор систем обнаружения вторжений. URL: http://www.metclad.ru/pat-a-587-list/.

48. Обнаружение аномалий. URL: http://ru.wikipedia.org/wiki/.

49. Отнес Р., Эноксон JI. Прикладной анализ временных рядов. Основные методы : Пер. с англ. М. : Мир, 1982. - 429 с.

50. Пауэр Р. Эксперты дискутируют о настоящем и будущем систем обнаружения атак : Пер. Лукацкого А. // Computer Security Journal. -2002. Vol. XIV, № 1.

51. Переберин A.B. О систематизации вейвлет-преобразования // Вычислительные методы и программирование. 2001. - Т.2. - С. 15-40.

52. Петухов А.П. Введение в теорию базисов всплесков. СПб : Изд-во СПбГТУ, 1999.

53. Поликар Р. Введение в вейвлет-преобразование : Пер. Грибунина В.Г. URL: http://www.autex.spb.ru/wavelet/books.htm

54. Половко A.M., Бутусов П.Н. Matlab для студента. СПб : БВХ-Петербург, 2005. - 320 е., ил.