Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Будько, Марина Борисовна

Большинство существующих сетей связи имеют достаточно развитую по охвату и содержанию инфраструктуру в виду доступности для специализирующихся в области телекоммуникаций компаний высокотехнологичных средств. Поэтому для поддержания конкурентоспособности многие уже сейчас строят свою политику на развитии новых сервисов: от предоставления дополнительных пользовательских услуг до внедрения уникальных инновационных механизмов обеспечения защиты информации и информационной безопасности.

Несмотря на свою значимость, сервисы, обеспечивающие стабильность функционирования сети, уступают по темпам развития другим нововведениям, поддерживаемым высоким пользовательским спросом.

Активное использование в настоящее время распределенных систем связи приводит к необходимости уделять внимание вопросам безопасности.

Особое место в реализации политики безопасности организации занимают системы обнаружения вторжений (происшествий с безопасностью) (СОВ), которые могут как выполнять функцию обратной связи, контролируя эффективность компонент системы безопасности, т.е. являться дополнением к существующему комплексу средств защиты, так и представлять собой самостоятельный продукт.

Внедрение многих СОВ, как и комплексных систем безопасности, сдерживается рядом факторов, таких как единовременные капиталовложения, необходимость компетентной установки, настройки, поддержки и т.д. В таких компаниях, как правило, функция слежения за работой сети возлагается на администратора. В таком случае результат зависит от человеческого фактора, включающего опыт, интуицию, ответственность, работоспособность и т.п. Следует отметить, что практически в каждой компании, имеющей в распоряжении распределенную сеть, установлены средства сбора статистических данных о загрузке интерфейсов сетевого оборудования. Таким образом, закономерным шагом к автоматизации процесса выявления нештатных ситуаций, является внедрение доступного и, можно сказать, универсального средства, анализирующего интенсивности потоков данных в поиске необычных и подозрительных событий или тенденций, которое можно отнести к подклассу СОВ.

При этом может использоваться как сигнатурный метод, так и метод описательной статистики.

Математически обоснованными видами анализа временных рядов являются исследования сигнала на основе временных, спектральных и интенсивно развивающихся последнее с небольшим десятилетие спектрально-временных алгоритмов.

Анализ во временной области основывается на методах математической статистики и его возможности весьма обширны. Но следует отметить, что исследуемому телекоммуникационному сигналу свойственно «выраженное колебательное поведение» ввиду особенностей его формирования. Хотя в методах временного анализа существуют подходы для описания такого рода сигналов, наиболее подходящими для исследования колебательного процесса являются методы спектрального и спектрально-временного анализа. Частотные представления являются более информативными и позволяют расширить возможности существующих систем обнаружения аномалий, но требуют больших размерностей для представления результатов и имеют большую вычислительную сложность алгоритмов, что сдерживает их применение и развитие в прикладных задачах. Следовательно, является актуальной разработка метода обнаружения аномалий в интенсивностях потоков данных на основе алгоритмов анализа частотных составляющих, оптимизированных по вычислительной нагрузке.

Целью работы является разработка повышающего безопасность функционирования сети метода обнаружения аномалий в данных о загрузке интерфейсов телекоммуникационного оборудования на основе анализа частотных характеристик; оптимизация по вычислительной нагрузке формирующих метод сдвиговых спектральных и спектрально-временных алгоритмов с получением математических моделей оптимизации и исследование особенностей и ограничений использования частотного представления в рассматриваемом приложении.

Задачи исследований включают:

1. Исследование спектральных и спектрально-временных алгоритмов анализа и представления временных рядов, в том числе определение особенностей и ограничений их использования в области применения.

2. Исследование алгоритмов спектрального разложения, в том числе с учетом сдвигов анализируемой последовательности, с предложением математической модели оптимизации вычислений;

3. Исследование формирования областей влияния и достоверности картины вейвлет-коэффициентов при реализации алгоритмов спектрально-временного анализа;

4. Предложение математической модели оптимизации алгоритмов спектрально-временного разложения, в том числе с учетом сдвигов анализируемой последовательности и области достоверности коэффициентов разложения.

5. Предложение способа уменьшения области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

6. Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

7. Разработка метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

8. Разработка программных модулей.

Методы исследования базируются на теории вероятностей и математической статистики, теории распознавания образов, теории вычислительных систем и сетей.

Научная новизна заключается в следующем:

1. Определены частотные образы для представления особенностей в данных об интенсивностях телекоммуникационных потоков и разработан алгоритм их обнаружения в вейвлет-спектре сигнала.

2. Предложены математические модели оптимизации вычисления спектральных представлений (Фурье и Хартли), в том числе для сдвиговой последовательности;

3. Выполнено исследование областей достоверности и недостоверности на картине коэффициентов вейвлет-разложения в зависимости от длины анализируемой последовательности и выбранного вейвлета.

4. Предложены математические модели оптимизации вычисления спектрального представления, в том числе для сдвиговой последовательности, с учетом области достоверности коэффициентов разложения;

5. Предложен способ расчета доверительного пространства вейвлет-коэффициентов вне плоскости правдоподобия для возможности их обоснованного включения в дальнейший анализ с определенной степенью уверенности.

Практическая значимость работы заключается в разработке описательной модели системы обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик, в создании программных модулей для реализации ее этапов. Предложенные модели оптимизации спектральных и спектрально-временных алгоритмов имеют самостоятельную практическую значимость и могут найти применение в приложениях, предусматривающих работу со спектрами.

Выводы по главе 4

Итак, использование анализа частотных характеристик позволяет расширить возможности временного анализа, что делает процесс обнаружения аномалий более эффективным, повышая тем самым безопасность функционирования сетей.

Поскольку блоки спектрального и спектрально временного анализа относительно независимы, то они могут быть внедрены в существующие системы, расширяя их функциональность. Предложенные в главе 3 оптимизированные алгоритмы устраняют недостаток, связанный с повышенной сложностью спектральных и спектрально-временных преобразований, а определение возможностей и ограничений частотных представлений формирует базу для их использования в приложениях.

Заключение

В работе получены следующие основные теоретические и практические результаты:

1. Определены возможности, особенности и ограничения использования алгоритмов частотного разложения в области применения.

2. Разработана описательная модель метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.

3. Получены математические модели оптимизации алгоритмов спектрального анализа, в том числе сдвиговой последовательности;

4. Предложена схема вычисления спектрально-временного преобразования с дискретизированным изменением параметра сдвига и диадным изменением масштаба на основе быстрых алгоритмов диадного кратномасштабного анализа;

5. Получены математические модели оптимизации алгоритмов спектрально-временного анализа сдвиговой последовательности с учетом области достоверности коэффициентов разложения.

6. Выполнено уменьшение области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.

7. Сформирована теоретическая и практическая база для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.

8. Разработаны программные модули для реализации этапов метода.

Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения»; применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере по «Разработке способа и системы адаптивного управления передачей потоковых данных». Результаты работы использованы на кафедре Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО в рамках инженерной подготовки по специализациям «Математическое моделирование и прогнозирование чрезвычайных ситуаций» (230401.65.02) и «Математическое моделирование и прогнозирование информационных угроз» (090103.65), а также в рамках дисциплины специализации «Математическое моделирование и прогнозирование информационных угроз» (ДС.В.01) образовательной программы СПбГУ ИТМО. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».

Результаты диссертационной работы докладывались и обсуждались на 7-и всероссийских и международных конференциях и семинарах. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».

По теме диссертационной работы опубликовано 13 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из которых входят в перечень ведущих периодических изданий; 7 статей в трудах научных конференций.

1. Алексеев К.А. Вокруг форумов сайтов Exponenta.ru и Matlab.ru. MATLAB/Wavelet Toolbox // Полезные мелочи. URL: http://soft.mail.ru/journal/pdfVersions/1827119486114541.pdf.

2. Астафьева Н. Вейвлет анализ: основы теории и примеры применения // Успехи Физических Наук. 1996. - Т. 166, № 11. - С. 1145-1170.

3. Барков A.B., Баркова H.A. Вибрационная диагностика машин и оборудования. Анализ вибрации : учеб. пособие. СПб : Изд. центр СПбГМТУ, 2004.- 152 с.

4. Бендат Дж., Пирсол А. Применения корреляционного и спектрального анализа: Пер. с англ. М. : Мир, 1983. - 312 е., ил.

5. Бендат Дж., Пирсол А. Прикладной анализ случайных данных: Пер. с англ. М. : Мир, 1989. - 540 е., ил.

6. Бил Дж. Snort 2.1. Обнаружение вторжений. М. : Бином, 2006. - 656 с.

7. Бобров А. Системы обнаружения вторжений. URL: http://www.icmm.ru/~masich/win/lexion/ids/ids.html.

8. Бойцев О. Взлом и защита локальной сети. URL: http://www.winguard.ru/lansecure.php.

9. Брейсуэлл Р. Преобразование Хартли : Пер. с англ. М. : Мир, 1990. -170 е., ил.

10. Будько М.Б., Будько М.Ю. Определение источника широковещательного шторма на основе данных протокола SNMP // Конференция молодых ученых : информационные технологии : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2009. - № 6. - С. 153-157.

11. Будько М.Б., Будысо М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. 2007. - № 39, С. 319-323.

12. Будько М.Б., Будько М.Ю., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // XIV Всероссийской научно-методической конференции «Телематика'2007» : сб. науч. тр. 2007. -С. 430-432.

13. Будько М.Б. Повышение эффективности передачи речевых сигналов // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. 2006. -№25, С. 89-94.

14. Будько М.Б. Анализ структуры масштабируемого кодирования аудио // 10-я международной конференции «Теория и технология программирования и защиты информации» : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2006. - С. 130-133.

15. Быков С.Ф. Журавлев В.И., Шалимов И.А., Цифровая телефония, учебное пособие для ВУЗов. М. : Радио и связь, 2003.

16. Вегешна Ш. Качество обслуживания в IP-сетях. — М., СПб, Киев : Вильяме, 2003.

17. Витязев В.В. Вейвлет-анализ временных рядов : учебн. пособие. СПб : Изд-во СПбУ, 2001.-58 с.

18. Вопрос про вейвлеты : научный форум dxdy. URL: http://dxdy.ru/topic5772.html.

19. Воробьев В., Грибунин В. Теория и практика вейвлет-преобразования. -СПб : Издательство ВУС, 1999. 208 с.

20. Галягин Г., Фрик П. Адаптивные вейвлеты (алгоритм спектрального анализа сигналов с пробелами в данных) // Математическое моделирование систем и процессов. 1996. - № 6, С. 10.

21. Гольдштейн Б.С. Пинчук A.B., Суховицкий A.JI. IP-телефония. М. : Радио и связь, 2001.

22. Городецкий В.И., Котенко И.В., Карсаев О.В., Хабаров A.B. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах // ISINAS 2000 : сб. науч. тр. СПб, 2000.

23. Гриняев С. Системы обнаружения вторжений // BYTE Россия. 2001. -№ 10.

24. Гусев В.А., Короновский A.A., Храмов А.Е. Применение адаптивных вейвлетных базисов к анализу нелинейных систем // Письма в ЖТФ. -Саратов : Изд-во Государственного УНЦ «Колледж», 2003. Т. 29, Вып. 18. — С. 61.

25. Дабровски А., Дабровски Б., Пиотрович Р. Суточное мониторирование ЭКГ. М. : Медпрактика, 2000.

26. Давыдов A.B. Вейвлетные преобразования сигналов. Тема 1. Основы вейвлет-преобразования сигналов. URL: http://prodav.narod.ru/wavelet/index.html.

27. Давыдов A.B. Вейвлеты. Вейвлетный анализ сигналов : курс лекций. URL: http://prodav.narod.ru/wavelet/index.html.

28. Двораковская М. Программы для обеспечения безопасности // Компьютерная газета. URL: http://www.nestor.minsk.by/kg/2004/09/kg40915.html.

29. Добеши И. Десять лекций по вейвлетам : Пер. с англ. Ижевск : НИЦ «Регулярная и хаотическая динамика», 2001. - 464 с.

30. Дремин И., Иванов О., Нечитайло В. Вейвлеты и их использование // Успехи физических наук. 2001. - Т. 171, № 5. - С. 465-561.

31. Дрю X. Внутренний мир Microsoft TCP/IP : Пер. с англ. Киев: DiaSoft, 2000.

32. Кевин И. Сонг Азбука сетевой безопасности. 2004. URL: http://www.certification.ru/library/articlesdir/bigl67.html730.

33. Козлов П.В., Чен Б.Б. Вейвлет-преобразование и анализ временных рядов // Вестник КРСУ. 2002. - № 2.

34. Коноплев В.В., Бауман М.Н., Назиов P.P. Особенности трафика инфраструктурного мониторинга в системах ГРИД-компьютинга. URL: http://www.robyshoes.com/manual2350gen.html.

35. Консультационный центр Matlab компании Softline. URL: http://matlab.exponenta.ru/index.php (дата обращения: 10.06.2009).

36. Корниенко A.A., Слюсаренко И.М. Системы и методы обнаружения вторжений: современное состояние и направления совершенствования. -2009. URL: http://www.citforum.ru/security/internet/idsoverview/.

37. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ и его приложения. М. : Физматлит, 2003. - 196 с.

38. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ в приложениях к задаче нелинейной динамики. Саратов : Изд-во Государственного УНЦ «Колледж», 2002. - 216 с.

39. Кулешов А. Формирование признаков для классификации объектов полутоновых изображений по их контурному представлению // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4.-С. 95-106.

40. Лазоренко О.В., Лазоренко C.B., Черногор Л.Ф. Вейвлет-анализ модельных сигналов с особенностями. 1. Непрерывное вейвлет-преобразование // Радиофизика и радиоастрономия. 2007. - Т. 12, № 2. -С. 182-204.

41. Левкович-Маслюк Л., Переберин А. Два курса по вейвлет-анализу. URL: http://algolist.manual.ru/compress/image/leolev/index-1 .php.

42. Малоземов В., Певный А., Третьяков А. Быстрое вейвлетное преобразование дискретных периодических сигналов и изображений // Проблемы передачи информации. 1998. - Т. 34, № 5. - С. 465-561.

43. Мачнев А., Селиханович А. Алгоритмы вычисления контуров на полутоновых изображениях // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4. - С. 53-58.

44. Минами С. Обработка экспериментальных данных с использованием компьютера. М. : Радио и связь, 1999.

45. Минько A.A. Статистический анализ в MS Excel. М. : Вильяме, 2004. -448 е., ил.

46. Новиков JI. Адаптивный вейвлет-анализ сигналов // Научное приборостроение. 1998. - Т. 9, № 2. - С. 35.

47. Обзор систем обнаружения вторжений. URL: http://www.metclad.ru/pat-a-587-list/.

48. Обнаружение аномалий. URL: http://ru.wikipedia.org/wiki/.

49. Отнес Р., Эноксон JI. Прикладной анализ временных рядов. Основные методы : Пер. с англ. М. : Мир, 1982. - 429 с.

50. Пауэр Р. Эксперты дискутируют о настоящем и будущем систем обнаружения атак : Пер. Лукацкого А. // Computer Security Journal. -2002. Vol. XIV, № 1.

51. Переберин A.B. О систематизации вейвлет-преобразования // Вычислительные методы и программирование. 2001. - Т.2. - С. 15-40.

52. Петухов А.П. Введение в теорию базисов всплесков. СПб : Изд-во СПбГТУ, 1999.

53. Поликар Р. Введение в вейвлет-преобразование : Пер. Грибунина В.Г. URL: http://www.autex.spb.ru/wavelet/books.htm

54. Половко A.M., Бутусов П.Н. Matlab для студента. СПб : БВХ-Петербург, 2005. - 320 е., ил.