Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Будько, Марина Борисовна
- Специальность ВАК РФ05.13.19
- Количество страниц 140
Оглавление диссертации кандидат технических наук Будько, Марина Борисовна
Список сокращений.
Введение.
Глава 1. Исследование систем обнаружения вторжений.
1.1. Системы обнаружения вторжений и их место в задачах обеспечения безопасности.
1.2. Обоснование подхода к формированию системы обнаружения аномалий на основе анализа интенсивностей потоков данных в сети.
1.3. Основы спектрального анализа.
1.4. Основы спектрально-временного анализа.
Выводы по главе 1.
Глава 2. Этапы формирования метода обнаружения аномалий телекоммуникационных данных.
2.1. Общая структура метода.
2.2. Содержание этапов.
Этап накопления и отбора информации.
Этап анализа готовых наборов.
Этап обнаружения аномалий в потоках данных.
Выводы по главе 2.
Глава 3. Оптимизация спектральных и спектрально-временных алгоритмов и представлений.
3.1. Оптимизация спектрального преобразования.
Математические модели оптимизации кратковременных ДПФ и ДПХ при сдвиге последовательности.
Теоретический расчет вычислительной сложности преобразований.
Результаты применения.
32. Оптимизация спектрально-временного преобразования.
Определение видов углов влияния и достоверности на картине вейвлет-коэффициентов дискретного, дискретного диадного и дискретизированного представлений.
Выполнение дискретизированного по времени и диадного по масштабам разложения на основе быстрого алгоритма диадного кратномасштабного анализа.
Математические модели оптимизации спектрально-временного разложения при сдвиге последовательности.
Формирование доверительного пространства вейвлет-коэффициентов
Выводы по главе 3.
Глава 4. Реализация метода обнаружения аномалий телекоммуникационных данных.
Выводы по главе 4.
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Исследование и разработка математических моделей и численных алгоритмов для решения задач обнаружения аномалий при обработке геохимических данных2003 год, кандидат технических наук Мандрикова, Оксана Викторовна
Разработка методов и алгоритмов модулярной фильтрации для задач распознавания и классификации образов2006 год, кандидат физико-математических наук Дьяченко, Игорь Васильевич
Алгоритмы и комплекс программ оценивания параметров многокомпонентного вибрационного сигнала2013 год, кандидат технических наук Клионский, Дмитрий Михайлович
Разработка спектральных методов компрессии триангуляционных моделей на основе дискретного вейвлет-преобразования2005 год, кандидат технических наук Земцов, Андрей Николаевич
Идентификация музыкальных объектов на основе непрерывного вейвлет-преобразования2008 год, кандидат технических наук Фадеев, Александр Сергеевич
Введение диссертации (часть автореферата) на тему «Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа»
Большинство существующих сетей связи имеют достаточно развитую по охвату и содержанию инфраструктуру в виду доступности для специализирующихся в области телекоммуникаций компаний высокотехнологичных средств. Поэтому для поддержания конкурентоспособности многие уже сейчас строят свою политику на развитии новых сервисов: от предоставления дополнительных пользовательских услуг до внедрения уникальных инновационных механизмов обеспечения защиты информации и информационной безопасности.
Несмотря на свою значимость, сервисы, обеспечивающие стабильность функционирования сети, уступают по темпам развития другим нововведениям, поддерживаемым высоким пользовательским спросом.
Активное использование в настоящее время распределенных систем связи приводит к необходимости уделять внимание вопросам безопасности.
Особое место в реализации политики безопасности организации занимают системы обнаружения вторжений (происшествий с безопасностью) (СОВ), которые могут как выполнять функцию обратной связи, контролируя эффективность компонент системы безопасности, т.е. являться дополнением к существующему комплексу средств защиты, так и представлять собой самостоятельный продукт.
Внедрение многих СОВ, как и комплексных систем безопасности, сдерживается рядом факторов, таких как единовременные капиталовложения, необходимость компетентной установки, настройки, поддержки и т.д. В таких компаниях, как правило, функция слежения за работой сети возлагается на администратора. В таком случае результат зависит от человеческого фактора, включающего опыт, интуицию, ответственность, работоспособность и т.п. Следует отметить, что практически в каждой компании, имеющей в распоряжении распределенную сеть, установлены средства сбора статистических данных о загрузке интерфейсов сетевого оборудования. Таким образом, закономерным шагом к автоматизации процесса выявления нештатных ситуаций, является внедрение доступного и, можно сказать, универсального средства, анализирующего интенсивности потоков данных в поиске необычных и подозрительных событий или тенденций, которое можно отнести к подклассу СОВ.
При этом может использоваться как сигнатурный метод, так и метод описательной статистики.
Математически обоснованными видами анализа временных рядов являются исследования сигнала на основе временных, спектральных и интенсивно развивающихся последнее с небольшим десятилетие спектрально-временных алгоритмов.
Анализ во временной области основывается на методах математической статистики и его возможности весьма обширны. Но следует отметить, что исследуемому телекоммуникационному сигналу свойственно «выраженное колебательное поведение» ввиду особенностей его формирования. Хотя в методах временного анализа существуют подходы для описания такого рода сигналов, наиболее подходящими для исследования колебательного процесса являются методы спектрального и спектрально-временного анализа. Частотные представления являются более информативными и позволяют расширить возможности существующих систем обнаружения аномалий, но требуют больших размерностей для представления результатов и имеют большую вычислительную сложность алгоритмов, что сдерживает их применение и развитие в прикладных задачах. Следовательно, является актуальной разработка метода обнаружения аномалий в интенсивностях потоков данных на основе алгоритмов анализа частотных составляющих, оптимизированных по вычислительной нагрузке.
Целью работы является разработка повышающего безопасность функционирования сети метода обнаружения аномалий в данных о загрузке интерфейсов телекоммуникационного оборудования на основе анализа частотных характеристик; оптимизация по вычислительной нагрузке формирующих метод сдвиговых спектральных и спектрально-временных алгоритмов с получением математических моделей оптимизации и исследование особенностей и ограничений использования частотного представления в рассматриваемом приложении.
Задачи исследований включают:
1. Исследование спектральных и спектрально-временных алгоритмов анализа и представления временных рядов, в том числе определение особенностей и ограничений их использования в области применения.
2. Исследование алгоритмов спектрального разложения, в том числе с учетом сдвигов анализируемой последовательности, с предложением математической модели оптимизации вычислений;
3. Исследование формирования областей влияния и достоверности картины вейвлет-коэффициентов при реализации алгоритмов спектрально-временного анализа;
4. Предложение математической модели оптимизации алгоритмов спектрально-временного разложения, в том числе с учетом сдвигов анализируемой последовательности и области достоверности коэффициентов разложения.
5. Предложение способа уменьшения области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.
6. Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.
7. Разработка метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.
8. Разработка программных модулей.
Методы исследования базируются на теории вероятностей и математической статистики, теории распознавания образов, теории вычислительных систем и сетей.
Научная новизна заключается в следующем:
1. Определены частотные образы для представления особенностей в данных об интенсивностях телекоммуникационных потоков и разработан алгоритм их обнаружения в вейвлет-спектре сигнала.
2. Предложены математические модели оптимизации вычисления спектральных представлений (Фурье и Хартли), в том числе для сдвиговой последовательности;
3. Выполнено исследование областей достоверности и недостоверности на картине коэффициентов вейвлет-разложения в зависимости от длины анализируемой последовательности и выбранного вейвлета.
4. Предложены математические модели оптимизации вычисления спектрального представления, в том числе для сдвиговой последовательности, с учетом области достоверности коэффициентов разложения;
5. Предложен способ расчета доверительного пространства вейвлет-коэффициентов вне плоскости правдоподобия для возможности их обоснованного включения в дальнейший анализ с определенной степенью уверенности.
Практическая значимость работы заключается в разработке описательной модели системы обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик, в создании программных модулей для реализации ее этапов. Предложенные модели оптимизации спектральных и спектрально-временных алгоритмов имеют самостоятельную практическую значимость и могут найти применение в приложениях, предусматривающих работу со спектрами.
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Статистический мониторинг и анализ телекоммуникационных сетей2007 год, доктор технических наук Скуратов, Алексей Константинович
Разработка и исследование методики вычисления гравиметрической высоты квазигеоида и составляющих уклонения отвеса на основе вейвлет-преобразования2011 год, кандидат технических наук Лапшин, Алексей Юрьевич
Разработка методики выявления аномалий трафика в магистральных интернет-каналах2007 год, кандидат технических наук Афонцев, Эдуард Вячеславович
Интерпретация данных сейсморазведки 3D на основе спектральной декомпозиции и нелинейных зависимостей динамических атрибутов с целью прогноза нефте-газонасыщенных коллекторов2012 год, кандидат технических наук Никульников, Алексей Юрьевич
Обработка изображений двумерными нерекурсивными цифровыми фильтрами2010 год, доктор технических наук Приоров, Андрей Леонидович
Заключение диссертации по теме «Методы и системы защиты информации, информационная безопасность», Будько, Марина Борисовна
Выводы по главе 4
Итак, использование анализа частотных характеристик позволяет расширить возможности временного анализа, что делает процесс обнаружения аномалий более эффективным, повышая тем самым безопасность функционирования сетей.
Поскольку блоки спектрального и спектрально временного анализа относительно независимы, то они могут быть внедрены в существующие системы, расширяя их функциональность. Предложенные в главе 3 оптимизированные алгоритмы устраняют недостаток, связанный с повышенной сложностью спектральных и спектрально-временных преобразований, а определение возможностей и ограничений частотных представлений формирует базу для их использования в приложениях.
Заключение
В работе получены следующие основные теоретические и практические результаты:
1. Определены возможности, особенности и ограничения использования алгоритмов частотного разложения в области применения.
2. Разработана описательная модель метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.
3. Получены математические модели оптимизации алгоритмов спектрального анализа, в том числе сдвиговой последовательности;
4. Предложена схема вычисления спектрально-временного преобразования с дискретизированным изменением параметра сдвига и диадным изменением масштаба на основе быстрых алгоритмов диадного кратномасштабного анализа;
5. Получены математические модели оптимизации алгоритмов спектрально-временного анализа сдвиговой последовательности с учетом области достоверности коэффициентов разложения.
6. Выполнено уменьшение области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.
7. Сформирована теоретическая и практическая база для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.
8. Разработаны программные модули для реализации этапов метода.
Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения»; применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере по «Разработке способа и системы адаптивного управления передачей потоковых данных». Результаты работы использованы на кафедре Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО в рамках инженерной подготовки по специализациям «Математическое моделирование и прогнозирование чрезвычайных ситуаций» (230401.65.02) и «Математическое моделирование и прогнозирование информационных угроз» (090103.65), а также в рамках дисциплины специализации «Математическое моделирование и прогнозирование информационных угроз» (ДС.В.01) образовательной программы СПбГУ ИТМО. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».
Результаты диссертационной работы докладывались и обсуждались на 7-и всероссийских и международных конференциях и семинарах. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».
По теме диссертационной работы опубликовано 13 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из которых входят в перечень ведущих периодических изданий; 7 статей в трудах научных конференций.
Список литературы диссертационного исследования кандидат технических наук Будько, Марина Борисовна, 2009 год
1. Алексеев К.А. Вокруг форумов сайтов Exponenta.ru и Matlab.ru. MATLAB/Wavelet Toolbox // Полезные мелочи. URL: http://soft.mail.ru/journal/pdfVersions/1827119486114541.pdf.
2. Астафьева Н. Вейвлет анализ: основы теории и примеры применения // Успехи Физических Наук. 1996. - Т. 166, № 11. - С. 1145-1170.
3. Барков A.B., Баркова H.A. Вибрационная диагностика машин и оборудования. Анализ вибрации : учеб. пособие. СПб : Изд. центр СПбГМТУ, 2004.- 152 с.
4. Бендат Дж., Пирсол А. Применения корреляционного и спектрального анализа: Пер. с англ. М. : Мир, 1983. - 312 е., ил.
5. Бендат Дж., Пирсол А. Прикладной анализ случайных данных: Пер. с англ. М. : Мир, 1989. - 540 е., ил.
6. Бил Дж. Snort 2.1. Обнаружение вторжений. М. : Бином, 2006. - 656 с.
7. Бобров А. Системы обнаружения вторжений. URL: http://www.icmm.ru/~masich/win/lexion/ids/ids.html.
8. Бойцев О. Взлом и защита локальной сети. URL: http://www.winguard.ru/lansecure.php.
9. Брейсуэлл Р. Преобразование Хартли : Пер. с англ. М. : Мир, 1990. -170 е., ил.
10. Будько М.Б., Будько М.Ю. Определение источника широковещательного шторма на основе данных протокола SNMP // Конференция молодых ученых : информационные технологии : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2009. - № 6. - С. 153-157.
11. Будько М.Б., Будысо М.Ю., Гирик A.B. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Научно-технический вестник СПбГУ ИТМО. 2007. - № 39, С. 319-323.
12. Будько М.Б., Будько М.Ю., Гирик A.B. Комплексный подход к управлению передачей потоковых данных // XIV Всероссийской научно-методической конференции «Телематика'2007» : сб. науч. тр. 2007. -С. 430-432.
13. Будько М.Б. Повышение эффективности передачи речевых сигналов // Научно-технический вестник Санкт-Петербургского государственного университета информационных технологий, механики и оптики. 2006. -№25, С. 89-94.
14. Будько М.Б. Анализ структуры масштабируемого кодирования аудио // 10-я международной конференции «Теория и технология программирования и защиты информации» : сб. науч. тр. СПб : Изд-во СПбГУ ИТМО, 2006. - С. 130-133.
15. Быков С.Ф. Журавлев В.И., Шалимов И.А., Цифровая телефония, учебное пособие для ВУЗов. М. : Радио и связь, 2003.
16. Вегешна Ш. Качество обслуживания в IP-сетях. — М., СПб, Киев : Вильяме, 2003.
17. Витязев В.В. Вейвлет-анализ временных рядов : учебн. пособие. СПб : Изд-во СПбУ, 2001.-58 с.
18. Вопрос про вейвлеты : научный форум dxdy. URL: http://dxdy.ru/topic5772.html.
19. Воробьев В., Грибунин В. Теория и практика вейвлет-преобразования. -СПб : Издательство ВУС, 1999. 208 с.
20. Галягин Г., Фрик П. Адаптивные вейвлеты (алгоритм спектрального анализа сигналов с пробелами в данных) // Математическое моделирование систем и процессов. 1996. - № 6, С. 10.
21. Гольдштейн Б.С. Пинчук A.B., Суховицкий A.JI. IP-телефония. М. : Радио и связь, 2001.
22. Городецкий В.И., Котенко И.В., Карсаев О.В., Хабаров A.B. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах // ISINAS 2000 : сб. науч. тр. СПб, 2000.
23. Гриняев С. Системы обнаружения вторжений // BYTE Россия. 2001. -№ 10.
24. Гусев В.А., Короновский A.A., Храмов А.Е. Применение адаптивных вейвлетных базисов к анализу нелинейных систем // Письма в ЖТФ. -Саратов : Изд-во Государственного УНЦ «Колледж», 2003. Т. 29, Вып. 18. — С. 61.
25. Дабровски А., Дабровски Б., Пиотрович Р. Суточное мониторирование ЭКГ. М. : Медпрактика, 2000.
26. Давыдов A.B. Вейвлетные преобразования сигналов. Тема 1. Основы вейвлет-преобразования сигналов. URL: http://prodav.narod.ru/wavelet/index.html.
27. Давыдов A.B. Вейвлеты. Вейвлетный анализ сигналов : курс лекций. URL: http://prodav.narod.ru/wavelet/index.html.
28. Двораковская М. Программы для обеспечения безопасности // Компьютерная газета. URL: http://www.nestor.minsk.by/kg/2004/09/kg40915.html.
29. Добеши И. Десять лекций по вейвлетам : Пер. с англ. Ижевск : НИЦ «Регулярная и хаотическая динамика», 2001. - 464 с.
30. Дремин И., Иванов О., Нечитайло В. Вейвлеты и их использование // Успехи физических наук. 2001. - Т. 171, № 5. - С. 465-561.
31. Дрю X. Внутренний мир Microsoft TCP/IP : Пер. с англ. Киев: DiaSoft, 2000.
32. Кевин И. Сонг Азбука сетевой безопасности. 2004. URL: http://www.certification.ru/library/articlesdir/bigl67.html730.
33. Козлов П.В., Чен Б.Б. Вейвлет-преобразование и анализ временных рядов // Вестник КРСУ. 2002. - № 2.
34. Коноплев В.В., Бауман М.Н., Назиов P.P. Особенности трафика инфраструктурного мониторинга в системах ГРИД-компьютинга. URL: http://www.robyshoes.com/manual2350gen.html.
35. Консультационный центр Matlab компании Softline. URL: http://matlab.exponenta.ru/index.php (дата обращения: 10.06.2009).
36. Корниенко A.A., Слюсаренко И.М. Системы и методы обнаружения вторжений: современное состояние и направления совершенствования. -2009. URL: http://www.citforum.ru/security/internet/idsoverview/.
37. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ и его приложения. М. : Физматлит, 2003. - 196 с.
38. Короновский A.A., Храмов А.Е. Непрерывный вейвлетный анализ в приложениях к задаче нелинейной динамики. Саратов : Изд-во Государственного УНЦ «Колледж», 2002. - 216 с.
39. Кулешов А. Формирование признаков для классификации объектов полутоновых изображений по их контурному представлению // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4.-С. 95-106.
40. Лазоренко О.В., Лазоренко C.B., Черногор Л.Ф. Вейвлет-анализ модельных сигналов с особенностями. 1. Непрерывное вейвлет-преобразование // Радиофизика и радиоастрономия. 2007. - Т. 12, № 2. -С. 182-204.
41. Левкович-Маслюк Л., Переберин А. Два курса по вейвлет-анализу. URL: http://algolist.manual.ru/compress/image/leolev/index-1 .php.
42. Малоземов В., Певный А., Третьяков А. Быстрое вейвлетное преобразование дискретных периодических сигналов и изображений // Проблемы передачи информации. 1998. - Т. 34, № 5. - С. 465-561.
43. Мачнев А., Селиханович А. Алгоритмы вычисления контуров на полутоновых изображениях // Цифровая обработка изображений : сб. науч. тр. Минск, 2000. - Вып. 4. - С. 53-58.
44. Минами С. Обработка экспериментальных данных с использованием компьютера. М. : Радио и связь, 1999.
45. Минько A.A. Статистический анализ в MS Excel. М. : Вильяме, 2004. -448 е., ил.
46. Новиков JI. Адаптивный вейвлет-анализ сигналов // Научное приборостроение. 1998. - Т. 9, № 2. - С. 35.
47. Обзор систем обнаружения вторжений. URL: http://www.metclad.ru/pat-a-587-list/.
48. Обнаружение аномалий. URL: http://ru.wikipedia.org/wiki/.
49. Отнес Р., Эноксон JI. Прикладной анализ временных рядов. Основные методы : Пер. с англ. М. : Мир, 1982. - 429 с.
50. Пауэр Р. Эксперты дискутируют о настоящем и будущем систем обнаружения атак : Пер. Лукацкого А. // Computer Security Journal. -2002. Vol. XIV, № 1.
51. Переберин A.B. О систематизации вейвлет-преобразования // Вычислительные методы и программирование. 2001. - Т.2. - С. 15-40.
52. Петухов А.П. Введение в теорию базисов всплесков. СПб : Изд-во СПбГТУ, 1999.
53. Поликар Р. Введение в вейвлет-преобразование : Пер. Грибунина В.Г. URL: http://www.autex.spb.ru/wavelet/books.htm
54. Половко A.M., Бутусов П.Н. Matlab для студента. СПб : БВХ-Петербург, 2005. - 320 е., ил.
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.