|
Введение. 2
Глава 1. Актуальные математические модели трафика компьютерной сети 6
1.1. Состояние проблемы. 6
1.2. Общее описание моделей ДС потоков. 8
1.3. Модель асинхронного альтернирующего потока событий. 11
Глава 2. Построение алгоритма 14
2.1. Основная идея алгоритма. 14
2.2. Статистика сетевой активности 16
2.2.1 Сбор статистики. 17
2.2.2. Приложение для сбора и анализа статистики. 18
2.3. Получение оценок параметров. 21
2.4. Сглаживание оценок. 21
2.4.1. Подходы к сглаживанию данных. 23
2.4.2. Вейвлет-анализ и его применение. 23
2.4.3. Сглаживание экспериментальных данных. 27
2.5 Стратификация данных. 29
2.6 Нейронные сети. 30
2.7 Перспективы дальнейших исследований. 32
Заключение. 33
Список литературы. 34
Приложение. Исходные коды. 36
|
|
С тех пор, как распространение компьютеров приобрело массовый характер, они стали настолько неотъемлемой частью жизни человека, что сегодня совершенно невозможно представить существование без них. Компьютерные системы и сети стали неотъемлемым атрибутом комфорта жизни человека, таким как электричество и водоснабжение. Поэтому, несмотря на то, что существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем, на сегодняшний день, эта проблема является достаточно актуальной. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Но существует и другой принцип – статистический, при котором предварительно собираются статистические параметры активности пользователя в сети. Затем, на основании этих оценок выявляется аномальная активность. Для получения этих параметров необходимо построить математическую модель сетевого трафика.
Еще в начале ХХ века датский ученный А. К. Эрланг, установил, что процессы, происходящие в телефонных сетях, а конкретно, в потоке входящих звонков, имеют вероятностный характер [1]. Методы, примененные Эрлангом – теория вероятностей и математическая статистика, математическое моделирование, теория случайных процессов – до сих пор являются основным инструментарием теории массового обслуживания (ТМО). Позже выяснилось, что теория массового обслуживания применима не только к процессам обработки телефонного трафика, но и ко многим другим областям науки и техники, в частности, модель сетевого взаимодействия в компьютерных системах может успешно быть описана с помощью ТМО [2].
В основном, в работах по системам массового обслуживания, делается упор на нахождение различных стационарных характеристик системы обслуживания в условиях известных параметров входящих потоков и обслуживающих приборов. В реальности они могут быть известны лишь частично или неизвестны совсем. Обычно, такие входящие потоки событий имеют переменную интенсивность, и изменение интенсивности, как правило, стохастическое. Такие потоки называются дважды стохастическими. Так как в них наблюдаются два случайных процесса: во-первых, поступление событий в потоке происходит в случайные моменты времени; во-вторых, изменение интенсивности потока имеет случайный характер. Сама интенсивность может изменяться непрерывно или дискретно.
Среди ДС потоков с дискретной интенсивностью выделяют потоки с двумя состояниями, в одном из которых имеет место нулевая интенсивность (т.е. в одном из состояний события отсутствуют). Такие потоки называют альтернирующими. Такие потоки, подходят для описания сетевой активности пользователей в компьютерных сетях. Модель альтернирующего потока событий является простейшей среди дважды стохастических потоков и в то же время должна более точно отражать реальную ситуацию чем пуассоновская (простейшая модель потока с постоянной интенсивностью).
Актуальность проблемы.
На сегодняшний день существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем. Существует два основных метода выявления информационных угроз – сигнатурный и статистический. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Статистический же принцип используется крайне редко, в том числе по причине того, что использующиеся модели случайных потоков, такие как пуассоновский, слабо соответствуют реальному трафику сети. В тоже время, последние 30 лет ведутся активные исследования моделей потоков с переменной интенсивностью, которые более точно соответствуют реальному трафику компьютерной сети. В свете сказанного, представляется актуальным исследование вопросов обнаружения угроз в сети в рамках статистического метода, на основании актуальных моделей сетевого трафика.
Цель работы.
Целью моей работы является создание адаптивного алгоритма выявления аномального поведения трафика в компьютерной сети на основе статистических данных с использование модели альтернирующего потока.
Постановка задачи.
Задачи, поставленные и решённые в рамках данной работы:
• Изучение существующих моделей дважды стохастических потоков, в частности, альтернирующего потока.
• Разработка общей идеи алгоритма.
• Сбор статистики сетевой активности пользователей локальной сети.
• Применение модели альтернирующего потока к собранной статистике, оценка параметров потока.
• Анализ динамики полученных параметров альтернирующего потока.
• Исследование возможных методов выявления аномальной активности в сети.
|
|
[1] Erlang A. K. – The Theory of Probabilities and Telephone Conversations // Nyt Tidsskrift for Matematik – 1909. – Vol. 20. – pp 33–39.
[2] Головко Н.И., Каретник В.О., Танин В.Е., Сафонюк И.И. – Исследование моделей систем массового обслуживания в информационных сетях // Сибирский журнал индустриальной математики. – 2008. – T.XI -№ 2(34). – стр.. 50-58.
[3] Кендалл Д. – Стохастические процессы, встречающиеся в теории очередей, и их анализ методом вложенных цепей Маркова. // Сборник переводов "Математика" – 1959. – 3:6 – стр. 97 – 111.
[4] Хинчин А. Я. – Работы по математической теории массового обслуживания. – М.: Физматгиз. – 1963. – 235 с.
[5] Хинчин А. Я. – Математическая теория стационарной очереди. // Матем. сб. – 1932. – № 39. – стр. 73 – 84.
[6] В. В. Рыков – Управляемые системы массового обслуживания. // Итоги науки и техн. Сер. Теор. вероятн. Мат. стат. Теор. кибернет., т.12. – М.: ВИНИТИ. – 1975. – стр. 43 – 153.
[7] Дынкин Е.Б., Юшкевич А.А. – Управляемые марковские процессы и их приложения. – М.: НАУКА. – 1975. – 342 с.
[8] Васильева Л. А., Горцев А. М. – Оценивание параметров дважды стохастического потока событий в условиях его неполной наблюдаемости. // АиТ. – 2002. – № 3. – стр. 179 – 184.
[9] Горцев А. М., Ниссенбаум О. В. – Оптимальная оценка состояний асинхронного альтернирующего потока с инициированием лишних событий. // Вестн. ТюмГУ. – 2008. – № 6. – стр. 107 – 119.
[10] Горцев А. М., Шмырин И. С. – Оптимальная оценка состояний дважды стохастического потока событий при наличии ошибок в измерениях моментов времени. // АиТ. – 1999. – № 1. – стр. 52 – 66.
[11] Нежельская Л. А. – Алгоритм оценивания состояния синхронного МС-потока. // Тр. 11 Белорус. шк.-сем. по мас. обсл. – Минск. – 1995. – стр. 93 – 94.
[12] Никольский Н. Н – Адаптивный алгоритм контроля доступа вызовов в сетях пакетной телефонии для кодеков с переменной интенсивностью передачи информации // Автореферат диссертации на соискание ученой степени кандидата технических наук, Москва – 2007 – 168 c.
[13] Беккерман Е.Н., Катаев С.Г., Катаева С.С, Кузнецов Д.Ю. Аппроксимация МС-потоком реального потока событий // Вестник Томского гос. ун-та. — 2005. — № 14. Приложение. — С. 248-253.
[14] Ниссенбаум О. В., Пахомов И. Б. Аппроксимация сетевого трафика моделью альтернирующего потока событий // Прикладная дискретная математика. Приложение №1. – 2009. – стр. 78-79.
[15] Grossman A., Morlet J. – SIAM Journal Mathematics Analysis. – 1984. – Vol. 15. – p. 723.
[16] Добеши И. – Десять лекций по вейвлетам. – М.: Регулярная и хаотическая динамика. – 2001. – 464 c.
[17] Паниотто В. И. – Количественные методы в социологических исследованиях. – Киев: Наукова думка – 1982.
[18] Мак-Каллок У.С., Питтс В., Логическое исчисление идей, относящихся к нервной активности // В сб.: «Автоматы» под ред. К. Э. Шеннона и Дж. Маккарти. – М.: Изд-во иностр. лит. – 1956. – с.363
|
На уровень вверх
Купить