Обнаружение DoS и DDoS-атак методом дискретного вейвлет-анализа Текст научной статьи по специальности «Компьютерные и информационные науки»

14 декабря 2011 г. 23:49

«

І2ЕЕЕЇ53^^Ж

Обнаружение DoS и DDoS-атак методом дискретного вейвлет-анализа

Ключевые слова.

обнаружение, аномалия, трофт. вей&лег-преобразование

Швлухин О.И.,

Гармашав А. В.,

МТУСИ

Постановка задачи

Статистические методы обнаружения нарушений в сети [1-4) основаны на сравнении статистических характеристик потока гкже-тов. усреднённых хз относительно небольшой промежуток времени (локальные харак-териспяси), с соответствующими характерно тиками за фодолжительный промежуток времени (глобальные характеристики). Если локальные характеристики сильно отличаются от соответствующих глобальных характеристик, то это свидетельствует об аномальном поведении потока пакетов и вполне вероятна попытка сканфования сети или сетевой ато-ки. Если локальные характеристуки трофика сильно отличается от соответствующих глобальных характеристик. то это свидетельству ет об аномальном поведении потока пакетов и вполне вероятна попытка сканирования сети или сетевой атаки. Таким образом, возникает задача построения эффективных методов вычисление локальных статистических характеристик в течение некоторого ограниченного интервала времени и определение аномального отклонения локальных характеристик от глобальных статистичеасих характеристик потока.

В статье для решетя задач обнаружения аномалий трофика в компьютерных и телекоммуникационных сетях предлагается метод основанный на дискртеном вейвлет-разложении да»»«ых трафика и статистическом алгоритме обнаружения использующем критериев Фишера и Кохрана ( 5 ]. В статье также рассматриваются признаки наличия аномального поведения потока в сети и связь между этими признсками при использовании различных статистических критериев.

Дм обнаружения аномалий трафика в компьютерных и телекоммуникационных сетях предлагается метод, основанный на дискретном вейвлет разлажена данных трафика и статистических алгоритмах обработки основанных на критериях Фишера и Кохрана. Для уменьшения уровня ложных срабатываний используется два скользящих окна с д вумя пороговыми значениями, что обеспечивает высокую эффективность обнаружения аномальных выбросов трафика.

В качестве анализируемых последовательностей были взяты наборы данных, предоставленные Линкольнской Лабораторией Масачусетского Технологического Института (1999 DARPA Intrusion Detection Evoluation)

[6), представляющие собой сетевой трафик, собранный на граничном маршрутизаторе университетской сети. Каждая последовательность длиной около 24 часов, с шагом дискретизации в lc. 11редставлен как и "чистый" трафик сети без атак, так и с различными видами аномалий: относящиеся к атакам типа отказ в обслуживании (DoS) и к различным типам сканировдоия. DoS-атаки также включают в себя распределенные DoS-атаки (DDoS), которые использует много хостов для запуска атак против одной жертвы.

Дискретное вейвлет-преобразование.

Алгоритм Малла

При непрерывном изменении параметров s и и для росчета вейвлет -спектра необходимы большие вычислительные затраты. Множество функций избыточно. Необходима дискретизация этих параметров при сохранении возможности восстановления сигнала из его преобразования. Д искретизация, как правило, осуществляется через степени двойки:

(И

где j и к — целые числа В этом случае плоскость и, s превращается в соответствующую сетку j. /с Параметр j называется параметром масштаба или уровнем декомпозиции, а вейвлет-преобразование, выполненное с таким параметром масштаба, называется диодным

Наиболее быстрым и чосто используемым дискретным вейвлет-преобразоеанием является так называемое быстрое вейвлет-

преобразовсние (ВВП) или алгоритм Малла

[7]. В соответствии с алгоритмом Малла сигнал может быть представлен в виде совокупности последовательных приближений грубой (аппроксимирующей) А(|) и уточненной (детализирующей) ОМ составляющих

ЭД-.|(0<ХД1'1

с последующим их уточнением итерационным методом Каждый шаг уточнения соответствует определенному масштабу 2' (т.е. уровню /) анализа (декомпозиции) и синтеза (реконструкции) сигнала. Подобное представление каждой составляющей сигнала вейвлетами можно рассматривать как во временной, так и в частотной областях.

1ак например на первом шаге алгоритма исходный сигнал 6(0 декомпозируется на две составляющие:

$</)=4<г )♦ £),</) = £ */,4 (Г) + X>

где УнМ - ватт, фц(|| - порождающая функция вейвлета, а,, с/, — коэффициенты аппрокс**иации и детализации на уровне 1 соответственно.

Одним из преимуществ вейвлет-преобразования является то, что оно дает возможность проанализировать сигнал в частотновременной области и позволяет исследовать аномальный процесс на фоне остальных компонент. Суть алгоритма вейвлет-декомпозиции состоит в том что росщепление компонент сигнала осуществляется не только в НЧ, но и в ВЧ облостн При данном алгоритме операция росщепления или декомпозиции применяется к любой из получающихся ВЧ-компонент. И так д алее. Далее, посредством адоптивной реконструкции вейвлет-коэффициентов различных вейвлет-облостей содержащих признаки аномалий трафика, можно подтвердить параметры аномал^ и увеличить надежность обнаружения. Благо-

44

Т-Соптт, Информационная безопасность 2011

даря методу пакетного вейвлет-преобразования с использованием скользящего окна можно уменьшить вычислительную сложность путем устранения избыточных вычислений. Путем применения окна и запоминания части коэффициентов в памяти можно избежать повторного избыточного вычисления т е. ускорить работу вычислительного алгоритма увеличив затраты на объем памяти.

Число коэффициентов ацИ(/|( уменьшается на половину по сравнению с исходным сигналом. Следующий шаг итерации для уровня два выполняется с полученной на уровне I аппроксимации аналогичным способом На практике наибольший уровень разложения определяется числом г^-1 дискретных значений сигнала (N ■ 2^ ). В результате, на каждом уровне разложения / будем иметь последовательности коэффициенты аппроксимации а и детализации ё длиной N/2' каждая, а исходный сигнал можно восстановить исход я из выражения:

(2)

Число операций умноже»*»я при прямом ВВП будет 21Ы, где 1=2п. Столько же операций необходимо и для реконструкции сигнала. Таким образам, для аюлиза-сингеэа сигнала в базисе вейвлетов необход имо выполнить 41Ы операций, что не превышает (и доже меньше) числа операций для быстрого преобразования Фурье (Ы1од2№).

Алгоритм обнаружения аномалий

Рассмотрим обнаружение аномалий сетевого трафика на основе дискретного вейвлет-преобразования с применением стспис-тических критериев. Для адаптации этого способа к анализу трафика в реальном времени используется техника двух скользящих окон \Л/,и ^2 « Двигающихся во времени с определенным шагом, фиксируя значения трафика которые находятся во временных границах каждого окна.

Применение "скользящих окон" позволяет увеличить надежность обнаружения даже незначительных аномалий. Известно, что плотность спектральной мощности временного ряда "трафик — время", при наличии аномалий, имеет пики на определенных частотах Вейвлет анализ позволяет обнаружить аномалии трафика на основании различий спектров обычного и аномального трафика. Будем считать окно — "окном сравнения", а окно \Л'2 — "окном обнаружения". Пусть размер каждого окна и выбранных временных единиц соответственно,

гричем \Л'| > Тогда в произвольный момент времени (начало окна И/2 будет находиться в точке I, в нем будет "содержаться" */2 значений трофика от 1-'#2 до В окне будет содержаться значений от /-уу2-\И до \-W2-

Выполняя ВВП для выборок внутри каждого из окон в каждый момент времени I, будем получать на некотором мосштабном уровне / набор коэффициентов для окна \»У| — ап-фоксимации {¿и. ¿2, ¿¡„....(/„Д и детали-

5°“и” <Ъ*~а™Л/''Ллоокнс' %-

аппроксимации {а-г а-1/ о3),...а Л(| и д етализации в2у, с(3>,...<^}, - Причем количество коэффициентов п на уровне / в окне будет определяться выражением п = ,

В окне \Л^ — т-----Л - Эти коэффициенты

будут проверяться по статистическим критериям и на основе принятия или отклонения статистических гипотез будет выноситься решение о кардинальном различии в анализируемых параметрах между окнами М', и И^2, а следовательно, наличии аномалии, или же наоборот — их отсутствии

Анализ коэффициентов и деталей и аппроксимации показывает, что аномалия может быть замечена уже на первом уровне вейвлет-декомпозицн! Поэтому ВВП будет осуществляться по первому уровню разложения, пока не будут выполнены особые условия превышения статистических порогов, описанные ниже.

Опишем алгоритм обнаружения аномальных выбросов на основе статистических критериев, используемых для определения изменений дисперсии и среднего в коэффициентах вейвлет-преобразования.

Для обнаружения аномалий, выражающихся в изменении дисперсии предлагается использовать критерий Фишера, а для обнаружения изменении величины среднего значения — критерий Кохрана [5].

Критерий Фниера предлагается использовать для обнаружения изменений в д исперсиях выборок окон и УУ2. Распределение выборок считается гауссовким В кажд ый момент времени (положении окон) 1 на масштабном уровне / выдвигаются две статистические гипотезы о равенстве д исперсий двух выборок и 67У

нУлевая “ н. о,

и альтернатувная — Нх Ои : •

Алгоритм обнаружения выбросов в гауссовском процессе на основе анализа аномального изменения д исперсий записывается как:

2,,=-^-. (3)

V,

Здесь * л-1* — выбо-

рочная дисперсия выборки последовательности деталей на масштабном уровне / в окне \М1 ;

~ т-\ ^ ^ - выборочная дис-

персия выборки последовательности деталей на масштабном уровне / в окне \У2;

- ^" — выборочное среднее выбо-

рок последовательности деталей на мосштабном уровне / в окне \ЛЛ

^г * ^* — выборочное среднее выбо-

рок последовательности деталей на масштабном уровне / в окне УУ2.

Критерий Кохрана предлагается использовать для обнаружения изменений среднего значения выборок аппроксимаций {а,к, 02*.

и (ау а2/ о3у,..а }|(.

Алгоритм обнаружения выбросов наос-нове анализа аномального измене»*« сред него значения выборки записывается как :

(4)

Здесь

I ~ — .

, *------> (а„ - и,)

1 • п - \ I —выборочная

д исперсия выборки последовательности аппроксимаций на масштабном уровне I в окне

, _ 1 ^ ,

*51 -1 ш1 , *а,у 1,у ~ выборочная

дисперсия выборки последовательности аппроксимаций на масштабном уровне / в окне

Щ

2 _ , Ч / ,

•л ~ „ ш , суммарная взвешен-

ная дисперсия выборок деталей в окнах

и \Л/2;

--- 1 V* --- I

а,~ ' и " -выбо-

рочные средние выборок последовательностей деталей на масштабном уровне / в окне

Обобщая выше изложенное, предлагает ся алгоритм реализации обнаружения аномалий на основе д искретного вейвлет-преобразования.

Для каждого текущего положения окон в момент времени Г выполняются следующие действия:

Т-Сотт, Информационная безопасность 2011

45

Рис 1. Интерфейс программы анализа последовательности

1. Для каждой выборки из окон и \Л^2 выполняется ЬВ11 по I уровню разложения в соответствие с выражением (2);

2. На основе коэффициентов детализо-ции^выполняется вычисление статистики Фишера по формуле (3), а на основе коэффициентов аппроксимации ^выполняется вычисление статистики Кохрана по формуле (4). Производится вычисление двух пороговых значений для каждой статистики, исходя из принятых значений доверительной вероятности нижнего порога р, ■ 0,95, верхнего порога р2 = 0,999.

3. Выполняется сравнение текущих значений критерия Фишера и Кохрана с их пороговые значениями. В случае превышения либо СЧииером, либо Кохраном нижнего порога выполняется шаг 4. В случае превышения либо Фишером, либо Кохраном верхнего порога, выполняется шаг 5.

4 Выполняется дальнейшая декомпоэи!*«я БВП по следующему уров»ео разложения ¡. Шаг 4 будет выполняться в том случав, ес/м текущий уровень дакомпозиции|не больше максимального для донной последовательности Далее выполняется шаги 2 и 3 для текущего уровня /,

5. Выполняется реконструкция коэффициентов на уровне, на котором было зафиксировано превышение верхнего порога. Для этого проводится восстановление коэффициентов аппроксимации А = а.(/)ф(г) и детализации О = В случае превышения ка-

ким-либо из статистических критериев верхнего порога, фиксируется аномалия Ьсли же происходит превышение только нижнего порога или превышения не происходит вообще, аномалия не фиксируется и окна движутся дальше.

Таким образом, конечным критерием обнаружения атаки является превышение красного порога од ним из критериев на этапе реконструкции коэффициентов.

В соответствии с предложенным алгоритмом было разработано программное обеспечение и трофический интерфейс в среде МАТ1АВ. Главное окно программы в процессе анализа последовательности изображено на рис. 1.

На верхнем графике показана реализация трафика сети с атаками и процесс д вижения окна. Два графика ниже — вычисляемые в реальном времени параметры Фишера и Кохрана соответственно и красный — верхний порог, желтый — нижний порог. На этих графиках для экономии места на экране отображается только первый уровень БВП. В случае выполнения условий описанных в алгоритме выше, фиксируется атака и момент ее первого вхождения. Атаки отображаются в виде красных горизонтальных линий на графике трассы сверху, количество зафиксированных атак во всей последовательности отображается внизу окна

Хорошо видно, что аномалия в районе примерно 6x104, представляющая собой ти-

пичную DoS-атаку, хорошо обнаруживается обоими критериями (превышение красного верхнего порога) на каждом уровне БВП де-композицкм. Причем критерий Фишера обнаруживает эту атаку гораздо более явно, эю видно по размеру выброса и превышения порога на его графике. 11ри начальном уровне разложения 1 обнаруживается большинство аномалий, в то время как некоторые о+омалии могут быть пропущены, если начать разложение с более старших уровней. Также на старших уровнях повышается количество ложных тревог, что можно объяснить низкой разрешающей способностью дискретного вейвлет-феобразования по времени и следовательно, малого доверия к коэффициентам высоких уровней, количество которых мало.

Сравнение зависимостей решающих статистик показывает, что решающая статистика д ля обнаружения аномальных выбросов средних значений коэффициентов аппроксимаций более эффективна для критерия Фишера чем по критерию Кохрана. Эго объясняется учетом негауссовского характера решающей статистики в случае критерия Фишера.

Литература

1 Roland Kw*. A Statistical Anomaly Detection Approoch for Delecting Network Attacks. 14th December 2004/6QM Workshop, Salzburg.

2 LFetnstein and D.Schnockenberg. Staiishcal Approaches to DDoS Attack Detection and Response Proceedings of #ie DARPA Information Survivability Conference and Expoyion (D1SCEX03), April 2003

3 Vinay AMahocft, Xiooyong Wu and Douglas S.Roeves. Detection of Denialof- QoS Aflocks Based On — 2 Statistic And EWMA Control Charts. http://arqoscsc.ncsu.edu/paperj/2002-02-usenixsec-díffservanack.pdf, NC State University, Raleigh.

4 Nong Ye and Qiang Chen. An Anomaly Detection Technique Based on a Chi-Square Statistic for Detecting Intrusions into Information Systems. Quafity and Reliablity Eng. Inll, \tel 17, No 2, P 105-112,2001

5 Кобзарь АИ. Прикладная математическая статистика. Для инженеров и научных работников

- М.: ФИЗМАТЛИТ, 2006.

6. http://www.Hmit.edu/mission/communica-tions/ist/corpora/ideval/da*a/¡ndex.html

7 S Maliat. A wavelet tour of signal processing 3 ed : The Sparse Way, 2005-

46

Т-Comm, Информационная безопосность 2011