Безопасность информационных технологий

Целью данной статьи является представление метода выявления аномалий сетевого трафика, основанного на утверждении о том, что трафик является фракталом. Предположено, что сетевой трафик является самоподобной структурой и моделируется фрактальным броуновским движением. В качестве инструментов при разработке данного метода были применены фрактальный анализ и математическая статистика. Проведен анализ существующих методов выявления сетевых аномалий на предмет их недостатков. Результатом работы является модифицированный метод выявления аномалий сетевого трафика. Данный метод относится к полуконтролируемой методике обнаружения аномалий, что позволяет процессу быть практически автономным от человеческого вмешательства. Кроме того, метод можно отнести к группе статистических методов, что делает его достаточно простым в реализации. В отличие от существующих представленный метод использует выборки оптимальных объемов (т.е. выборки за время, которое является одновременно достаточно малым, чтобы среагировать на аномалию вовремя, но при этом время, которое позволит получить такие выборки, которые будут достаточны для расчета параметра и снизят число ложных срабатываний), полученные за минимальное, но при этом достаточное время. Данный алгоритм выявления аномалий состоит из двух частей: расчета образцов (эталонных значений) и сравнения получаемого трафика с эталоном (анализ аномалий сетевого трафика). Расчет эталонов опирается на вычисление значений параметра самоподобия (параметра Хёрста) для некоторых показателей из заголовков пакетов. Алгоритм поиска аномалий, лежащий в основе метода, может применяться как для поиска входящих аномалий (сетевых атак), так и для поиска аномалий в исходящем трафике (DLP-системы).

1. Чебышев Виктор, Синицын Федор, Паринов Денис, Лискин Александр, Купреев Олег. Развитие информационных угроз во втором квартале 2018 года. Статистика. URL: https://securelist.ru/it-threat-evolution-q2-2018-statistics/90919/ (дата обращения: 20.02.2019).

2. Leland W.E., Taqqu M.S., Willnger W., Wilson D.V. On the self-similar nature of Ethernet traffic. ACM Transaction on Networking. 1994. Vol. 2, no. 1. P. 1 – 15.

3. Моргайлов Д.Д., Ладыженский Ю.В., Юнис М. Моделирование самоподобного входного трафика сетевых процессоров в системе NS-2. Информатика и компьютерные технологии – 2012 (ИКТ – 2012) / Материалы VIII международной научно-технической конференции студентов, аспирантов и молодых ученых – 18-19 сентября 2012 – Донецк, ДонНТУ – 2012. С. 232 – 239. URL: http://uran.donntu.org/~masters/2013/fknt/morgajlov/library/selfsim.htm (дата обращения: 20.02.2019) .

4. Поршнев С.В. Математические модели информационных потоков в высокоскоростных магистральных интернет-каналах. М.: Горячая линия-Телеком, 2016. 232 с.

5. Сидорова О.И. Пуассоновская модель трафика с бесконечным числом неоднородных источников. Вестник ТвГУ. Серия: Прикладная математика. 2015. № 1. С. 47 – 66.

6. Осин А.В. Фрактальное движение Леви и его приложение к моделированию сетевого трафика. Электротехнические комплексы и системы. 2007. №1. Т. 3. С. 38 – 43.

7. Кроновер Р.М. Фракталы и хаос в динамических системах. Основы теории. М.: Постамаркет, 2000. 352 с.

8. Микова С.Ю, Оладько В.С. Нестеренко М.А. Подход к классификации аномалий сетевого трафика. Международный научный журнал «Инновационная наука». 2015. №11. С. 78 – 80.

9. Унтеров Д.С. Разработка метода обнаружения аномалий сетевого трафика на границе ЛВС предприятия: дис. магистерская. СПб.: 2016. 80 с.

10. Naila Belhadj Aissaa, Mohamed Guerroumia. Semi-Supervised Statistical Approach for Network Anomaly Detection – Procedia Computer Science 83. 2016. Р. 1090 – 1095.

11. Mazurek M., Dymora P. Network anomaly detection based on the statistical self-similarity factor for HTTP protocol. Przeglad Elektrotechniczny. 2014. Vol. 90, no.1. P.127 – 130.

12. Федер Е. Фракталы. М.: Мир, 1991. 253 с.

13. Гончаренко А. RS-анализ (анализ фрактальной структуры временных рядов). URL: https://itnan.ru/post.php?c=1&p=256381 (дата обращения: 20.02.2019).

14. Справочник по теории вероятностей и математической статистике. В.С. Королев, Н.И. Портенко,
А.В. Скороход, А.Ф. Турбин. -- М.: Наука, 1985. 640 с.

15. Котов Андрей. TShark - консольная версия программы Wireshark. URL: https://kb.zyxel.ru/hc/ru/articles/115002596254-TShark-Wireshark (дата обращения: 20.02.2019) .

16. Стресс-тест сети: DoS с использованием hping3 и спуфингом IP в Kali Linux. URL: https://codeby.net/blogs/stress-test-seti-dos-s-ispolzovaniem-hping3-i-spufingom-ip-v-kali-linux/ (дата обращения: 20.02.2019).