Научная статья на тему 'Анализ информативных признаков аномалий сетевого трафика корпоративных сетей'

Анализ информативных признаков аномалий сетевого трафика корпоративных сетей Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
536
82
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СЕТЕВОЙ ТРАФИК / СТАТИСТИЧЕСКИЙ АНАЛИЗ / АНОМАЛИЯ ТРАФИКА

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Усков Евгений Дмитриевич, Корепанова Наталья Леонидовна

Для решения задачи обнаружения сетевых аномалий используется методика формирования некоторого набора информативных признаков, определяющих нормальное и аномальное поведение системы, также определены критерии, позволяющие обнаружить и идентифицировать различные типы сетевых аномалий. Проведен анализ различных наборов данных, представляющих собой сетевой трафик. Анализ представленных статистических характеристик показывает, что во время возникновения аномалии наблюдается резкий скачок выборочного среднего и выборочной дисперсии, которые могут служить информативными признаками при обнаружении аномалий.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Усков Евгений Дмитриевич, Корепанова Наталья Леонидовна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Анализ информативных признаков аномалий сетевого трафика корпоративных сетей»

ТЕХНИЧЕСКИЕ НАУКИ

АНАЛИЗ ИНФОРМАТИВНЫХ ПРИЗНАКОВ АНОМАЛИЙ

СЕТЕВОГО ТРАФИКА КОРПОРАТИВНЫХ СЕТЕЙ

1 2 Усков Е.Д. , Корепанова Н.Л.

1Усков Евгений Дмитриевич - магистрант;

2Корепанова Наталья Леонидовна - кандидат технических наук, доцент, кафедра информатики и вычислительной техники, Севастопольский государственный университет, г. Севастополь

Аннотация: для решения задачи обнаружения сетевых аномалий используется методика формирования некоторого набора информативных признаков, определяющих нормальное и аномальное поведение системы, также определены критерии, позволяющие обнаружить и идентифицировать различные типы сетевых аномалий. Проведен анализ различных наборов данных, представляющих собой сетевой трафик. Анализ представленных статистических характеристик показывает, что во время возникновения аномалии наблюдается резкий скачок выборочного среднего и выборочной дисперсии, которые могут служить информативными признаками при обнаружении аномалий.

Ключевые слова: сетевой трафик, статистический анализ, аномалия трафика.

УДК 004.772

Наиболее распространенное применение методы обнаружения аномалий в сетевом трафике находят при выявлении неизвестных атак и вторжений [1]. Существует два способа подхода к обнаружению сетевых атак: это анализ сетевого трафика и анализ содержимого. В первом случае необходимо проанализировать лишь общие сетевые пакеты, во втором случае содержимое этих пакетов.

В классификации статистический анализ относится к поведенческим методам определения вторжения в работу сети и основан на сравнении текущего состояния сетевой инфраструктуры с какими-то заранее определенными значениями, характеризующими полностью исправный рабочий режим сетевой инфраструктуры. Метаданные статистического анализа имеют разные интерпретации, исходя из различных динамических характеристик сетевого трафика, в остальном - основные принципы работы идентичны. Неоспоримым преимуществом применения методов статистического анализа является возможность впервые определить методы негативного воздействия на объект атаки со стороны злоумышленника.

Применение методов статистического анализа - наиболее распространенная форма реализации технологии обнаружения аномалии поведения [1, 2]. Статистические данные собирают различную информацию о характере объекта и формируют его в виде профиля. Профиль в этом случае представляет собой набор параметров, характеризующих поведение объекта. Таким образом, существует интервал начального формирования профиля. Профиль формируется на основе статического объекта, и для этого могут быть использованы методы математической статистики, например, методов скользящих окон и метод взвешенных сумм.

Статистические методы являются универсальными, так как для правильного анализа данных априорная информация о причинах и источниках возникновения аномалий сетевого трафика не требуется. Связано это с тем, что они основаны на изменениях некоторых статистических характеристиках патока пакетов.

По сути, сетевой трафик содержит большие объемы данных, которые, в частности, требуют больших вычислительных способностей для проведения правильного анализа в режиме реального времени, это накладывают жесткие требования к методам

поиска и обнаружения аномалий сети. В связи с этим статистический анализ сетевого трафика и поиск информирующих признаков, которые определяют нормальное и аномальное поведения, является важной задачей.

Примеры статистического анализа аномалий

Используемые данные дампа были собраны в результате проведения экспериментов с проведения атак рассматриваемого типа. После сбора данных заголовков в дамп, был выполнен анализ полученных результатов с целью выявления информативных признаков проверяемых аномалий.

Для оценки текущих статистических характеристик сетевого трафика будем использовать «скользящие окна» длительностью п выборок.

Статистический анализ, проведенный в границах каждого окна, может быть положен в основу построения пространства информативных признаков и определения критериев выявления сетевых аномалий.

Для проведения анализа полученных данных, с целью выявления информативных показателей были выбраны следующие статистические характеристики:

- выборочное среднее:

- выборочная дисперсия:

V;

- коэффициент асимметрии:

- коэффициент эксцесса:

т | ^ (1)

I=П ^ ¡-т ¡) 2 (2)

У| 1 =„3 (3)

У 2 = „4 (4)

1.1 Анализ атаки Smurf

Рассмотрим выборку сетевого графика, содержащую аномалию в виде атаки 8тш1

Рис. 1. График зависимости количества пакетов от времени

Данные по выборке: захват пакетов в 18:31:01, окончание — 18:35:58.

Начало атаки в 18:33:00, окончание - 18:33:2 Время агрегации - 0,1 с.

В рассматриваемом случае для анализа использовались окна наблюдения размером 100 отсчетов со смещающиеся с шагом 25 отсчетов.

Временной интервал, на котором действует атака, выделен прямоугольником. Атака началась через 119 с (или 1190 отсчетов) после начала отсчета и длилась в течение 20 с (или 200 отсчетов), что соответствует временным положению «окон» наблюдения с 48 по 54.

Текущие статистические характеристики рассматриваемой трассы трафика в условиях воздействия аномалии данного типа представлены на рисунках 2-4, временной интервал, на котором действует атака, выделен прямоугольником.

__

Г

/ V V . Ал/у

0 5 10 15 20 25

Рис. 2. Зависимость текущего выборочного среднего в окне

600

400

200 1__

— -—

0 5 10 15 20 25

Рис. 2. Зависимость текущей выборочной дисперсии в окне

Рис. 3. Зависимость текущего коэффициента асимметрии в окне

Рис. 4. Зависимость текущего коэффициента эксцесса в окне

Из представленных зависимостей видно, что информативными признаками при разработке алгоритмов обнаружения могут выступать статистические моменты распределения, а также вид функции корреляции.

Анализ представленных статистических характеристик показывает, что во время возникновения аномалии наблюдается резкий скачок выборочного среднего и выборочной дисперсии, которые могут служить информативными признаками при обнаружении аномалий данного вида. Зависимости коэффициентов асимметрии и эксцесса, представленные на рисунках 2-5, соответственно также иллюстрируют об информативности этих показателей.

Из представленных зависимостей видно, что информативными признаками при разработке алгоритмов обнаружения могут выступать статистические моменты распределения, а также вид функции корреляции.

Список литературы

1. Шелухин О.И., Сакалема Д.Ж., Филипова А.С. Обнаружение вторжении в компьютерные сети. Сетевые аномалии. М.: Горячая линия - телеком, 2013. 220 с.

2. Нестеренко В.А. Статистические методы обнаружения нарушений безопасности в сети II Информационные процессы, 2006. Т. 6. № 3. С. 208-217.

РАЗРАБОТКА ПРОГРАММНЫХ СРЕДСТВ ДЛЯ АНАЛИЗА

СИГНАЛОВ ЭЛЕКТРОМИОГРАФИИ 1 2 Браташев А.В. , Мельников А.О.

1Браташев Андрей Валерьевич - студент;

2Мельников Алексей Олегович - доцент, кафедра управления и моделирования систем, Российский технологический университет, г. Москва

Аннотация: современные системы распознавания жестов на основе электромиографии часто ограничены точностью измерительной и аналитической системы. В этой статье мы используем сигналы электромиографии для классификации и распознавания пяти классов движений рук. Мы используем адаптивную систему нейро-нечеткого логического вывода (ANFIS) для идентификации команд движения рук. Обучение нечеткой системы проводилось с помощью метода градиентного спуска, в качестве функции потерь использовалась квадратичная функция. В результате эксперимента была достигнута средняя точность 93% при использовании шести признаков сигнала. Ключевые слова: ЭМГ, классификация, распознавание жестов, Arduino.

В настоящее время благодаря использованию современных электрофизиологических методов получены подробные сведения о закономерностях функционирования нервно-мышечной системы. Однако инструментарий, необходимый для проведения исследования активности мышц, крайне дорогостоящий, т.к. решает проблему повышения точности аппаратными средствами. Анализ сигналов электромиографии показывает, что полученный аналоговый сигнал можно программно классифицировать, но точной классификации типа движения препятствует низкое отношение сигнал/шум в измерительной системе. Искажения сигнала могут возникать из-за побочного влияния сигналов электрической активности сердца, сдвигов электродов относительно назначенного положения. Таким образом задача классификации ЭМГ и фильтрации сигнала от различных шумов является актуальной и по сей день.

Для исследования отведения ЭМГ существуют поверхностные и игольчатые электроды. Использование поверхностных электродов ведет к потере качества полученного сигнала из-за ряда факторов, которые могут быть и механическими, и анатомическими, однако поверхностные электроды более атравматичны, поэтому безопаснее использовать именно их. Для проведения эксперимента были выбраны поверхностные электроды и биполярное отведение - способ отвода, когда два электрода находятся на относительно небольшом расстоянии, на одной мышце. В качестве аппаратуры использовался Arduino UNO с подключенным к нему одноканальным Olimex EMG Shield.

Проводя исследование, был проведен обзор существующих методов и решений. Было замечено, что высокая точность классификации в основном достигается

i Надоели баннеры? Вы всегда можете отключить рекламу.