Ежеквартальный журнал издательства СПбПУ
под редакцией проф. Д. П. Зегжды
под редакцией проф. Д. П. Зегжды
Санкт-Петербургский политехнический университет Петра Великого
Институт компьютерных наук и технологий.
Кафедра информационной безопасности компьютерных систем
Институт компьютерных наук и технологий.
Кафедра информационной безопасности компьютерных систем
Проблемы информационной безопасности. Компьютерные системы
Издается с 1999 года.
ISSN 2071-8217
ISSN 2071-8217
АЛГОРИТМ ОПЕРАТИВНОГО ОБНАРУЖЕНИЯ АНОМАЛИЙ ТРАФИКА В ВЫСОКОСКОРОСТНЫХ КОРПОРАТИВНЫХ МУЛЬТИСЕРВИСНЫХ СЕТЯХ СВЯЗИ
Агеев С.А.
ОАО «Радиоавионика», Россия
Агеева Н.С.
Военная академия связи им. С. М. Буденного,
Каретников В.В.
Государственный университет морского и речного флота им. адмирала С.О. Макарова,
Привалов А.А.
Петербургский государственный университет путей сообщения Императора Александра I,
Сикарев И.А.
Российский государственный гидрометеорологический университет
Аннотация: Предложен адаптивный алгоритм обнаружения аномалий трафика в высокоскоростных корпоративных мультисервисных сетях связи, функционирующий в режиме реального времени. Приведены основные результаты его исследования.
Актуальность приведенного исследования определяется тем, что подавляющее большинство процессов управления информационной и сетевой безопасностью, а также процессов управления рисками реализаций их угроз в высокоскоростных корпоративных мультисервисных сетях связи необходимо реализовывать в режиме близком к режиму реального времени с требуемым качеством.
В основу предлагаемого подхода положена концепция условной нелинейной Парето – оптимальной фильтрации В. С. Пугачева, заключающаяся в том, что оценка параметров трафика производится в два этапа, - в начале оценивается прогноз значений параметров, а затем, с получением следующих наблюдений параметров, производится их корректировка. Прогнозы параметров трафика производятся в небольшом скользящем окне, а адаптация алгоритма реализуется псевдоградиентными процедурами, параметры которых регулируются методом нечеткого логического вывода Такаги – Сугено. Далее, с помощью алгоритма быстрого преобразования Фурье, в скользящем окне находятся спектральные плотности мощностей полученных оценок математического ожидания и дисперсии трафика МСС. По их приращениям, которые определяются в двух скользящих окнах, принимается решение о наличии или отсутствии аномалий.
Предложенный метод и алгоритм относятся к классу методов и алгоритмов с предварительным обучением. Средняя относительная погрешность оценки параметров трафика не превышает 7 %, что является достаточным значением для реализации задач оперативного сетевого управления. Аномалии математического ожидания трафика и его дисперсия идентифицируются, если их значения превышают нормальные значения на 17 - 24%. Особенностью разработанных процедур оценки характеристик высокоскоростного трафика является то, что они позволяют учитывать динамику изменения оцениваемых параметров.
Процедура обнаружения аномального поведения трафика реализована на основе нечеткого логического вывода Мамдани, в котором интервалы состояния параметров трафика определяются на основе принятой в сети политики безопасности.
Ключевые слова: псевдоградиентный алгоритм, условно нелинейная Парето – оптимальная фильтрация, нечеткий логический вывод Такаги - Сугено, нечеткая база правил, нечеткая база знаний
Страницы 20-30