1 Общее описание моделей дс потоков
| Вид материала | Документы |
- Нотация idef3 (описание потоков работ), 48.8kb.
- Описание прототипов, 2044.28kb.
- Проект посвящен вопросам эксплуатации кц-1 кс «Игринская», 23.57kb.
- Тема урока: Машина и ее основные части. Основные направления спортивно-технического, 96.14kb.
- Профессиональное Процессуальное Сообщество Россия, Москва Телефон: +7 (916) 312, 1827.68kb.
- Программа специального курса "Краткосрочная финансовая политика", 457.56kb.
- 2. 2 Описание продукта работы конкурса моделей технических устройств, 216.08kb.
- М. В. Ломоносова Мехманико математический факультет Кафедра математической логики, 909.95kb.
- Московский Институт Процессуальной Работы и Консультирования Город Москва Телефон:, 1426kb.
- 1 Постановка задачи, 1107.94kb.
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Институт математики и компьютерных наук
Кафедра информационной безопасности
Допустить к защите в ГАК
Заведующий кафедрой
информационной безопасности,
д.т.н., профессор А.А. Захаров
“____” _________ 2010 г.
Присяжнюк Александр Сергеевич
Создание адаптивного алгоритма выявления аномального поведения трафика сети на основании характерных изменений оценок параметров альтернирующего потока
(выпускная квалификационная работа)
Научный руководитель:
к.ф.- м.н., доцент кафедры информационной безопасности
__________ Ниссенбаум О. В.
Автор работы:
__________ Присяжнюк А.С.
Тюмень 2010
Введение. 3
Глава 1. 6
Актуальные математические модели трафика компьютерной сети 6
1.1. Состояние проблемы. 6
1.2. Общее описание моделей ДС потоков. 8
1.3. Модель асинхронного альтернирующего потока событий. 11
Глава 2. 14
Построение алгоритма 14
2.1. Основная идея алгоритма. 14
2.2. Статистика сетевой активности 16
2.2.1 Сбор статистики. 17
2.2.2. Приложение для сбора и анализа статистики. 18
2.3. Получение оценок параметров. 21
2.4. Сглаживание оценок. 21
2.4.1. Подходы к сглаживанию данных. 23
2.4.2. Вейвлет-анализ и его применение. 23
2.4.3. Сглаживание экспериментальных данных. 27
2.5 Стратификация данных. 30
Одним из наиболее простых и эффективных статистических методов анализа данных является метод стратификации (очень широко используется в социологии). В соответствии с этим методом производят стратификацию статистических данных, то есть группируют данные в зависимости от условий их получения и производят обработку каждой группы данных в отдельности. Данные, разделенные на группы в соответствии с их особенностями, называют стратами (классами), а сам процесс разделения на страты – стратификацией. 30
2.6 Нейронные сети. 30
2.7 Перспективы дальнейших исследований. 32
Заключение. 33
Список литературы. 34
Приложение. Исходные коды. 36
Введение.
С тех пор, как распространение компьютеров приобрело массовый характер, они стали настолько неотъемлемой частью жизни человека, что сегодня совершенно невозможно представить существование без них. Компьютерные системы и сети стали неотъемлемым атрибутом комфорта жизни человека, таким как электричество и водоснабжение. Поэтому, несмотря на то, что существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем, на сегодняшний день, эта проблема является достаточно актуальной. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Но существует и другой принцип – статистический, при котором предварительно собираются статистические параметры активности пользователя в сети. Затем, на основании этих оценок выявляется аномальная активность. Для получения этих параметров необходимо построить математическую модель сетевого трафика.
Еще в начале ХХ века датский ученный А. К. Эрланг, установил, что процессы, происходящие в телефонных сетях, а конкретно, в потоке входящих звонков, имеют вероятностный характер [1]. Методы, примененные Эрлангом – теория вероятностей и математическая статистика, математическое моделирование, теория случайных процессов – до сих пор являются основным инструментарием теории массового обслуживания (ТМО). Позже выяснилось, что теория массового обслуживания применима не только к процессам обработки телефонного трафика, но и ко многим другим областям науки и техники, в частности, модель сетевого взаимодействия в компьютерных системах может успешно быть описана с помощью ТМО [2].
В основном, в работах по системам массового обслуживания, делается упор на нахождение различных стационарных характеристик системы обслуживания в условиях известных параметров входящих потоков и обслуживающих приборов. В реальности они могут быть известны лишь частично или неизвестны совсем. Обычно, такие входящие потоки событий имеют переменную интенсивность, и изменение интенсивности, как правило, стохастическое. Такие потоки называются дважды стохастическими. Так как в них наблюдаются два случайных процесса: во-первых, поступление событий в потоке происходит в случайные моменты времени; во-вторых, изменение интенсивности потока имеет случайный характер. Сама интенсивность может изменяться непрерывно или дискретно.
Среди ДС потоков с дискретной интенсивностью выделяют потоки с двумя состояниями, в одном из которых имеет место нулевая интенсивность (т.е. в одном из состояний события отсутствуют). Такие потоки называют альтернирующими. Такие потоки, подходят для описания сетевой активности пользователей в компьютерных сетях. Модель альтернирующего потока событий является простейшей среди дважды стохастических потоков и в то же время должна более точно отражать реальную ситуацию чем пуассоновская (простейшая модель потока с постоянной интенсивностью).
Актуальность проблемы.
На сегодняшний день существует множество программных и аппаратных комплексов обеспечения безопасности компьютерных систем. Существует два основных метода выявления информационных угроз – сигнатурный и статистический. Почти все современные средства обеспечения безопасности, работают по сигнатурному принципу, то есть когда модель поведения угрозы известна заранее. Статистический же принцип используется крайне редко, в том числе по причине того, что использующиеся модели случайных потоков, такие как пуассоновский, слабо соответствуют реальному трафику сети. В тоже время, последние 30 лет ведутся активные исследования моделей потоков с переменной интенсивностью, которые более точно соответствуют реальному трафику компьютерной сети. В свете сказанного, представляется актуальным исследование вопросов обнаружения угроз в сети в рамках статистического метода, на основании актуальных моделей сетевого трафика.
Цель работы.
Целью моей работы является создание адаптивного алгоритма выявления аномального поведения трафика в компьютерной сети на основе статистических данных с использование модели альтернирующего потока.
Постановка задачи.
Задачи, поставленные и решённые в рамках данной работы:
- Изучение существующих моделей дважды стохастических потоков, в частности, альтернирующего потока.
- Разработка общей идеи алгоритма.
- Сбор статистики сетевой активности пользователей локальной сети.
- Применение модели альтернирующего потока к собранной статистике, оценка параметров потока.
- Анализ динамики полученных параметров альтернирующего потока.
- Исследование возможных методов выявления аномальной активности в сети.