14
После этого запускается процесс сопоставления вновь поступаю-
щих данных с ШНГТ, соответствующим текущему моменту времени
(часу работы).
Для того, чтобы отсеять АРВ, которые могли находиться в обу-
чающих данных и иметь актуальный ШНП, предлагается периодиче-
ски его перестраивать, отбрасывая самые старые данные и добавляя
вновь поступившие (с учетом результатов проведенного анализа- до-
бавляются данные, имеющие приемлемую степень аномальности)
Уточнение ШНП может осуществляться двумя способами-
1) Автоматически Автоматическое перестроение ШНП и сдвиг шаб-
лонного окна с учетом результатов анализа;
2) Принудительно администратором системы (в случае возникнове-
ния подозрений на некорректную работу СПР) Предполагает визу-
альный анализ администратором истории взаимодействий, прину-
дительное включение/исключение данных в ШД и запуск процесса
перестроения ШНП
Автоматическое перестроение ШНП подразумевает сдвиг шаблон-
ного окна на сутки (самые старые сутки удаляются из рассмотрения, а
новые добавляются) Данные, включаемые в ШНП, должны иметь спе-
циальную метку выставляемую системой на этапе анализа Метки на-
кладываются на те данные, степень аномальности которых находится в
заданных пределах Рассмотренный процесс иллюстрируется на рис 3
Введем следующие определения
Окно анализа - интервал времени от текушего момента до неко-
торого момента в прошлом, на котором оцениваются значения ха-
рактеристик СУ с целью определения степени аномальности его по-
ведения
Шаг анализа - интервал времени, на который происходит смеще-
ние окна анализа Длительность шага анализа принимается равной
длине шага структуризации трафика
Методика выявления АРВ может быть представлена в виде цикли-
ческого процесса, реализуемого автоматизированной системой и дей-
ствий администратора по работе с ней Общие принципы ее работы
иллюстрирует рис 3

15
Окно
анализа
(1 час)
Рис. 3 Принцип функционирования мечодики.
Методика включает в себя следующие шаги:
1. В инфраструктуру компьютерной сети внедряется автоматизиро-
ванная система (реализующая данную методику), которая в тече-
нии недели работает в режиме накопления структурированных
данных о сетевом трафике;
2. Через неделю запускается процесс обучения. В ходе его работы
для интересующих СУ строятся ШНП;
3. Запускается множество параллельных процессов анализа для кон-
кретных СУ;
4. В течение шага процесса анализа происходит захват трафика, его
структуризация, сохранение в базе данных, извлечение и норми-
ровка характеристик интересующего СУ;
5. Полученный на текущем шаге вектор характеристик стыкуется с
векторами, полученными на предыдущих шагах и входящими во
временное окно анализа;
6. На данных, входящих в окно анализа, запускается процесс выявле-
ния АРВ;
7. Информация о выявленной степени аномальности в текущих дан-
ных заносится в базу данных;
8. В зависимости от результатов анализа происходит корректировка
ШД (на данные, имеющие допустимый уровень аномальности ста-
вится метка о включении в ШД, а с данных, имеющих недопусти-
мый уровень аномальности, аналогичная метка снимается);
9. Окно процесса анализа сдвигается на шаг анализа. При этом из
рассмотрения удаляются данные самого старого шага анализа и
добавляются нормированные данные за последний шаг;
10. В случае перехода начала окна анализа через середину следующего
часа, происходит актуализация текущих шаблонных параметров
(из ШНП СУ выбираются шаблонные значения следующего часа).
11. Далее процесс повторяется (с п.4);
По запросу администратора предоставляется информация о тен-
денциях изменения степени аномальности СУ.

16
Управление описанным выше процессом осуществляется админи-
стратором. Наиболее важными задачами, которые должен решать ад-
министратор в процессе использования системы, являются:
• Анализ результатов работы системы по выявлению степени
аномальности СУ;
• Контроль за модификацией ШНП.
В случае выявления АРВ администратор должен принять меры по
ее устранению. Принимаемые меры в каждом конкретном случае мо-
гут быть разными, т.к. зависят от типа АРВ и существующей сетевой
конфигурации. В качестве примера, они могут заключаться в:
• изменении правил настройки межсетевого экрана;
• обновлении уязвимого программного обеспечения;
• обновлении антивирусных баз;
• изменении настроек сетевых сервисов;
• временной остановке сетевой службы;
• др.
В третьей главе диссертации рассматриваются:
• Результаты исследований реального сетевого трафика, которые
были направлены на выявление характера и структуры взаимосвя-
зей между интегральными показателями СУ в случае «нормаль-
ной» работы и при наличии АРВ;
• Алгоритмы работы системы принятия решений (СПР), опреде-
ляющие математический аппарат выявления АРВ на основе анали-
за многомерных массивов данных (интегральных показателей СУ),
характеризующих функционирование сетевого устройства во вре-
мени.
Исследования заключались в обработке статистическими методами
реального сетевого трафика. Следы АРВ в нем были имитированы се-
тевым сканером nmap, используемым в маскирующих режимах рабо-
ты. Данный метод моделирования АРВ был выбран исходя из того, что
проявление в сетевом трафике попыток распределенного во времени
сканирования отражает наиболее общие выявленные особенности
АРВ.
Для исследований были использованы одномерные и многомерные
методы анализа. В рамках одномерного анализа для каждого инте-
грального показателя СУ были получены и проанализированы:

17
• Точечные оценки математических ожиданий и среднеквадратиче-
ских отклонений;
• Интервальные оценки генеральных средних;
• Функции плотностей распределения.
Точечная оценка математического ожидания проводилась по фор-
муле нахождения выборочного среднего:
, где х, - значение характеристики, N - количество значений
в исследуемой выборке.
Выборочное среднеквадратическое отклонение оценивалось сле-
дующим образом:
, где х, - значение характеристики, N - количество
значений в исследуемой выборке, т* - выборочное среднее.
Для интервального оценивания генеральных средних использова-
лась формула:
- вы-
борочное среднее, - аргумент функции Лапласа, соответствующий
задаваемой доверительной вероятности - выборочное среднеквад-
ратическое отклонение,
 п
- объем выборки. Оценивание проводилось
для
Основные результаты одномерного анализа:
• оценки математических ожиданий отдельных характеристик для
нормальных выборок принимают меньшие значения по сравнению
с данными, содержащими АРВ;
• значения среднеквадратических отклонений для данных, содержа-
щих АРВ, выше, чем для нормальных;
• доверительные интервалы генеральных средних для отдельных
характеристик не пересекаются. Это указывает на разделение по
генеральным средним нормальных данных и данных, содержащих
АРВ;

18
• большинство функций плотностей распределения отдельных инте-
гральных показателей в случае «нормальной» работы СУ проявля-
ют свойство одномодальности (достигают максимума только в од-
ной точке) и имеют положительную асимметрию;
• для распределений интегральных показателей при наличии АРВ
характерно возникновение полимодальности.
Многомерный анализ был проведен на основе корреляционного и
кластерного анализа.
Основные результаты корреляционного анализа:
• Корреляционные связи между частью переменных на «нормаль-
ных» данных являются достаточно устойчивыми;
• Существующая устойчивость корреляционных связей на данных,
содержащих следы АРВ, может нарушаться. Это проявляется:
1) в изменении силы корреляционной связи (ее уменьшении/ уве-
личении);
2) изменении знака связи при одновременном уменьшении зна-
чимости.
Кластерный анализ был выбран для исследования степени близо-
сти событий, характеризующих состояние СУ на текущем шаге струк-
туризации, в случае «нормальной» работы устройства и при возникно-
вении АРВ.
В качестве меры близости использовалось обычное евклидово рас-
стояние, вычисляемое по формуле:
- величина 1-ой характери-
стики i-ro G"
r 0
) события, к - общее число характеристик объекта.
Классификации событий предшествовала нормировка каждой ха-
рактеристики СУ к единой шкале измерений. Нормировка проводилась
путем деления центрированной характеристики на среднее квадрати-
ческое отклонение:
- значение l -ой характеристики у i -го объ-
екта (события);
- среднее арифметическое значение l -ой характеристики, полу-
ченной на ШД;

19
среднее квадратическое отклонение l -ои
характеристики, полученной на ШД.
Основные результаты кластерного анализа:
• на событиях, характеризующих «нормальную» работу СУ, как пра-
вило, формируется единственный, ярко выраженный кластер;
• классификация массива данных, содержащего нормальные и ано-
мальные события, приводит к расслоению данных на два кластера.
Таким образом, было установлено, что критерием наличия АРВ по
отношению к СУ может выступать факт формирования отдельного
кластера, заметно отстоящего от нормального, на некотором времен-
ном окне анализа.
Проведенные исследования позволили предложить алгоритмы оп-
ределения степени аномальности поведения СУ, которые легли в осно-
ву системы принятия решений (СПР).
СПР определяет аппарат, позволяющий формировать ШНП для СУ
и вычислять степень отклонения от него, определяющую степень ано-
мальности СУ.
В качестве параметров ШНП СУ выбирается центр многомерного
кластера, сформированного на ШД, средние, среднеквадратические
отклонения отдельных интегральных показателей (вычисляемые на
ШД и используемые при нормировке координат новых событий), ко-
вариационная матрица и три пороговых значения отклонения от цен-
тра.
Пороговые отклонения вычисляются на основе изна-
чально задаваемых значений доверительных вероятностей
по функции плотности распределения отклонений от центра в «нор-
мальном» кластере, их рекомендуемые значения определены эмпири-
чески, являются параметрами методики и могут быть изменены при
необходимости администратором. Пороговые отклонения определяют
границы зон аномальности и позволяют администратору наглядно
оценить текущую ситуацию. Удаление от центра кластера указывает
на увеличение общего уровня аномальности.
Центр кластера формируется методом поиска наиболее вероятного
значения для каждого из интегральных показателей СУ и группирова-
нием этих значений в единый вектор.

20
В качестве метрики отклонений событий от центра «нормального»
кластера было выбрано расстояние Махаланобиса, поскольку оно по-
зволяет учесть как изменение абсолютных значений характеристик
СУ, так и наличие зависимостей между ними.
Расстояние Махаланобиса вычисляется по следующей формуле:
где S - вектор, характеризующий
событие (или окно событий), Siu - вектор, характеризующий центр
"нормального" кластера, К

Download 262.99 Kb.

Do'stlaringiz bilan baham: