11
наилучшим образом отражающий его реальный взгляд на сеть, как на
логически и физически связанную структуру, состоящую из СУ.
Моделью сетевого устройства (МСУ) будем называть набор ха-
рактеристик (интегральных показателей) СУ и способ их формирова-
ния, позволяющий оценивать степень аномальности состояния СУ.
МСУ предложено строить на основе характеристик, извлекаемых
из входных и выходных сетевых потоков СУ. МСУ иллюстрируется на
рис.2.
с
На рис.2 ' - вектор, содержащий значения интегральных показа-
телей сетевого устройства за некоторый интервал времени (шаг струк-
с
туризации трафика), < - вектор нормированных интегральных показа-
телей.
- диапазон времени, а к - число интеграль-
ных показателей.
где
-вектор средних значений шаблонных данных
- среднеквадратическое отклонение на шаблонных данных
Рис 2 Модель сетевого устройства
МСУ определяет способ формирования вектора нормированных
интегральных показателей сетевого устройства являющихся вход-
ными данными для аппарата выявления АРВ (системы принятия реше-
ний).
В качестве характеристик (интегральных показателей), опреде-
ляющих функционирование СУ. предложено использовать показатели
работы СУ на сетевом (IP) и транспортном (TCP, UDP, ICMP) уровнях.

12
Все интегральные показатели разделены на три группы: определяющие
работу СУ по протоколам IP-TCP, IP-UDP, IP-ICMP. В группу IP-TCP
входит 28 интегральных показателей, а в группы IP-UDP, IP-ICMP по
16.
Демонстрируется характер взаимосвязи типичных АРВ с предло-
женными характеристиками, который указывает на то, что известные
типы АРВ могут быть зафиксированы на данном наборе интегральных
показателей. Кроме того, обосновывается утверждение, что на этом
наборе характеристик будут зафиксированы и новые типы АРВ. про-
являющиеся аналогичным образом.
Предложен принцип структуризации сетевых пакетов, позволяю-
щий в дальнейшем по сохраненной информации восстановить историю
сетевых взаимодействий и сформировать необходимые интегральные
показатели СУ.
Структуризация сетевых пакетов позволяет преодолеть «проклятие
размерности», т.е. уменьшить объем анализируемых данных без суще-
ственной потери информативности с точки зрения выявления АРВ.
Она представляет собой процесс упорядочения трафика с целью его
рационального хранения и возможности извлечения интегральных по-
казателей СУ.
Структуризация заключается в формировании счетчиков значений
отдельных полей сетевых пакетов по ключевым полям в ходе процесса
захвата сетевых пакетов. Ключевые поля задают логическую связь ме-
жду пакетами.
Проведенные эксперименты показали, что предложенный способ
структуризации позволяет трансформировать сетевой трафик в дан-
ные, размер которых составляет в среднем 1ч-5 % от первоначального
объема.
Введем следующие определения.
Шаблонными данными (ШД) СУ назовем массивы векторов зна-
чений интегральных показателей СУ на некотором временном интер-
вале (шаблонном окне), которые считаются данными, характери-
зующими его нормальную работу.
Под шаблоном нормального поведения (ШИП) СУ условимся по-
нимать вектор значений интегральных показателей Sw
t
 содержащий
наиболее вероятные значения каждого из них и значений параметров,
определяемых алгоритмами обнаружения АРВ и вычисленных на осно-
ве нормированных шаблонных данных СУ.

13
где к - число интегральных по-
казателей СУ, Ш1. наиболее вероятное значение i-ro нормированного
показателя, / - общее число параметров, ""- значение j-ro параметра.

Download 262.99 Kb.

Do'stlaringiz bilan baham: