|

Оценка влияния трешолдинга на достоверность обнаружения аномальных вторжений в компьютерные сети статистическим методом

Авторы: Басараб М.А., Шелухин О.И., Коновалов И.А. Опубликовано: 01.10.2018
Опубликовано в выпуске: #5(122)/2018  
DOI: 10.18698/0236-3933-2018-5-56-67

 
Раздел: Информатика, вычислительная техника и управление | Рубрика: Методы и системы защиты информации, информационная безопасность  
Ключевые слова: достоверность обнаружения, аномалия, вейвлет-преобразование, вейвлет-коэффициенты, пороговая обработка, статистические критерии

Для онлайн-обнаружения аномалий, представляющих собой вторжения в компьютерные сети, предложен метод, основанный на статистических критериях с дополнительной пороговой обработкой вейвлет-коэффициентов детализации --- трешолдингом. Методы с использованием статистических критериев применяются в поведенческих системах обнаружения вторжений, которые фиксируют отклонения от заданного профиля нормального поведения. В предложенном методе для вычисления решающих статистик использовано два скользящих окна, что позволяет обеспечить высокую эффективность обнаружения аномалий трафика. Рассмотрена реализация решающих статистик для трех критериев, основанных на выборочном среднем и выборочной дисперсии: 1) критерий Фишера для средних; 2) критерий Кохрана --- Кокса; 3) критерий Фишера для дисперсий. Обработка трафика с помощью трешолдинга осуществляется вводом дополнительного окна обработки с заданным размером. Обнаружение аномалий проведено путем сравнения значений решающих статистик с рассчитанным в соответствии со статистикой нормального трафика пороговым значением. На примере обнаружения атак типа UDP-flood и ICMP-flood рассмотрено влияние трешолдинга на достоверность обнаружения аномалий. Показано, что применение разработанного алгоритма на основе статистического анализа с дополнительным трешолдингом коэффициентов детализации вейвлет-разложения позволяет повысить достоверность обнаружения аномальных вторжений

Литература

[1] Шелухин О.И., Сакалема Д.Ж., Филинова А.С. Обнаружение вторжений в компьютерные сети. Сетевые аномалии. М.: Горячая линия–Телеком, 2013. 220 с.

[2] Feinstein L., Schnackenberg D., Balupari R., Kindred D. Statistical approaches to DDoS attack detection and response // Proc. DARPA Information Survivability Conf. and Exposition. 2003. Vol. 2. P. 72–73. DOI: 10.1109/DISCEX.2003.1194894

[3] Mahadik V.A., Xiaoyong Wu, Reeves D.S. Detection of denial-of-QoS attacks based on Х2 statistic and EWMA control charts. URL: http://arqos.csc.ncsu.edu/papers/2002-02-usenixsec-diffservattack.pdf (дата обращения: 07.02.2018).

[4] Ye N., Chen Q. An anomaly detection technique based on a chi-square statistic for detecting intrusions into information systems // Quality and Reliability Engineering International. 2001. Vol. 17. Iss. 2. P. 105–112. DOI: 10.1002/qre.392

[5] Hamna Farhan P.C., Britto D.J., Suganya K. Low rate DDoS attack detection and traceback using wavelet analysis // IRJET. 2016. Vol. 3. No. 6. P. 2813–2816.

[6] Alarcon-Aquino V., Barria A. Anomaly detection in communication networks using wavelets // IEE Proceedings — Communications, 2001. Vol. 148. Iss. 6. P. 355–362. DOI: 10.1049/ip-com:20010659

[7] Munivara Prasad K., Rama Mohan Reddy A., Venugopal Rao K. DoS and DDoS attacks: defense, detection and traceback mechanisms — a survey // Global Journal of Computer Science and Technology: E. Network, Web & Security. 2014. Vol. 14. No. 7. Version 1.0. Р. 15–31.

[8] Barford P., Kline J., Plonka D., Ron A. A signal analysis of network traffic anomalies // Proc. ACM SIGCOMM Internet Measurement Workshop, 2002. P. 1–12.

[9] Kim S.S., Narasimha Reddy A.L., Vannucci M. Detecting traffic anomalies at the source through aggregate analysis of packet header data // Proceedings of Networking, 2004. URL: https://cesg.tamu.edu/wp-content/uploads/2012/04/reddy_papers/skim_net04.pdf (дата обращения: 07.02.2018).

[10] Li L., Lee G. DDoS attack detection and wavelets // Proc. 12th Int. Conf. on Computer Communications and Networks. 2003. DOI: 10.1109/ICCCN.2003.1284203

[11] 1999 DARPA intrusion detection evaluation data set. URL: https://www.ll.mit.edu/r-d/datasets/1999-darpa-intrusion-detection-evaluation-data-set (дата обращения: 01.02.2018).

[12] Кобзарь А.И. Прикладная математическая статистика. Для инженеров и научных работников. М.: Физматлит, 2006. 816 с.

[13] Малла C. Вейвлеты в обработке сигналов. М.: Мир, 2005. 671 с.

[14] Смоленцев Н.К. Основы теории вейвлетов. Вейвлеты в Matlab. М.: LVR Пресс, 2005. 304 с.

[15] Шелухин О.И., Панкрушин А.В. Сравнительный анализ характеристик обнаружения аномалий трафика методами кратномасштабного анализа // T-Comm. Телекоммуникации и транспорт. 2014. Т. 8. № 6. С. 65–70.

[16] Шелухин О.И., Филинова А.С., Васина А.В. Обнаружение аномальных вторжений в компьютерные сети статистическими методами // T-Comm. Телекоммуникации и транспорт. 2015. Т. 9. № 10. С. 42–49.