Введение к работе
Актуальность проблемы. Активное использование в настоящее время распределенных систем связи приводит к необходимости уделять внимание вопросам безопасности.
Особое место в реализации политики безопасности организации занимают системы обнаружения вторжений (происшествий с безопасностью) (СОВ), которые могут как выполнять функцию обратной связи, контролируя эффективность компонент системы безопасности, т.е. являться дополнением к существующему комплексу средств защиты, так и представлять собой самостоятельный продукт.
Внедрение многих СОВ, как и комплексных систем безопасности, сдерживается рядом факторов, таких как единовременные капиталовложения, необходимость компетентной установки, настройки, поддержки и т.д. В таких компаниях, как правило, функция слежения за работой сети возлагается на администратора. В таком случае результат зависит от человеческого фактора, включающего опыт, интуицию, ответственность, работоспособность и т.п. Следует отметить, что практически в каждой компании, имеющей в распоряжении распределенную сеть, установлены средства сбора статистических данных о загрузке интерфейсов сетевого оборудования. Таким образом, закономерным шагом к автоматизации процесса выявления нештатных ситуаций, является внедрение доступного и, можно сказать, универсального средства, анализирующего интенсивности потоков данных в поиске необычных и подозрительных событий или тенденций, которое можно отнести к подклассу СОВ.
При этом может использоваться как сигнатурный метод, так и метод описательной статистики.
Математически обоснованными видами анализа временных рядов являются исследования сигнала на основе временных, спектральных и интенсивно развивающихся последнее с небольшим десятилетие спектрально-временных алгоритмов.
4 Анализ во временной области основывается на методах математической статистики и его возможности весьма обширны. Но следует отметить, что исследуемому телекоммуникационному сигналу свойственно «выраженное колебательное поведение» ввиду его особенностей его формирования. Хотя в методах временного анализа существуют подходы для описания такого рода сигналов, наиболее подходящими для исследования колебательного процесса являются методы спектрального и спектрально-временного анализа. Частотные представления являются более информативными и позволяют расширить возможности существующих систем обнаружения аномалий, но требуют больших размерностей для представления результатов и имеют большую вычислительную сложность алгоритмов, что сдерживает их применение и развитие в прикладных задачах. Следовательно, является актуальной разработка метода обнаружения аномалий в интенсивностях потоков данных на основе алгоритмов анализа частотных составляющих, оптимизированных по вычислительной нагрузке.
Целью работы является разработка повышающего безопасность функционирования сети метода обнаружения аномалий в данных о загрузке интерфейсов телекоммуникационного оборудования на основе анализа частотных характеристик; оптимизация по вычислительной нагрузке формирующих метод сдвиговых спектральных и спектрально-временных алгоритмов с получением математических моделей оптимизации и исследование особенностей и ограничений использования частотного представления в рассматриваемом приложении.
Задачи исследований включают:
Исследование спектральных и спектрально-временных алгоритмов анализа и представления временных рядов, в том числе определение особенностей и ограничений их использования в области применения.
Исследование алгоритмов спектрального разложения, в том числе с учетом сдвигов анализируемой последовательности, с предложением математической модели оптимизации вычислений;
Исследование формирования областей влияния и достоверности картины вейвлет-коэффициентов при реализации алгоритмов спектрально-временного анализа;
Предложение математической модели оптимизации алгоритмов спектрально-временного разложения, в том числе с учетом сдвигов анализируемой последовательности и области достоверности коэффициентов разложения.
Предложение способа уменьшения области недостоверности за счет введение в анализ так называемого доверительного пространства вейвлет-коэффициентов.
Формирование теоретической и практической базы для метода обнаружения аномалий в результате исследования влияния особенностей сигнала на вейвлет-коэффициенты.
Разработка метода обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик.
Разработка программных модулей.
Методы исследования базируются на теории вероятностей и математической статистики, теории распознавания образов, теории вычислительных систем и сетей.
Научная новизна выносимых на защиту положений заключается в следующем:
Определены частотные образы для представления особенностей в данных об интенсивностях телекоммуникационных потоков и разработан алгоритм их обнаружения в вейвлет-спектре сигнала.
Предложены математические модели оптимизации вычисления спектральных представлений (Фурье и Хартли), в том числе для сдвиговой последовательности;
Выполнено исследование областей достоверности и недостоверности на картине коэффициентов вейвлет-разложения в зависимости от длины анализируемой последовательности и выбранного вейвлета.
Предложены математические модели оптимизации вычисления спектрального представления, в том числе для сдвиговой последовательности, с учетом области достоверности коэффициентов разложения;
Предложен способ расчета доверительного пространства вейвлет-коэффициентов вне плоскости правдоподобия для возможности их обоснованного включения в дальнейший анализ с определенной степенью уверенности.
Практическая значимость работы заключается в разработке описательной модели системы обнаружения аномалий в данных о загрузке интерфейсов сетевого оборудования на основе анализа частотных характеристик, в создании программных модулей для реализации ее этапов. Предложенные модели оптимизации спектральных и спектрально-временных алгоритмов имеют самостоятельную практическую значимость и могут найти применение в приложениях, предусматривающих работу со спектрами.
Реализация и внедрение результатов работы. Результаты исследований используются в рамках военно-технических научных исследований по гранту Министерства обороны Российской Федерации на тему «Разработка методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения»; применялись при выполнении НИОКР Фонда содействия развитию малых форм предприятий в научно-технической сфере по «Разработке способа и системы адаптивного управления передачей потоковых данных». Результаты работы использованы на кафедре Мониторинга и прогнозирования информационных угроз СПбГУ ИТМО в рамках инженерной подготовки по специализациям «Математическое моделирование и прогнозирование чрезвычайных ситуаций» (230401.65.02) и «Математическое моделирование и прогнозирование информационных угроз» (090103.65), а также в рамках дисциплины специализации «Математическое моделирование и про-
7 гнозирование информационных угроз» (ДС.В.01) образовательной программы СПбГУ ИТМО. В процессе проведения исследований подана заявка и получено решение о выдаче патента на изобретение «Способ адаптивного управления передачей потоковых медиаданных».
Апробация работы. Результаты диссертационной работы докладывались и обсуждались на 7-й всероссийских и международных конференциях и семинарах. Работа поддержана грантом МО РФ в составе НИОКР по «Разработке методов обнаружения и противодействия вторжениям в вычислительных сетях военного назначения».
Публикации. По теме диссертационной работы опубликовано 13 печатных работ, в том числе 5 статей в научных журналах и сборниках, 2 из которых входят в перечень ведущих периодических изданий; 7 статей в трудах научных конференций.
Структура и объем работы. Диссертация состоит из введения, четырех глав и заключения. Список использованной литературы составляет 107 наименований. Текст диссертации содержит 140 страниц машинописного текста, 48 рисунков и 7 таблиц.
Похожие диссертации на Метод обнаружения аномалий телекоммуникационных данных на основе математических моделей оптимизации алгоритмов спектрального и спектрально-временного анализа
