автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Разработка методики выявления аномалий графика в магистральных интернет-каналах

кандидата технических наук
Афонцев, Эдуард Вячеславович
город
Екатеринбург
год
2007
специальность ВАК РФ
05.13.01
Автореферат по информатике, вычислительной технике и управлению на тему «Разработка методики выявления аномалий графика в магистральных интернет-каналах»

Автореферат диссертации по теме "Разработка методики выявления аномалий графика в магистральных интернет-каналах"

Министерство образования и науки Российской Федерации Государственное образовательное учреждение высшего профессионального образования «Уральский государственный технический университет-УПИ»

На правах рукописи

Афонцев Эдуард Вячеславович

РАЗРАБОТКА МЕТОДИКИ ВЫЯВЛЕНИЯ АНОМАЛИЙ ТРАФИКА В МАГИСТРАЛЬНЫХ ИНТЕРНЕТ-КАНАЛАХ

Специальность 05 13 01 - Системный анализ, управление и обработка информации (в промышленности)

Автореферат диссертации на соискание ученой степени кандидата технических наук

Екатеринбург 2007

003057817

Работа выполнена в ЗАО «Корус ИСП» и на кафедре автоматики и информационных технологий ГОУ ВПО «Уральский государственный технический университет-УПИ»

Научный руководитель доктор технических наук,

профессор Поршнев С В

Официальные оппоненты доктор технических наук,

профессор Гольдштейн С.Л

кандидат технических наук, Суковатин И В

Ведущая организация Научно-производственное объединение «Уралсистем» (г Екатеринбург)

Защита состоится « » сЛСЯгХ 2007 г в часов

на заседании диссертационного совета Д 212 285 11 при ГОУ ВПО «Уральский государственный технический университет-УПИ» по адресу 620002, ул Мира, 32, ауд Р-217

Отзыв на автореферат в одном экземпляре, заверенный печатью организации, просим направлять по адресу 620002, г Екатеринбург, ул Мира, 19, ГОУ ВПО УГТУ-УПИ, ученому секретарю диссертационного совета Д 212 285 11 Важенину В Г

С диссертацией можно ознакомиться в библиотеке УГТУ-УПИ Автореферат разослан « » 2007 г

Ученый секретарь

диссертационного совета Д 212 285 11

к тн, доцент ^^¡^ ВГВаженин

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

1. Актуальность темы исследования. В настоящее время наблюдается стремительное развитие телекоммуникаций, характеризующееся непрерывным ростом масштабов и сложности сетевых инфраструктур, скоростей передачи данных и загрузки магистральных каналов связи. При этом на передний план выдвигаются вопросы мониторинга и диагностики, особенно в свете постоянных угроз информационной безопасности (ИБ)(рис. 1).

I

I

Теоретическая база телекоммуникаций в настоящий момент характеризуется переходом от моделей классической теории массового обслуживания к моделям самоподобного телетрафика. Среди зарубежных ученых, активно занимающихся развитием последнего подхода, выделим фундаментальные труды В, Лиланда (W. Leland), М. Такку {М. Taqqu), В. Виллинжера (W. Willjnger), Д. Вилсона (D. Wiison), К. Парка (К. Park), В. Паксона (V. Paxson) и др. Отечественные исследования представлены работами Б.С. Цыбакова, О.И. Шелухина, B.C. Заборовского, А.Я. Городецкого и др.

Прикладные исследования в области телекоммуникаций сконцентрированы в направлениях их проектирования и мониторинга. Среди многочисленных работ по мониторингу в последнее время увеличилось число публикаций, посвященных | выявлению сетевых аномалий (СА). Для решения данной задачи применяется ряд известных математических методов обработки, анализа и моделирования сигналов: классический статистический, факторный и кластерный анализ, спектральный анализ, вей влет-анализ, цифровая обработка сигналов, моделирование временных рядов и интеллектуальный анализ данных.

Практические разработки в области выявления нарушений информационной безопасности и сетевых аномалий ведутся как университетскими

Ряс, 1, Рост инцидентов ИБ. по данным CERT

научными центрами (Ohio University, Columbia University, МГУ, УГТУ-УПИ и др ), так и крупнейшими коммерческими компаниями (Cisco, СА, ISS, Symantec и др )

Однако задача надежного выявления сетевых аномалий окончательно не решена, о чем свидетельствуют аналитические отчеты центров Интернет-безопасности, крупнейших операторов и координаторов связи, производителей сетевого оборудования и систем обнаружения вторжений, а также опыт эксплуатации компьютерных сетей и магистральных Интернет-каналов

Это объясняется следующими обстоятельствами.

Во-первых, существует определенный разрыв между теоретическими исследованиями телетрафика и проблемами выявления сетевых аномалий, заключающийся, например, в недостаточной изученности фрактальных свойств аномального трафика а также в вопросе исследования влияния современных инженерных механизмов обеспечения качества обслуживания на свойства аномального трафика

Во-вторых, в настоящее время для отрасли связи наиболее актуальным является мониторинг состояния магистральных каналов, обслуживающих большое количество агрегированных потоков и высокие скорости передачи данных, в то время как большинство известных методик использует параметры отдельных составляющих сетевого трафика (содержимое кадров, пакетов) В этих условиях наиболее востребованными становятся методы выявления сетевых аномалий по интегральным характеристикам трафика

В-третьих, большинство исследований сводится к изучению отдельных методов выявления сетевых аномалий, в то время как на практике остро необходимы комплексные методики, комбинирующие наиболее эффективные подходы к решению данной задачи

Таким образом, на текущий момент актуальной задачей является разработка эффективных комплексных методов выявления сетевых аномалий по интегральным характеристикам трафика на основе современной теоретической базы

2. Объект исследования методы анализа информации о состоянии телекоммуникационных сетей

3. Предмет исследования методы выявления сетевых аномалий

4. Цель диссертационной работы разработка комплексной методики выявления сетевых аномалий в магистральных Интернет-каналах по интегральным характеристикам трафика

Для достижения поставленной цели требуется решить следующие основные задачи

1) Разработать методику регистрации Интернет-трафика

2) Провести оценку работоспособности математических методов анализа Интернет-трафика в задаче выявления сетевых аномалий по интегральным характеристикам трафика

3) Разработать комплексную методику выявления аномалий Интернет-трафика по интегральным характеристикам

4) Провести оценку эффективности комплексной методики выявления аномалий Интернет-трафика по интегральным характеристикам

5. Методы исследований.

В работе были использованы методы теории вероятности, математической статистики, анализа временных рядов, нелинейной хаотической динамики, вейвлет-анализа

6. Научная новизна полученных результатов.

В работе получены следующие новые научные результаты

1) Проведен сравнительный анализ работоспособности ряда математических методов (статистический анализ, спектральный анализ, вейвлет-анализ, методы нелинейной динамики, методы моделирования временных рядов) в задаче выявления сетевых аномалий по реализациям Интернет-трафика, определены отличительные интегральные признаки сетевых аномалий и наиболее эффективные методы выявления для различных источников диагностируемой аномалии

2) Экспериментально установлена связь между значениями масштабных коэффициентов вейвлет-преобразований параметров входящего и исходящего потоков Интернет-трафика

3) Разработан диагностический критерий аномальности сетевого трафика, основанный на вычислении значений функции кросскорреляции параметров потоков Интернет-трафика

4) Разработана комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков трафика и моделирования временных рядов Хольта-Винтерса, позволяющая выявлять наиболее значимые дня операторов связи аномальные состояния трафика по интегральным характеристикам

5) Проведена экспериментальная проверка комплексной методики вьивления аномалий Интернет-трафика и получены оценки ее эффективности

7. Практическая значимость работы.

1) Создано программное обеспечение, реализующее комплексную методику выявления сетевых аномалий

2) Проведена экспериментальная проверка и осуществлено внедрение созданного программного обеспечения в учебном процессе (ГОУ ВПО УГТУ-УПИ) и на предприятиях отрасли связи (ЗАО "Корус ИСП", ООО "СЦС Совинтел")

3) Результаты, полученные в ходе выполнения настоящей диссертационной работы, представляют интерес для разработчиков новых систем выявления сетевых аномалий и мониторинга пакетных сетей передачи данных

8. На защиту выносятся

1) Результаты сравнительного анализа работоспособности ряда математических методов (статистический анализ, спектральный анализ, вейвлет-анализ, методы нелинейной динамики, методы моделирования временных рядов) в задаче выявления сетевых аномалий по интегральным характеристикам Интернет-трафика, определяющие отличительные признаки сетевых аномалий

2) Комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков Интернет-трафика и моделирования временных рядов, позволяющая выявлять наиболее значимые для операторов связи аномальные состояния трафика по интегральным характеристикам

3) Результаты экспериментальной апробации комплексной методики выявления аномалий Интернет-трафика по интегральным характеристикам, подтверждающие ее эффективность

9. Достоверность полученных результатов обеспечена обоснованным применением методов теории вероятности, математической статистики, анализа временных рядов, нелинейной хаотической динамики, вейвлет-анализа и подтверждена экспериментальными результатами

10. Апробация работы.

Основные положения и результаты диссертации представлялись на Международной научно-практической конференции "СВЯЗЬ-ПРОМ 2005", проводимой в рамках 2-го Евро-Азиатского международного форума "СВЯЗЬ-ПРОМ ЭКСПО 2005", Международной научно-практической конференции "СВЯЗЬ-ПРОМ 2006" в рамках 3-го Евро-Азиатского международного форума "СВЯЗЬ-ПРОМ ЭКСПО 2006", научных семинарах УГТУ-УПИ, технических совещаниях ЗАО "Корус ИСП" и ООО "Совинтел" Работа поддержана Российским фондом фундаментальных исследований (проект 06-08-00218-а)

11. Публикации.

По результатам исследований опубликовано 11 работ, из них 3 входит в перечень изданий, рекомендованных ВАК РФ для публикации материалов, отражающих основные результаты на соискание кандидатских и докторских диссертаций

12. Структура диссертационной работы.

Текст диссертационной работы состоит из введения, трех глав, заключения, приложений и списка литературы

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационной работы, формулируются ее цели и задачи, определена научная новизна полученных результатов и их практическая значимость, сформулированы положения, выносимые на защиту, кратко изложено содержание диссертации

В первой главе описана архитектура и основные механизмы работы протоколов, лежащих в основе Интернет-трафика

Подробно рассмотрено состояние современной теории самоподобного телетрафика Даны определения самоподобного процесса, обсуждаются его основные свойства и взаимоувязываются такие понятия как самоподобие, фрактальность, медленно и быстро убывающие зависимости, параметр Херста, распределения с тяжелыми хвостами Следует отметить, что изложенный материал в известной мере систематизирует разрозненную информацию по данной теме

Приведена разработанная автором классификация сетевых аномалий, построенная с точки зрения объекта воздействия — информационной системы, включающей программно-аппаратный комплекс и сетевую инфраструктуру (рис 2)

б

Рис 2 Классификация сетевых аномалий

Дано общее определение сетевой аномалии, согласно которому СА есть состояние сетевой информационной системы (ИС), характеризующееся отклонением от нормы с точки зрения нарушений безопасности или программно-аппаратных отклонений, приводящее к потере работоспособности ИС или искажению, уничтожению или утечке передаваемой информации.

Для проведения дальнейшего анализа с целью выявления аномалий систематизированы известные методики сбора информации о сетевой активности

На основе анализа доступных источников проведена классификация программного обеспечения для выявления сетевых аномалий, называемого системами обнаружения вторжений (СОВ) В качестве критериев использовались архитектура и способы сбора информации (рис 3, а), а так же форма реагирования (рис 3, б) и методы анализа (рис 3, в)

СОВ

СОВ

лот ьные сов

СЕТЕВЫЕ СОВ

ГИБРИДНЫЕ С08

ПАССИВНЫЕ СОВ

АКТИВНЫЕ СОВ

в

Рис 3 Классификация СОВ

Проведен анализ достоинств и недостатков каждого из методов (табл 1)

Таблица 1

_Сравнительный анализ методов СОВ_

Метод Достоинства Недостатки

Экспертные системы высокая надежность необходимость поддержания базы знаний, детерминированность

Сигнатурные анализаторы высокая скорость работы, высокая надежность необходимость поддержания базы сигнатур, детерминированность

Анализаторы протоколов простота реализации, высокая скорость работы, высокая надежность детерминированость, неработоспособность при шифрации трафика

Статистические анализаторы простота реализации необходимость обучения, вероятность ложных срабатываний

Цифровые анализаторы высокая скорость работы вероятность ложных срабатываний

Нейросетевые системы высокая скорость работы необходимость обучения, необъяснимость результатов

Приведен краткий обзор известных коммерческих и некоммерческих систем выявления сетевых аномалий Показано, что данные системы недостаточно надежно выявляют аномалии, что свидетельствует о необходимости проведения дальнейших исследований в данном направлении

Приводится обзор математических методов выявления сетевых аномалий Делается вывод о том, что большинство рассмотренных подходов использует параметры отдельных составляющих сетевого трафика (содержимое кадров, пакетов), в то время как для отрасли связи наиболее актуальным является мониторинг состояния магистральных каналов, характеризующихся большим количеством агрегированных потоков и высокими скоростями передачи данных В этих условиях наиболее востребованными становятся методы выявления СА по интегральным характеристикам сетевого трафика Здесь под интегральными характеристиками мы понимаем информацию о трафике, характеризующую поток данных без детального анализа его отдельных компонент (содержимого кадров, пакетов) Применительно к Интернет-трафику интегральными характеристиками являются, например, значения интенсивности пакетов, байт или информация, извлекаемая из заголовков пакетов

Вторая глава посвящена оценке работоспособности математических методов анализа временных рядов в задаче выявления сетевых аномалий по интегральным характеристикам реализаций Интернет-трафика

Описана методика получения экспериментальных реализаций Интернет-трафика, реализующая следующую последовательность действий

1 С помощью программно-аппаратного анализатора производится перехват проходящего через канал передачи данных трафика

2 Производится проверка трафика на аномальность с помощью сигнатурного анализатора и анализа дампов трафика специализированными утилитами и скриптами.

3 Полученные данные декодируются и при помощи процедуры агрегирования преобразуются в эквидистантную форму с постоянным шагом А Г Нижний предел агрегирования выбирался равным разрешению анализатора - 1 мкс Верхняя граница усреднения выбиралась с учетом ограниченности по размеру дампов экспериментальных реализаций трафика, и составляла 1 с

Аномальным считался трафик, содержащий не менее 5% пакетов, относящихся к СА согласно классификации, введенной в диссертации, нормальным - трафик, не содержащий пакетов, относящихся к СА

В соответствии с описанной методикой были получены временные ряды таких характеристик трафика, как интенсивность пакетов и интенсивность байт, содержащие детальную информацию о сетевой активности

На основе результатов статистического анализа экспериментальных реализаций показано, что распределения интенсивности пакетов нормального (рис 4) и аномального (рис 5) трафиков аппроксимируются логнормальными функциями распределения, которые относятся к классу тяжелохвостых Данный результат согласуется с современной теорией телетрафика

100 ,

Йье^_

Рис 4 Распределение интенсивности пакетов нормального трафика (пакеты/с) а - исходящий трафик, б - входящий трафик

0 500 1000 1500 2000 2500 0 50 100 150 200 250

а б

Рис 5 Распределение интенсивности пакетов аномального трафика (пакеты/с) а — исходящий трафик, б — входящий трафик

Обнаружено, что большинство аномалий демонстрируют асимметрию распределений интенсивности пакетов исходящего и входящего трафиков (рис 5) Различие параметров является статистически значимым, что проверялось на основе двухвыборочного критерия однородности Колмогорова-Смирнова Таким образом, данная характеристика может использоваться в качестве диагностического критерия

На основе анализа показано, что поведение функции кросскорреляции исходящего и входящего потоков трафика TCP для нормального (рис 6, а) и аномального (рис 6, б) трафиков существенно различается

Sample Croas CoiTtMion Function QCF)

8»mpl« Cr»» Correlation Fined on pcF)

ш

üü

гшшд

í й -в 1

i- i- i-

llifF

4'

15 10 -5 0 ft 10 15 20

10 1» 20

а б

Рис 6 Функция кросскорреляции ТСР трафика а — нормальный трафик, б - аномальный трафик

Так, максимальное значение функции кросскорреляции экспериментальных реализаций нормального Интернет-трафика в большинстве случаев превышает 0,8, в то время как для аномального находится в диапазоне 0,1. 0,4

Кроме того, показано, что коэффициент кросскорреляции Интернет-трафика, полученный на основе анализа заголовков 1Р пакетов, может использоваться в качестве диагностического критерия наличия сетевых аномалий Значение коэффициента кросскорреляции между 1Р адресами источника и назначения для нормального 1Р трафика равно 0,9 ±0,1 Коэффициент кросскорреляции для аномального трафика не превышает 0,6

Проведена оценка возможности использования кластерного анализа для выявления сетевых аномалий В качестве объекта данного вида анализа использовалась переменная, названная "коэффициентом связности" протокола ТСР, вычисляемая по формуле

S = -

N

syn+ack

в = -

N

syn

где Nsyn^ack - число пакетов с флагами SYN-ACK, Nsyn ~ число пакетов с флагом SYN, и удельное число байт

,._ ^ytes Packets'

где £ Bytes— число переданных байт, Packets - число переданных пакетов

Напомним, что в основе протокола TCP лежит процедура квитирования передачи данных, в рамках которой в начале соединения клиент посылает в сторону сервера пакет с установленным флагом синхронизации потока (Synchronize, SYN) и получает от сервера пакет уведомления и установления встречной синхронизации (Acknowledge, АСК + Synchronize, SYN) (рис 7)

>-v ^ »VN»AEK---.--—-

CLIENT

SERVER

Рис 7 Процедура квитирования TCP

В результате обнаружено, что нормальный (рис 8, а) и аномальный (рис 8, б) трафики характеризуются разным числом кластеров

а б

Рис 8. Дендрограммы трафика а - нормальный трафик, б - аномальный трафик Показано, что контроль значения информационной энтропии параметров заголовков пакетов 1Р трафика позволяет выявлять сетевые аномалии

Проведен спектральный анализ параметров трафика в зависимости от состояния транспортной среды передачи данных на основе использования метода Уэлча Показано, что спектры нормального трафика (рис 9, а) и трафика, содержащего высокоинтенсивные аномалии (рис 9, б, в, г), перегружающие маршрутизирующее оборудование и каналы связи, существенно отличаются друг от друга

400 600 800 1000 1200 О 1 2 3 4

Frequency (Hz) Frequency (kHz)

в г

Рис 9 Графики спектральной плотности мощности а - нормальный трафик, б - перегружен маршрутизатор, в - перегружен канал связи, г - включен механизм QoS

В случае, когда производительность канала связи превышает производительность маршрутизирующего оборудования, спектр демонстрирует частотные свойства оборудования (рис 9, б), в основе которых лежат внутренние механизмы обработки пакетов (прерывания, буферы и тд) При достижении аномальным трафиком пропускной способности канала передачи данных в спектре оказывается преобладающей гармоника с частотой, близкой к характеристической частоте канала (например, для магистрали Ethernet 10 Мбит/с предельная частота передачи кадров размера 1500 байт равна 810 Гц, рис 9, е) Спектр перегруженной магистрали с задействованными функциями обеспечения качества обслуживания (Quality of Service, QoS) демонстрирует наличие нескольких выраженных частот, которые можно отнести к результатам разделения трафика по классам и последующей обработки механизмами обеспечения качества обслуживания (рис 9, г) Низкочастотные компоненты соответствуют низкоприоритетному трафику, высокочастотные - высокоприоритетному

Таким образом, полученные результаты позволяют сделать вывод о возможности использования спектральных методов обработки временных рядов трафика для выявления высокоинтенсивных аномалий, характеризующихся перегрузкой канала передачи данных

Приведены результаты обработки экспериментальна временных рядов Интернет-трафика методами вейвлет-анализа В частности, показано, что поведение коэффициента корреляции между коэффициентами вейвлет-преобразования исходящего и входящего трафиков отличается для нормального (рис 10, а) и аномального (рис 10, б) состояний

а б

Рис 10 Зависимость коэффициента корреляции вейвлет-коэффициентов входящего и исходящего трафиков от масштаба а - нормальный трафик, б - аномальный трафик Сравнение графиков показывает, что начиная с масштаба 20 наблюдается плавный рост коэффициента корреляции для нормального трафика (рис 10, а) Коэффициент корреляции для аномального трафика (рис 10, б) оказывается зависящим от масштаба преобразования более сложным образом, чем в случае нормального трафика, но его максимальное значение не превышает значения 0,4

Показано, что Интернет-трафик может быть описан моделью обобщенного броуновского движения Это позволяет использовать для его анализа методы фрактальных временных рядов, в частности, вычислять показатель Херста (Н)

Выявлено, что для всех реализаций сетевого трафика Н>0,5, т е трафик относится к классу персистентных процессов и является самоподобным Однако отличий в значениях коэффициента Я при наличии и отсутствии аномалий не выявлено

Проведен анализ прогнозирования сетевой активности методами моделирования временных рядов Бокса-Дженкинса и Хольта-Винтерса Обнаружено, что среднеквадратическая ошибка (СКО) при использовании модели Бокса-Дженкинса (СКО=1,2 106 бит/с) ниже, чем при использовании модели Хольта-Винтерса (СКО=1,8 10б бит/с) Таким образом, модель Бокса-Дженкинса имеет более высокую точность прогноза Однако при проведении долгосрочных прогнозов ошибка метода Бокса-Дженкинса возрастает (СКО=3,1 10б бит/с) и более подходящей является модель Хольта-Винтерса (СКО=2,4 106 бит/с)

Третья глава посвящена разработке комплексной методики выявления аномалий Интернет-трафика

Для изучения надежности выявления аномалий был проведен сравнительный анализ методов обработки информации о трафике Предварительно было организовано получение экспериментальных дампов трафика Интернет-магистрали сервис-провайдера городского уровня (ЗАО "Корус ИСП", г Екатеринбург) за период с 01 09 2005 по 30 09 2005 Общее количество дампов составило 2880 объемом 30 Гбайт Для анализа было отобрано по 200 реализаций нормального и аномального трафика. Классификация аномалий осуществлялась сигнатурным анализатором и визуально Из 200 аномальных реализаций 100 содержали вирусную сетевую активность, 50 - сканирование, 25 - атаки на отказ в обслуживании, 25 - нарушения производительности

Статистический анализ основывался на изучении распределений интенсивностей пакетов исходящего и входящего трафиков Сравнение параметров аппроксимирующих функций распределения выполнялось на основе двухвыборочного критерия однородности Колмогорова-Смирнова, при уровне значимости 0,05 Размер каждой выборки составлял 100000 пакетов

Корреляционный анализ проводился на основе вычисления коэффициента кросскорреляции между временными рядами интенсивности пакетов 1Р входящего и исходящего трафика с уровнем агрегации ДГ=100 мс Трафик классифицировался как аномальный при значении коэффициента кросскорреляции меньше 0,6

Кластерный анализ осуществлялся на основе анализа дендрограмм сессий ТСР В качестве параметров использовались коэффициент связности и удельное число байт на пакет За диагностический критерий принималось число кластеров Для нормального трафика число кластеров принималось равным 2, для аномального - 3

Для анализа энтропии в качестве параметров выбирались 1Р адреса источника и приемника пакета Трафик классифицировался как аномальный при значении энтропии больше 6

Спектральный анализ осуществлялся по методу Уэлча Использовались временные ряды интенсивности пакетов, полученные обработкой экспериментальных реализаций трафика с уровнем агрегации ДГ=1 мкс, 10 мкс, 50 мкс и 100 мкс Применялась оконная функция Хэмминга с размером окна 1024 и

50% перекрытием сегментов Трафик классифицировался как аномальный при наличии выбросов в СПМ больше 10 дБ

Был проведен вейвлет-анализ разделенных по направлению (исходящий, входящий) временных рядов, содержащих интенсивности пакетов с уровнем агрегации А7"=100 мс Далее вычислялся коэффициент корреляции масштабных коэффициентов непрерывного вейвлет-преобразования В качестве базисной вейвлет-функции использовался дискретный вейвлет Мейера Трафик классифицировался как аномальный в случае если значения коэффициента корреляции масштабных коэффициентов непрерывного вейвлет-преобразования при масштабе больше 60 не достигали 0,5

Моделирование временных рядов проводилось по методу Хольта-Винтерса Длина каждой исследуемой выборки выбиралась таким образом, чтобы она включала 3 периода сезонных колебаний. ~ . Для усредняемого

с 5 минутным интервалом трафика длина выборки составляла 6048 значений Трафик классифицировался как аномальный при выходе прогнозируемого значения за доверительный интервал три СКО

Эффективность выявления СА в зависимости от метода анализа оценивалась на основе следующих критериев

1 Надежность детектирования (отношение правильно обнаруженных СА к общему числу имеющихся СА)

2 Величина ошибки 1 рода (отношение числа пропущенных СА (не выявленных) к общему числу имеющихся СА)

3 Величина ошибки 2 рода (отношение ложных выявлений СА к общему числу имеющихся СА)

Результаты сравнительного анализа эффективности выявления наиболее значимых сетевых аномалий каждым из рассмотренных в работе методов представлены в табл 2

Таблица 2

Оценка эффективности выявления СА в зависимости от метода анализа_

Эффективность выявления по классам СА (%)

Нарушение производительности Сканирование Вирусная активность Атака на отказ в обслуживании

Метод анализа надежность ошибка 1 рода ошибка 2 рода надежность | ошибка 1 рода ошибка 2 рода надежность ошибка 1 рода ошибка 2 рода надежность ошибка 1 рода ошибка 2 рода

Анализ функций распределения 0 100 20 10 90 20 50 50 25 55 45 10

Корреляционный анализ 0 100 15 50 50 10 90 10 5 90 10 15

Кластерный анализ 0 100 10 50 50 15 ВО 20 20 80 20 20

Анализ энтропии 0 100 20 50 50 25 70 30 25 60 40 25

Спектральный анализ 60 40 35 0 100 30 30 70 15 40 60 25

Вейвлет-анализ 0 100 30 0 100 25 60 40 20 50 50 20

Моделирование временных рядов 80 20 15 0 100 20 40 60 15 50 50 15

На основании полученных результатов разработана комплексная методика выявления сетевых аномалий, использующая корреляционный анализ и

моделирование временных рядов Данный выбор обусловлен тем, что корреляционный анализ позволяет наиболее эффективно выявлять сканирования, вирусную активность и атаки на отказ в обслуживании, а моделирование временных рядов - нарушения производительности

На основе предлагаемой методики разработана ее программная реализация -специализированное программное обеспечение (ПО) "Анализатор Интернет Трафика" (АИТ) Опытные испытания программного комплекса АИТ проводились на экспериментальных реализациях Интернет-трафика, содержащих исследуемые аномалии Результаты испытаний свидетельствуют об эффективном выявлении наиболее значимых для операторов связи сетевых аномалий с помощью ПО АИТ (табл 3)

Таблица 3

Оценка эффективности выявления СА__

Эффективность выявления по классам СА (%)

Нарушение производительности Сканирование Вирусная активность Атака на отказ в обслуживании

Методика детектирования е о о аз К § О о. л о о. гч св £ о в а о о. (3 8 о о. сч « е и о § О р. ^ л « о о. г» «5 л н к и « § о. еЗ л ч о а <4

1 к V© УО ч «3 ю 3 мэ 3 ж Ю

г о в о к У о Э о Й У О а О 1 О а о

АИТ 80 20 15 50 50 20 90 10 15 90 10 15

Производственная эксплуатация комплекса АИТ проводится на Интернет-магистралях сервис-провайдеров городского уровня (ЗАО "Корус ИСП", г Екатеринбург, начиная с 18 01 2006 по настоящее время, ООО "СЦС Совинтел", г Екатеринбург, начиная с 11 10.2006 по настоящее время) и в сети кафедры автоматики и информационных технологий ГОУ ВПО «Уральский государственный технический университет-УПИ» Применение ПО АИТ позволило обеспечить автоматическое выявление сетевых аномалий

В Заключении сформулированы основные результаты работы, которые состоят в следующем

1 Разработана методика получения реализаций Интернет-трафика

2 Проведена оценка работоспособности статистических методов анализа аномального трафика на основе корреляционного анализа параметров потоков трафика, кластерного анализа и расчета информационной энтропии, показавшая применимость данных методов в задаче выявления сетевых аномалий по интегральным характеристикам трафика

3 Показана работоспособность спектрального анализа параметров сетевого трафика в зависимости от состояния транспортной среды передачи данных в задаче выявления высокоинтенсивных аномалий

4 Экспериментально установлена связь между значениями масштабных коэффициентов вейвлет-преобразований параметров потоков Интернет-трафика

5 Получены результаты исследований фрактальных свойств аномального сетевого трафика, свидетельствующие о его самоподобии

6 Проведен сравнительный анализ методов моделирования временных рядов Бокса-Дженкинса и Хольта-Винтерса для прогнозирования сетевого трафика, содержащего аномалии

7 Разработана комплексная методика выявления аномалий Интернет-трафика, основанная на комбинировании методов корреляционного анализа параметров потоков трафика и моделирования временных рядов Хольта-Винтерса, позволяющая выявлять наиболее значимые для операторов связи аномальные состояния трафика по интегральным характеристикам

8 Получено экспериментальное подтверждение эффективности комплексной методики выявления аномалий Интернет-трафика

В Приложениях приведены распечатки листингов разработанных программ и акты внедрения

Публикации. По результатам исследований опубликовано 11 работ, в том

числе

1 Афонцев ЭВ Поршнев С В Опыт построения методик обнаружения вирусной сетевой активности // Вестник УГТУ-УПИ 50-летие радиотехнического образования на Урале Серия радиотехническая Екатеринбург ГОУ ВПО УГТУ-УПИ, 2004 №20(50) С 215-217*

2 Афонцев Э В Поршнев С В Методика выявления аномальной сетевой активности на основе анализа заголовков пакетов транспортного уровня // Научные труды международной научно-практической конференции "СВЯЗЬ-ПРОМ 2005" в рамках 2-го Евро-Азиатского международного форума "СВЯЗЬ-ПРОМ ЭКСПО 2005" Екатеринбург ЗАО "Компания Реал-Медиа", 2005 С 339-342

3 Афонцев Э В Поршнев С В Изучение свойств самоподобия временных рядов в задаче обнаружения аномалий сетевого трафика // Научные труды VIII отчетной конференции ученых ГОУ ВПО УГТУ-УПИ Сборник статей в 2 ч Екатеринбург ГОУ ВПО УГТУ-УПИ, 2005 Ч 1 С 381-382

4 Афонцев Э В Поршнев С В Статистические свойства Интернет-трафика // Вестник УГТУ-УПИ Информационные системы и технологии в радиотехнике, связи, автоматике и управлении Серия радиотехническая Екатеринбург ГОУ ВПО УГТУ-УПИ, 2005 №17(69) С 158-166 *

5 Афонцев Э.В Поршнев С В Применение спектральных методов анализа к задачам обнаружения аномальной сетевой активности в телекоммуникациях И Вестник науки Костанайского социально-технического университета, 2005 № 8 С 43-48

6 Афонцев Э В Поршнев С В Статистические свойства Интернет-трафика // Научные труды IX конференции молодых ученых ГОУ ВПО УГТУ-УПИ. сборник статей В 4ч Екатеринбург ГОУ ВПО УГТУ-УПИ, 2006 Ч 4 С 178-185

7 Афонцев Э В Поршнев С В Спектральные свойства Интернет трафика // Научные труды международной научно-практической конференции «СВЯЗЬ-ПРОМ 2006» в рамках III Евро-Азиатского форума «СВЯЗЬПРОМЭКСПО 2006» Екатеринбург ЗАО «Компания Реал-Медиа», 2006 С 449-451

8 Афонцев Э.В Поршнев С В Детектирование аномалий Интернет-трафика на основе вычисления энтропии // Научные труды международной научно-

практической конференции «СВЯЗЬ-ПРОМ 2006» в рамках III Евро-Азиатского форума «СВЯЗЬПРОМЭКСПО 2006» Екатеринбург ЗАО «Компания Реал-Медиа», 2006 С 452-454.

9 Афонцев Э В Поршнев С В Технологии сбора информации о сетевой активности // Научные труды Всероссийской научно-методической конференции "Актуальные проблемы математики, механики, информатики", Пермь, 2006 С 204-205

10 Афонцев ЭВ Поршнев С В Вейвлет-анализ аномального Интернет-трафика // Научные труды Международной научно-практической конференции "Безопасность информационного пространства", Екатеринбург, 2006 С. 112-116

11 Афонцев Э В Поршнев С В Спектральные свойства аномального Интернет-трафика // Информационные технологии, 2006 №12 С 66-69*

* Входит в перечень изданий, рекомендованных ВАК РФ для публикации материалов, отражающих основные результаты на соискание кандидатских и докторских диссертаций

Подписано в печать 3 апреля 2007 г Тираж 100 экз Заказ 50

Ризография НИЧ УГТУ-УПИ 620002, г Екатеринбург, ул Мира, 19