Автор:

Рубрика: Технические науки

Опубликовано в Молодой учёный №4 (138) январь 2017 г.

Дата публикации: 30.01.2017

Статья просмотрена: 7 раз

Библиографическое описание:

Кадыров М. М. Обеспечение защиты информации в инфокоммуникационных системах с использованием фильтрации сетевого трафика // Молодой ученый. — 2017. — №4. — С. 18-20. — URL https://moluch.ru/archive/138/38794/ (дата обращения: 23.04.2018).



Сетевые технологии стали неотъемлемой частью жизнедеятельности современного общества. При этом для эффективной работы сетей большое значение имеет надежность передачи данных по каналам связи [1].

На первом этапе необходимо определить форму и количество данных, на которых будет производиться прогнозирование. Циклический анализ сильно зависит от однородности данных. Используемые данные должны иметь однородную структуру, иначе неоднородность данных при анализе, скорее всего, изменит структуру циклов. Таким образом резкое изменение в работе ВС (например подключении большого количество хостов или изменение в расписании), которые могут изменить форму циклов, должны учитываться при поиске и оценке аномалии.

Поскольку циклический анализ предполагает работу с рядом данных, необходимо сформировать имеющиеся данные по сетевому трафику в виде ряда значений, описывающих изменение объема трафика во времени. Для этого необходимо провести дискретизацию потока трафика.

Устранив случайные колебания, можно приступить к непосредственному поиску циклов. Чтобы определить частотные составляющие рассматриваемого ряда, используем метод спектрального анализа. Математической основой спектрального анализа является преобразование Фурье. Поскольку обрабатываемая статистика сетевого трафика имеет вид цифрового ряда, для определения частотных составляющих подойдет метод дискретного преобразования Фурье. С помощью прямого дискретного преобразования Фурье найдем комплексные амплитуды ряда данных :

,

где – количество элементов ряда данных и количество компонентов разложения, – мнимая единица.

Модуль комплексного числа может быть найден как:

.

Определив возможные циклы и их частоты, рассчитаем обычную (вещественную) амплитуду и фазу . Пусть найдено возможных циклов, частоты которых составляют множество , т.е. каждое значение частоты, при которой наблюдается пик в области скопления высоких значений спектра является элементом множества .

Тогда амплитуды и фазы найденных циклов могут быть вычислены по формулам:

,

,

где , – функция мнимого числа: угол мнимого числа (в радианах), соответствующий .

Функция, описывающая цикл, выглядит как:

.

Однако, как уже было сказано, высокое значение спектра мощности лишь предполагает наличие цикла. Поэтому следующим шагом является подтверждение найденных циклов. Для этого необходимо проверить определенное количество критериев.

Качество проверки циклов на статистическую надежность сильно зависит от существования направленности в данных. Поэтому перед проверкой необходимо провести удаление тренда из данных. Для этого можно применить метод отклонения от скользящего среднего. В данном случае, скользящая средняя будет отражать силы роста в данных, следовательно, ее вычитание из данных удалит и трендовую составляющую. Таким образом, чтобы удалить тренд в данных необходимо для каждой найденной частоты рассчитать скользящую среднюю для ряда данных с количеством точек сглаживания :

,

где полученный ряд данных будет короче исходного на точек: , .

Далее вычитаем из исходно ряда данных полученную скользящую среднею

.

Удалив силы роста в данных, можно приступать к проверке найденных циклов на статистическую значимость.

Для оценки циклов обычно используют тесты F-коэффициент и хи-квадрат, поэтому они же будут использованы для проверки циклов в сетевом трафике [2].

Отметим, что результаты теста зависят от количества повторений цикла в данных. Чем таких повторений больше, тем более статистически значим данный цикл.

На основе введенных переменных формируется набор правил. Пример правил:

− ЕСЛИ V = {ОТ низкая ДО ниже среднего} и M = {ОТ низкая ДО средняя} и I = {ОТ незначительное ДО среднее}и W = {ОТ незначительный ДО средний} ТО E = {незначительная};

− ЕСЛИ V = {ОТ выше среднего ДО высокая} и M = {ОТ постоянная ДО постоянная } и I = {ОТ выше среднего ДО большое}и W = {ОТ выше среднего ДО выше среднего} ТО E = {высокая};

При формировании набора правил в качестве основы была использована схема с N экспертами, каждый из которых независимо друг от друга, продуцирует набор правил [3].

Суть данного подхода заключается в следующем. Каждый эксперт создает свой набор правил. Сгенерированный набор правил каждым последующим экспертом дополняет базу правил новыми правилами, тем самым увеличивая полноту модели. Поскольку заполнение базы правил экспертами происходит независимо, в каждом последующем наборе правил могут содержаться правила, которые могут повторять уже существующие правила. Также в новом наборе правил могут быть правила, противоречащие правилам из других наборов. Таким образом, появляется проблема проверки базы правил на противоречивость, избыточность и полноту.

Понятие однозначности означает, что каждому сочетанию координат V, M, I, W соответствует только одно значение выходной координаты Е. В идеале, правила должны полностью соответствовать понятию однозначности, однако, из-за возможной размытости знаний экспертов и значениях лингвистических переменных, допускается частичная однозначность [4, 5].

Избыточность подразумевает ситуацию, когда одно правило включает в себя другое правило из общего набора, например:

Правило 1:

ЕСЛИ V = {ОТ низкая ДО ниже среднего} и M = {ОТ низкая ДО средняя} и I = {ОТ незначительное ДО среднее} и W = {ОТ незначительный ДО средний} ТО E = {незначительная}

Правило 2:

ЕСЛИ V = {ОТ низкая ДО ниже среднего} и M = {ОТ низкая ДО средняя} и I = {ОТ незначительное ДО среднее} и W = {ОТ незначительный ДО незначительный} ТО E = {незначительная}

Как видно из примера, в первых трех координатах правила полностью идентичны, однако параметр «средний объем трафика от одного источника» для первого правила измеряется «ОТ незначительный ДО средний», во втором случае это параметр имеет диапазон «ОТ незначительный ДО незначительный» Очевидно, что второе правило входи в первое правило.

Понятие противоречивости. Если два правила имеют на входе одинаковые значения координат V, M, I, W а на выходе значение Е различно (нарушение гипотезы однозначности), то данные правила считаются противоречивыми:

Правило 1:

ЕСЛИ V = {ОТ низкая ДО ниже среднего} и M = {ОТ низкая ДО средняя} и I = {ОТ незначительное ДО среднее} и W = {ОТ незначительный ДО незначительный} ТО E = {незначительная}

Правило 2:

ЕСЛИ V = {ОТ низкая ДО ниже среднего} и M = {ОТ низкая ДО средняя} и I = {ОТ незначительное ДО среднее} и W = {ОТ незначительный ДО незначительный} ТО E = {средняя}

Под полнотой понимается отношение доли охвата знаний выходных координат к общему диапазону возможных решений.

Литература:

  1. Проталинский О. М. «Применение методов искусственного интеллекта при автоматизации технологических процессов». Астрахань: Изд-во АГТУ, 2004.
  2. Марьенков А. Н., Ажмухамедов И. М. «Повышение безопасности компьютерных систем и сетей на основе анализа сетевого трафика». Инфокоммуникационные технологии. Том 8, № 3 / 2010, стр. 106–108.
  3. Платонов В. В. Программно-аппаратные средства защиты информации: учебник для студ. Учреждений выс. Образования / — М.: Издательский центр «Академия», 2014.
  4. Scarfone Karen; Mell Peter (February 2007). «Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). Computer Security Resource Center (National Institute of Standards and Technology) (800–94). Retrieved 1 January 2010.
  5. В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы 4 издание — Питер-2010. 944 с.
Основные термины (генерируются автоматически): {ОТ низкая, {ОТ незначительный, {ОТ незначительное, ряда данных, {ОТ выше среднего, проверки циклов, дискретного преобразования Фурье, «ОТ незначительный, сетевого трафика, амплитуды ряда данных, непосредственному поиску циклов, Качество проверки циклов, структуру циклов, диапазон «ОТ незначительный, элементов ряда данных, возможных циклов, форму циклов, мнимого числа, количество данных, {ОТ постоянная.

Обсуждение

Социальные комментарии Cackle
Задать вопрос