Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
Складні суспільно-історичні умови розвитку української літератури ХХ ст., основні стильові напрями (модернізм, cоцреалізм, постмодернізм). Українська...полностью>>
'Урок'
Ещё в 1910 году И.П.Сахаров в предисловии к книге “Забавная арифметика” писал: “Человек-разумный” – есть в первую очередь человек играющий, а поэтому ...полностью>>
'Лекции'
[08.0 ] Структура, содержание и инструментарий финансового менеджмента....полностью>>
'Документ'
Общая характеристика ценных бумаг: банковской сберегательной книжки на предъявителя, приватизационной ценной бумаги, жилищного сертификата, закладной...полностью>>

1 Общее описание моделей дс потоков

Главная > Документ
Сохрани ссылку в одной из сетей:

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Институт математики и компьютерных наук

Кафедра информационной безопасности

Допустить к защите в ГАК
Заведующий кафедрой
информационной безопасности,
д.т.н., профессор А.А. Захаров

“____” _________ 2010 г.

Присяжнюк Александр Сергеевич

Создание адаптивного алгоритма выявления аномального поведения трафика сети на основании характерных изменений оценок параметров альтернирующего потока

(выпускная квалификационная работа)

Научный руководитель:

к.ф.- м.н., доцент кафедры информационной безопасности

__________ Ниссенбаум О. В.

Автор работы:

__________ Присяжнюк А.С.

Тюмень 2010

Глава 1. 7

Актуальные математические модели трафика компьютерной сети 7

1.1. Состояние проблемы. 7

1.2. Общее описание моделей ДС потоков. 9

1.3. Модель асинхронного альтернирующего потока событий. 12

Глава 2. 15

Построение алгоритма 15

2.1. Основная идея алгоритма. 15

2.2. Статистика сетевой активности 17

2.2.1 Сбор статистики. 18

2.2.2. Приложение для сбора и анализа статистики. 19

2.3. Получение оценок параметров. 22

2.4. Сглаживание оценок. 22

2.4.1. Подходы к сглаживанию данных. 24

2.4.2. Вейвлет-анализ и его применение. 24

2.4.3. Сглаживание экспериментальных данных. 28

2.5 Стратификация данных. 31

Одним из наиболее простых и эффективных статистических методов анализа данных является метод стратификации (очень широко используется в социологии). В соответствии с этим методом производят стратификацию статистических данных, то есть группируют данные в зависимости от условий их получения и производят обработку каждой группы данных в отдельности. Данные, разделенные на группы в соответствии с их особенностями, называют стратами (классами), а сам процесс разделения на страты – стратификацией. 31

2.6 Нейронные сети. 31

2.7 Перспективы дальнейших исследований. 33

Список литературы. 35

Приложение. Исходные коды. 37

Введение.

С тех пор, как распространение компьютеров приобрело массовый характер, они стали настолько неотъемлемой частью жизни человека, что сегодня совершенно невозможно представить существование без них. Компьютерные системы и сети стали неотъемлемым атрибутом комфорта жизни человека, таким как электричество и водоснабжение. Поэтому, несмотря на то, что существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем, на сегодняшний день, эта проблема является достаточно актуальной. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Но существует и другой принцип – статистический, при котором предварительно собираются статистические параметры активности пользователя в сети. Затем, на основании этих оценок выявляется аномальная активность. Для получения этих параметров необходимо построить математическую модель сетевого трафика.

Еще в начале ХХ века датский ученный А. К. Эрланг, установил, что процессы, происходящие в телефонных сетях, а конкретно, в потоке входящих звонков, имеют вероятностный характер [1]. Методы, примененные Эрлангом – теория вероятностей и математическая статистика, математическое моделирование, теория случайных процессов – до сих пор являются основным инструментарием теории массового обслуживания (ТМО). Позже выяснилось, что теория массового обслуживания применима не только к процессам обработки телефонного трафика, но и ко многим другим областям науки и техники, в частности, модель сетевого взаимодействия в компьютерных системах может успешно быть описана с помощью ТМО [2].

В основном, в работах по системам массового обслуживания, делается упор на нахождение различных стационарных характеристик системы обслуживания в условиях известных параметров входящих потоков и обслуживающих приборов. В реальности они могут быть известны лишь частично или неизвестны совсем. Обычно, такие входящие потоки событий имеют переменную интенсивность, и изменение интенсивности, как правило, стохастическое. Такие потоки называются дважды стохастическими. Так как в них наблюдаются два случайных процесса: во-первых, поступление событий в потоке происходит в случайные моменты времени; во-вторых, изменение интенсивности потока имеет случайный характер. Сама интенсивность может изменяться непрерывно или дискретно.

Среди ДС потоков с дискретной интенсивностью выделяют потоки с двумя состояниями, в одном из которых имеет место нулевая интенсивность (т.е. в одном из состояний события отсутствуют). Такие потоки называют альтернирующими. Такие потоки, подходят для описания сетевой активности пользователей в компьютерных сетях. Модель альтернирующего потока событий является простейшей среди дважды стохастических потоков и в то же время должна более точно отражать реальную ситуацию чем пуассоновская (простейшая модель потока с постоянной интенсивностью).

Актуальность проблемы.

На сегодняшний день существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем. Существует два основных метода выявления информационных угроз – сигнатурный и статистический. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Статистический же принцип используется крайне редко, в том числе по причине того, что использующиеся модели случайных потоков, такие как пуассоновский, слабо соответствуют реальному трафику сети. В тоже время, последние 30 лет ведутся активные исследования моделей потоков с переменной интенсивностью, которые более точно соответствуют реальному трафику компьютерной сети. В свете сказанного, представляется актуальным исследование вопросов обнаружения угроз в сети в рамках статистического метода, на основании актуальных моделей сетевого трафика.

Цель работы.

Целью моей работы является создание адаптивного алгоритма выявления аномального поведения трафика в компьютерной сети на основе статистических данных с использование модели альтернирующего потока.

Постановка задачи.

Задачи, поставленные и решённые в рамках данной работы:

  • Изучение существующих моделей дважды стохастических потоков, в частности, альтернирующего потока.

  • Разработка общей идеи алгоритма.

  • Сбор статистики сетевой активности пользователей локальной сети.

  • Применение модели альтернирующего потока к собранной статистике, оценка параметров потока.

  • Анализ динамики полученных параметров альтернирующего потока.

  • Исследование возможных методов выявления аномальной активности в сети.

Глава 1.

Актуальные математические модели трафика компьютерной сети

1.1. Состояние проблемы.

Развитие теории массового обслуживания, с помощью которой, возможно успешно описать модель сетевого трафика, насчитывает очень длительный период времени. Первые работы в этой области были опубликованы датским ученым А.К. Эрлангом в 1908-1922 годах [1]. Эти работы уже тогда определили основную область применения новой теории - обслуживание телетрафика.

Весомый вклад в развитие ТМО внесли такие ученые как В. Феллер, Д. Кенделл, А.Я. Хинчин и др. [3, 4]. В частности, один из основных методов теории - метод вложенных цепей Маркова - был разработан А.Я. Хинчиным [5] в начале 30-х гг.

Входящие потоки событий в системах массового обслуживания (СМО), рассмотренных в тот период времени, аппроксимировались одной из трех моделей: регулярный поток (системы с таким потоком относятся к детерминированным и рассматриваются в теории оптимизации как системы конвейерного типа), простейший (пуассоновский) поток и эрланговский (поток, полученный из пуассоновского путем разрежения) поток событий. При этом особое внимание уделяется системам с простейшим входящим потоком, тем более что СМО с входящим потоком Эрланга можно моделировать системой с входящим пуассоновским потоком.

В шестидесятые годы появились первые работы в области так называемых управляемых СМО [6, 7]. Исключительная актуальность оптимизационных задач, приведших к возникновению таких систем, объясняет дальнейшее бурное развитие этой тематики. Широта области применения управляемых систем и разнообразие задач, которые оказалось возможным решить с их помощью, повлекли более тщательную разработку этого направления. Ставились и решались все более частные задачи.

Несмотря на довольно широкую область применения ТМО, главными областями использования теории являются автоматизированные системы управления (АСУ) и сети связи, в том числе компьютерные сети. Наиболее сложные модели систем массового обслуживания создаются и исследуются именно для этих двух областей.

До середины 80-х годов относительная простота систем связи, изолированность разных видов связи друг от друга, низкая пропускная способность каналов, их дороговизна и, следовательно, высокая их загруженность приводили к тому, что для входящих потоков заявок использовались все те же относительно простые модели, что и во времена К.А. Эрланга - простейший поток. Реже - регулярный и эрланговский потоки. Усложнение структуры информационных систем, интеграция различных систем связи, разнообразие программного и аппаратного обеспечения, протоколов передачи информации приводят к тому, что теория, существовавшая до 80-х годов, во многом становится непригодной для анализа случайных процессов, существующих в современных сетях связи. В то же время, ТМО предлагает надежные, хорошо изученные общие математические методы теории вероятностей для детального анализа таких систем.

1.2. Общее описание моделей ДС потоков.

Модель пуассоновского потока соответствует реальному трафику компьютерной сети только на сравнительно небольших отрезках времени, так как интенсивность трафика, как правило, меняется со временем. Вообще, загрузка сетей связи зависит от многих факторов. Она может изменяться как циклически в течение суток (недели, года), так и в зависимости от того, какие компьютерные приложения в данный момент используют сеть. С одной стороны, локальная сеть организации загружена больше днем, чем ночью, с другой стороны сеть используется по-разному различными пользователями. В частности, можно различить сетевую активность делопроизводителя, который работает с электронными документами и пользуется сетью только для их отправки и получения данных, и системного администратора, на чей компьютер постоянно поступают данные о состоянии компьютеров и сетевых устройств офиса. Трафик первого пользователя представляет собой чередование долгих периодов "молчания" и кратковременных периодов, когда пакеты информации следуют один за другим. Трафик второго пользователя более равномерен. Однако, и в том и в другом случае имеется дело с потоками переменной интенсивности, причем изменения интенсивности таких потоков, как правило, носят стохастический характер. Такие потоки принято называть дважды стохастическими.

Такая случайная зависимость интенсивности входящих потоков от времени на практике встречается чаще, чем постоянная интенсивность, поэтому модели дважды стохастических потоков представляют определенный интерес с точки зрения практических приложений.

Интенсивность дважды стохастического потока является случайным процессом. В зависимости от характера этого процесса выделяют два больших класса таких потоков: 1) потоки, интенсивность которых является непрерывным (диффузионным) процессом; 2) потоки, интенсивность которых является кусочно-постоянным процессом.

Рис.1. Изменение интенсивности дважды стохастического потока событий а) с непрерывно изменяемой интенсивностью; б) с кусочно-постоянной интенсивностью.

Потоки, интенсивность которых есть кусочно-постоянный процесс, в свою очередь, подразделяются на потоки с конечным числом состояний (с конечным числом значений, которое может принять процесс) и потоки со счетным числом состояний. Смена состояний происходит в случайные моменты времени, а на интервалах постоянства интенсивности поток ведет себя как простейший. Такие потоки наиболее пригодны для описания реальных потоков в сетях связи и цифровых сетях интегрального обслуживания. А также выделяют потоки с двумя состояниями, одно из которых соответствует нулевой интенсивности. Такие потоки называют альтернирующими.

Проводя наиболее общую классификацию альтернирующих потоков, выделяют следующие основные типы потоков: 1) асинхронные потоки событий, то есть потоки, изменение интенсивности которых происходит в случайные моменты времени, не связанные с моментами наступления событий; 2) полусинхронные потоки событий, то есть потоки, у которых переход из второго состояния в первое происходит в моменты наступления событий, а из первого во второе - независимо от моментов наступления событий.

Альтернирующие потоки, асинхронные и полусинхронные, могут являться моделями потоков, поступающих в общую сеть с одного источника. Например, источник может отправлять информацию на обслуживающий прибор порциями по мере ее накопления, что сформирует полусинхронный поток с двумя состояниями от источника (либо информация пересылается с максимальной интенсивностью, либо не пересылается вовсе, начало и конец окон передачи информации совпадают с моментами пересылки первого и последнего пакетов в "порции"). Если же интервалы времени, когда источник может проводить передачу, определяет обслуживающее или иное устройство, исходя из загруженности сети или сервера, то имеем асинхронный поток с двумя состояниями. В цифровых сетях, в частности, в компьютерных сетях, такими моделями может быть аппроксимирован трафик, исходящий от определенного порта компьютера (браузерный Интернет-трафик, трафик почтового сервиса, файловый трафик и т.п.). Для таких моделей были решены задачи оценивания состояний и параметров [8, 9, 10, 11].

Следует отметить, что характеристики потока, исходящего от одного источника, являются важными в свете некоторых практических задач. Например, поток исходящих информационных пакетов по какому-либо виду трафика в компьютерной сети характеризуется набором параметров потока, а значит, оценив эти параметры, можно составить определенный "портрет" источника, который, в свою очередь, может быть использован при анализе безопасности трафика на предмет выявления аномальной активности (вызванной, например, деятельностью сетевого вируса).

В то же время, не только в научной, но и в учебной и популярной литературе по информационным сетям всё чаще упоминаются вопросы разработки теоретических положений и необходимость научно обоснованных технических решений, обеспечивающих эффективность и повышение качества администрирования информационных сетей на основе исследования циркулирующих в них потоков.

На данный момент проведено достаточно большое количество исследований дважды стохастических потоков событий с точки зрения задач определения характеристик СМО, оценивания параметров и состояний потока. Также часто в литературе решается задача оптимального оценивания состояний дважды стохастического потока событий [8, 9, 10].

Таким образом, развитие телекоммуникационных сетей, информационных технологий, интегрирование различных видов связи, вычислительных систем и сетей породило множество задач по моделированию и анализу обслуживания информационных потоков, циркулирующих в сетях. В частности, такие информационные потоки достаточно адекватно описываются моделями дважды стохастических потоков событий [12, 13].

1.3. Модель асинхронного альтернирующего потока событий.

Для оценки параметров рассматривался трафик в реальной компьютерной сети. Каждый пакет данных рассматривался как событие потока. Материалом для оценки служили интервалы между соседними пакетами.

Модель альтернирующего потока событий, является простейшей среди дважды стохастических потоков и в то же время должна более точно отражать реальную ситуацию, чем пуассоновская. Тем более уже были успешные попытки применения модели альтернирующего потока к компьютерным сетям [14].

Опишем более подробно данную модель.

Рассматривается асинхронный альтернирующий поток событий, интенсивность которого есть кусочно-постоянный стационарный случайный процесс λ(t) с двумя состояниями λ1 = λ и λ2 = 0. В течении временного интервала, когда процесс λ(t) находится в первом состоянии, поток событий представляет собой пуассоновский поток с интенсивностью λ. Во втором состоянии процесса, поток событий отсутствует.

Моменты перехода процесса из состояния в состояние не связаны с моментами наступления событий в пуассоновском потоке, поэтому, во-первых поток называется асинхронным потоком событий и, во-вторых, так как λ2 = 0 – альтернирующим. Длительность нахождения процесса в i-ом состоянии является случайной величиной, распределённой по закону с параметром , i=1,2. Стохастический граф переходов такого случайного процесса λ(t) представлен на рисунке 2.

Рис. 2. Граф переходов случайного процесса λ(t).

Этот граф имеет две вершины. Вершина 1 соответствует первому состоянию, вершина 2 – второму состоянию процесса. Каждая дуга имеет вес, равный интенсивности перехода из одного состояния в другое. Петли в вершинах опущены.

Рис.3. Альтернирующий поток.

Плотность распределения интервала между соседними событиями в альтернирующем потоке есть

, (1)

где ; .

Оценки параметров λ, α1 , α2 по наблюдениям за потоком методом моментов могут быть получены по следующим формулам:

; ; , (2)

Где , ,

,

.

В (2) константы , , суть первые 3 начальных момента .

Результаты статистического эксперимента показывают достаточно хорошее качество оценок (2). Кроме того, эти оценки, очевидно, эффективно вычислимы, поэтому оценивание параметров асинхронного потока может осуществляться в режиме реального времени.

Глава 2.



Скачать документ

Похожие документы:

  1. Основной образовательной программы по специальности 080109 Бухгалтерский учет, анализ и аудит гсэ общие гуманитарные и социально-экономические

    Краткое содержание
    Специфика артикуляции звуков, интонации, акцентуации и ритма нейтральной речи в изучаемом языке; основные особенности полного стиля произношения, характерные для сферы профессиональной коммуникации; чтение транскрипции; лексический минимум в объеме 4
  2. Основной образовательной программы по специальности 080507 -менеджмент организации гсэ общие гуманитарные и социально-экономические дисциплины 1800 ч

    Краткое содержание
    Предмет философии. Место и роль философии в культуре. Становление философии. Основные направления, школы философии и этапы ее исторического развития. Структура философского знания.
  3. Учебно-методический комплекс по дисциплине дс. В. 05 Основы компьютерного моделирования в физике ( Ч. 1 ) ( индекс по гос/наименование дисциплины

    Учебно-методический комплекс
    Дисциплина базируется на знаниях полученных студентами в ходе изучения общепрофессиональных дисциплин: информатика, основы информационных технологий, языки программирования и методы трансляции, системное и прикладное программное обеспечение,
  4. Рабочая программа по дисциплине дс 05. «Моделирование и оптимизация технологии полимерных материалов» для специальности 240205 «Технология переработки пластмасс и эластомеров» дневной формы обучения

    Рабочая программа
    Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Саратовский государственный технический университет имени Гагарина Ю.
  5. Общая структура мпс

    Документ
    Микропроцессор - центральная часть любой микропроцессорной системы (МПС) - включает в себя АЛУ и ЦУУ, реализующее командный цикл. МП может функционировать только в составе МПС, включающей в себя, кроме МП, память, устройства ввода/вывода,

Другие похожие документы..