1 Общее описание моделей дс потоков

Вид материала

Документы

Содержание 1.3. Модель асинхронного альтернирующего потока событий. Глава 2. Построение алгоритма

Подобный материал:

• Нотация idef3 (описание потоков работ), 48.8kb.
• Описание прототипов, 2044.28kb.
• Проект посвящен вопросам эксплуатации кц-1 кс «Игринская», 23.57kb.
• Тема урока: Машина и ее основные части. Основные направления спортивно-технического, 96.14kb.
• Профессиональное Процессуальное Сообщество Россия, Москва Телефон: +7 (916) 312, 1827.68kb.
• Программа специального курса "Краткосрочная финансовая политика", 457.56kb.
• 2. 2 Описание продукта работы конкурса моделей технических устройств, 216.08kb.
• М. В. Ломоносова Мехманико математический факультет Кафедра математической логики, 909.95kb.
• Московский Институт Процессуальной Работы и Консультирования Город Москва Телефон:, 1426kb.
• 1 Постановка задачи, 1107.94kb.

1.3. Модель асинхронного альтернирующего потока событий.

Для оценки параметров рассматривался трафик в реальной компьютерной сети. Каждый пакет данных рассматривался как событие потока. Материалом для оценки служили интервалы между соседними пакетами.

Модель альтернирующего потока событий, является простейшей среди дважды стохастических потоков и в то же время должна более точно отражать реальную ситуацию, чем пуассоновская. Тем более уже были успешные попытки применения модели альтернирующего потока к компьютерным сетям [14].

Опишем более подробно данную модель.

Рассматривается асинхронный альтернирующий поток событий, интенсивность которого есть кусочно-постоянный стационарный случайный процесс λ(t) с двумя состояниями λ₁ = λ и λ₂ = 0. В течении временного интервала, когда процесс λ(t) находится в первом состоянии, поток событий представляет собой пуассоновский поток с интенсивностью λ. Во втором состоянии процесса, поток событий отсутствует.

Моменты перехода процесса из состояния в состояние не связаны с моментами наступления событий в пуассоновском потоке, поэтому, во-первых поток называется асинхронным потоком событий и, во-вторых, так как λ₂ = 0 – альтернирующим. Длительность нахождения процесса в i-ом состоянии является случайной величиной, распределённой по закону с параметром , i=1,2. Стохастический граф переходов такого случайного процесса λ(t) представлен на рисунке 2.



Рис. 2. Граф переходов случайного процесса λ(t).

Этот граф имеет две вершины. Вершина 1 соответствует первому состоянию, вершина 2 – второму состоянию процесса. Каждая дуга имеет вес, равный интенсивности перехода из одного состояния в другое. Петли в вершинах опущены.



Рис.3. Альтернирующий поток.

Плотность распределения интервала между соседними событиями в альтернирующем потоке есть

, (1)

где ; .

Оценки параметров λ, α₁ , α₂ по наблюдениям за потоком методом моментов могут быть получены по следующим формулам:

; ; , (2)

Где , ,

,

.

В (2) константы , , суть первые 3 начальных момента .

Результаты статистического эксперимента показывают достаточно хорошее качество оценок (2). Кроме того, эти оценки, очевидно, эффективно вычислимы, поэтому оценивание параметров асинхронного потока может осуществляться в режиме реального времени.

Глава 2.

Построение алгоритма

2.1. Основная идея алгоритма.

Суть алгоритма заключается в том чтобы, предварительно накопить данные о поведении пользователя в сети, а затем, отталкиваясь от этих данных, выявлять несвойственную пользователю активность.

Для того чтобы алгоритм функционировал корректно, необходимо, производить накопление статистики в режиме работы, который, точно является нормальным, как технически (пропускная способность сети), так и по поведению пользователя (различные виды деятельности в сети). Если невозможно утверждать, когда активность пользователя является нормальной, то и невозможно гарантировать адекватную работу алгоритма.

В работе алгоритма можно выделить 2 режима:

1. В первом режиме происходит накопление статистических данных о трафике пользователя. Эти данные в последующем будут своеобразным “портретом” пользователя в сети.

2. Во втором режиме происходит непосредственно анализ текущей деятельности пользователя, ее сравнение с ранее собранными данными и оценка на основании уже собранной статистики.

Сравнивая накопленные данные о модели поведения пользователя в сети с его текущей активностью, представляется возможным выявить несвойственные ему отклонения.

В соответствии с моделью альтернирующего потока, трафик на конечном временном интервале характеризуется значениями трех параметров: λ, α₁, α₂. Эту тройку можно представить, как точку в трехмерном пространстве (рис. 4).

На смежном интервале времени если характер трафика не изменился существенно, то значения λ, α₁, α₂ также не должны существенно измениться, и тогда имеет место точка достаточно близкая к предыдущей (рис. 4). Если же в следующий момент времени характер трафика резко изменится (например, пользователь включит закачку, после простого перехода по веб-ресурсам), то следующая точка будет значительно удалена от предыдущей.



Рис. 4

Проведя наблюдения достаточно долго, получим несколько областей, в которых группируются точки (рис. 5). Если полагать, что весь период наблюдения трафик функционировал в нормальном режиме, то такие группы точек представляют собой эталон нормального поведения трафика для данного пользователя. Если же в некоторый момент начнут наблюдаться оценки, группирующиеся в области, достаточно удаленно от ранее полученных областей, то это может служить сигналом об аномальной активности.



Рис. 5

Также анализ динамики полученных оценок может дать информацию о резком изменении характера сетевой активности. И при предварительном сборе данных можно будет выделить несколько периодов, каждый из которых будет соответствовать определенному характеру сетевой активности. На основании этих периодов и зависимости оценок на них, можно будет говорить о выявлении аномальности характера сетевой активности. В свою очередь резкое изменение одной, двух или всех трех оценок может говорить об изменении характера сетевой активности, то есть о переходе потока в др. режим работы. Адаптивный алгоритм может переходить в режим отслеживания аномальной активности, только в момент резкого изменения оценок параметров, а в другое время находится в режиме накопления статистики, что улучшит его быстродействие и позволит применять его в режиме реального времени.