ПРИМЕНЕНИЕ МЕТОДОВ МНОГОКРИТЕРИАЛЬНОГО ПРОГНОЗИРОВАНИЯ В СЕТЕВЫХ СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
34 А. В. Гирик
УДК 004.056, 519.812.3
А. В. ГИРИК
ПРИМЕНЕНИЕ МЕТОДОВ МНОГОКРИТЕРИАЛЬНОГО ПРОГНОЗИРОВАНИЯ
В СЕТЕВЫХ СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Рассматриваются вопросы разработки математических моделей для сетевых систем обнаружения вторжений. Предложен метод обнаружения сетевых аномалий на основе многокритериального прогнозирования показателей безопасности. Поставлена и решена задача расчета весовых коэффициентов, учитывающих значимость моделей прогнозирования, которая может изменяться с течением времени. Предложенный подход обладает малой вычислительной сложностью и не зависит от характера критериев выбора прогнозов. Ключевые слова: обнаружение вторжений, обнаружение сетевых аномалий, сетевая безопасность, многокритериальное прогнозирование.
Широкое распространение разнообразных информационных систем и расширение набора услуг, предоставляемых клиентам этих систем, обусловили увеличение количества информационных угроз безопасности сетей передачи данных. В связи с этим обеспечение своевременного выявления и идентификации угроз нарушения информационной безопасности является актуальной и важной проблемой. Как правило, она решается с помощью специального программного комплекса — распределенной системы обнаружения вторжений (Intrusion Detection System — IDS), которая осуществляет [1] мониторинг потоков данных в сети, анализ этих данных и выявление в анализируемых потоках данных признаков информационных угроз безопасности.
По принципу функционирования системы обнаружения вторжений делятся на два класса — выполняющие сигнатурный анализ и анализирующие статистику показателей безопасности. Особый интерес представляет обнаружение угроз безопасности сети в целом, так как последствия перегрузок, распределенных DoS-атак и других угроз, направленных на дестаби-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
Применение методов прогнозирования в сетевых системах обнаружения вторжений 35
лизацию функционирования сети, приводят к значительным материальным потерям [1].
В общем случае угрозой можно считать аномальное поведение любого из наблюдаемых пока-
зателей безопасности. На практике показатели объединяют в группы и считают аномалию
достоверно обнаруженной в случае, если поведение каждого показателя в группе идентифи-
цировано как отклонение от нормального профиля сверх некоторого предельного значения.
Метод обнаружения сетевых аномалий в режиме реального времени заключается в сле-
дующем: выполняется мониторинг некоторого показателя безопасности, затем на основе на-
копленных данных строится прогноз, т.е. рассчитывается, какие значения показатель примет
в ближайшее время, после чего прогноз сравнивается с реальными значениями показателя и
на основании определенных критериев (в первую очередь, величины ошибки прогноза) при-
нимается решение о наличии аномалии.
Эффективность метода зависит от точности прогноза. При решении задач обнаружения се-
тевых аномалий (в отличие, например, от задач планирования инфраструктуры) существует по-
требность в получении точных прогнозов с относительно небольшим горизонтом [2]. Для повы-
шения точности прогноза предлагается одновременно использовать несколько моделей прогнози-
рования. В зависимости от времени и других факторов степень корректности моделей может из-
меняться, поэтому при формировании обобщенного прогноза необходимо определить степень
значимости модели. Таким образом, приходим к задаче выбора весовых коэффициентов, учиты-
вающих значимость модели, т.е. определение вклада, который вносит та или иная модель прогно-
зирования (тот или иной ее компонент) в формирование прогноза на очередном шаге.
Сформулированные задачи будем решать как задачи многокритериальной оптимизации
[3]. Пусть имеется совокупность моделей прогнозирования Zk , k =1, 2, ..., N , которые обеспе-
чивают формирование прогнозов с некоторым горизонтом h (т.е. на h отсчетов вперед). Сте-
пень соответствия совокупности прогнозов X j , j =1, 2, ..., N , реальным значениям параметра
X определяется с помощью семейства критериев Q ={Q1, Q2 , ..., QS } , которое содержит S ча-
стных критериев. Будем считать, что каждый критерий Qi ( X j )∈[0,1] , иными словами, значе-
ние каждого частного критерия есть величина из интервала [0,1], причем „0“ означает полное
несовпадение по данному критерию, а „1“ соответствует полному совпадению. Таким обра-
зом, частные критерии нормализованы и приведены к безразмерному виду. В этом случае
нужно обеспечить Qi ( X j ) → max для всех j.
Как правило, многокритериальная задача сводится к однокритериальной путем введе-
ния обобщенного критерия оптимальности F, который может быть аддитивной, мультипли-
кативной или среднестепенной функцией частных критериев [4]. В простейшем случае мож-
но считать, что все критерии обладают одинаковой значимостью. На практике, тем не менее,
часто оказывается так, что в зависимости от времени и от исходных данных степень значимо-
сти критериев может изменяться. В этом случае каждому критерию ставится в соответствие
весовой коэффициент, отражающий его значимость. Для определения значений коэффициен-
тов используются различные методы, например диалоговый метод задания коэффициентов, в
общем случае предполагающий, что лицо, принимающее решение, предоставит достаточные
для расчета коэффициентов сведения [5]. Другой подход заключается в вычислении значений
коэффициентов исходя из качественных характеристик критериев, например чувствительно-
сти. Будем считать, что частные критерии качественно соизмеримы между собой.
Введем
следующие
обозначения:
Qiopt
= max
j
Qi
(X
j
)
—
оптимальное
значение
i-го
кри-
терия для совокупности прогнозов
X j,
j =1, 2, ..., N ;
X
opt i
=
arg
max
j
Qi
(
X
j)
— решение (про-
гноз), оптимальное по i-му критерию. Рассмотрим меру
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
36 А. В. Гирик
Cil
=
Qiopt
−
Qi
(
X
opt l
)
Qiopt
,
которая определяет относительное отклонение оптимального значения i-го критерия от зна-
чения i-го критерия, полученного для оптимального решения по l-му критерию, i,l =1, 2, ..., S .
Для всех возможных значений i и l построим матрицу из элементов Cil .
По значениям Cil можно судить о том, насколько чувствительным к решениям X j яв-
ляется i-й критерий: для этого нужно проанализировать соответствующий столбец матрицы.
Вычислим разность между максимальным и минимальным элементами всех столбцов и
сформируем
вектор
VT
= (v1, v2 , ..., vS ) ,
где
vi
=
max
l
Cil
− min
l
Cil
.
Весовые
коэффициенты
оп-
ределяются как вектор WT = (w1, w2 , ..., wS ) , где
∑wk = vi
⎛ ⎜⎝⎜
S t =1
vt
⎞ ⎟⎠⎟
.
Таким образом, определим обобщенный критерий оптимальности для решения X j в
аддитивной форме:
S
∑F ( X j ) = wiQi (X j ) , i=1
(1)
тогда оптимальное решение будет найдено как
X opt
=
arg
max
j
F
(
X
j
)
.
Если с течением времени предпочтения, определяющие выбор моделей, изменяются, то
весовые коэффициенты для моделей прогнозирования могут быть рассчитаны с учетом дина-
мики изменения значений обобщенного критерия. Рассчитаем эти значения для каждой из N
моделей и последних M прогнозов. В результате получим матрицу F , состоящую из элемен-
тов Fkj , где Fkj — значение обобщенного критерия, рассчитанного с использованием форму-
лы (1) для k-й модели прогнозирования и прогноза X kj , j =1, ..., M , k =1, ..., N . Рассчитаем
весовые коэффициенты uk для моделей следующим образом. Пусть α∈[0,1] — некоторая
M
∑константа, pk = αM − j+1Fij , тогда j=1
∑uk = pk
⎛ ⎜⎝⎜
N l =1
pl
⎞ ⎠⎟⎟
.
Матрица F переформировывается по мере получения реальных значений параметров
таким образом, чтобы значения коэффициентов отражали относительный вклад той или иной
модели на очередном шаге. Если Zk (t) — k-я модель прогнозирования, то обобщенная модель процесса может быть представлена в виде
N
∑X (t) = uk Zk (t) .
(2)
k =1
Для расчета процесса с помощью выражения (2) необходимо заполнить матрицу F , т.е.
нужно, чтобы модели были настроены на обучающей выборке, составляющей, по меньшей
мере, M прогнозов.
Рассмотренный в настоящей статье подход, основанный на сравнении оперативных про-
гнозов показателей безопасности с их нормальным профилем, позволяет обеспечить повы-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
Применение методов прогнозирования в сетевых системах обнаружения вторжений 37
шение точности обнаружения сетевых аномалий. Необходимо также отметить, что при защите сети следует ориентироваться не только на известные в настоящее время, но и на возможные угрозы, и, кроме того, учитывать особенности поведения показателей безопасности в конкретном сетевом окружении.
СПИСОК ЛИТЕРАТУРЫ
1. Лукацкий А. В. Системы обнаружения атак // Сетевой. 2002. № 4. С. 45—48.
2. Будько М. Б., Будько М. Ю., Гирик А. В. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Науч.-техн. вестн. СПбГУ ИТМО. 2007. № 39. C. 319—323.
3. Рыков А. С. Методы системного анализа: многокритериальная и нечеткая оптимизация, моделирование и экспертные оценки. М.: Экономика, 1999. 191 с.
4. Гайдышев И. Анализ и обработка данных: Спец. справочник. СПб.: Питер, 2001. 752 с.
5. Жигулин Г. П., Серебров А. И., Яковлев А. Д. Прогнозирование устойчивости и функционирования объектов с использованием теории игр и исследования операций. СПб.: СПбГУ ИТМО, 2004. 204 с.
Алексей Валерьевич Гирик
Сведения об авторе — аспирант; Санкт-Петербургский государственный университет информа-
ционных технологий, механики и оптики, кафедра мониторинга и прогнозирования чрезвычайных ситуаций; E-mail: alexei.guirik@googlemail.com
Рекомендована кафедрой мониторинга и прогнозирования чрезвычайных ситуаций
Поступила в редакцию 25.04.08 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
УДК 004.056, 519.812.3
А. В. ГИРИК
ПРИМЕНЕНИЕ МЕТОДОВ МНОГОКРИТЕРИАЛЬНОГО ПРОГНОЗИРОВАНИЯ
В СЕТЕВЫХ СИСТЕМАХ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Рассматриваются вопросы разработки математических моделей для сетевых систем обнаружения вторжений. Предложен метод обнаружения сетевых аномалий на основе многокритериального прогнозирования показателей безопасности. Поставлена и решена задача расчета весовых коэффициентов, учитывающих значимость моделей прогнозирования, которая может изменяться с течением времени. Предложенный подход обладает малой вычислительной сложностью и не зависит от характера критериев выбора прогнозов. Ключевые слова: обнаружение вторжений, обнаружение сетевых аномалий, сетевая безопасность, многокритериальное прогнозирование.
Широкое распространение разнообразных информационных систем и расширение набора услуг, предоставляемых клиентам этих систем, обусловили увеличение количества информационных угроз безопасности сетей передачи данных. В связи с этим обеспечение своевременного выявления и идентификации угроз нарушения информационной безопасности является актуальной и важной проблемой. Как правило, она решается с помощью специального программного комплекса — распределенной системы обнаружения вторжений (Intrusion Detection System — IDS), которая осуществляет [1] мониторинг потоков данных в сети, анализ этих данных и выявление в анализируемых потоках данных признаков информационных угроз безопасности.
По принципу функционирования системы обнаружения вторжений делятся на два класса — выполняющие сигнатурный анализ и анализирующие статистику показателей безопасности. Особый интерес представляет обнаружение угроз безопасности сети в целом, так как последствия перегрузок, распределенных DoS-атак и других угроз, направленных на дестаби-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
Применение методов прогнозирования в сетевых системах обнаружения вторжений 35
лизацию функционирования сети, приводят к значительным материальным потерям [1].
В общем случае угрозой можно считать аномальное поведение любого из наблюдаемых пока-
зателей безопасности. На практике показатели объединяют в группы и считают аномалию
достоверно обнаруженной в случае, если поведение каждого показателя в группе идентифи-
цировано как отклонение от нормального профиля сверх некоторого предельного значения.
Метод обнаружения сетевых аномалий в режиме реального времени заключается в сле-
дующем: выполняется мониторинг некоторого показателя безопасности, затем на основе на-
копленных данных строится прогноз, т.е. рассчитывается, какие значения показатель примет
в ближайшее время, после чего прогноз сравнивается с реальными значениями показателя и
на основании определенных критериев (в первую очередь, величины ошибки прогноза) при-
нимается решение о наличии аномалии.
Эффективность метода зависит от точности прогноза. При решении задач обнаружения се-
тевых аномалий (в отличие, например, от задач планирования инфраструктуры) существует по-
требность в получении точных прогнозов с относительно небольшим горизонтом [2]. Для повы-
шения точности прогноза предлагается одновременно использовать несколько моделей прогнози-
рования. В зависимости от времени и других факторов степень корректности моделей может из-
меняться, поэтому при формировании обобщенного прогноза необходимо определить степень
значимости модели. Таким образом, приходим к задаче выбора весовых коэффициентов, учиты-
вающих значимость модели, т.е. определение вклада, который вносит та или иная модель прогно-
зирования (тот или иной ее компонент) в формирование прогноза на очередном шаге.
Сформулированные задачи будем решать как задачи многокритериальной оптимизации
[3]. Пусть имеется совокупность моделей прогнозирования Zk , k =1, 2, ..., N , которые обеспе-
чивают формирование прогнозов с некоторым горизонтом h (т.е. на h отсчетов вперед). Сте-
пень соответствия совокупности прогнозов X j , j =1, 2, ..., N , реальным значениям параметра
X определяется с помощью семейства критериев Q ={Q1, Q2 , ..., QS } , которое содержит S ча-
стных критериев. Будем считать, что каждый критерий Qi ( X j )∈[0,1] , иными словами, значе-
ние каждого частного критерия есть величина из интервала [0,1], причем „0“ означает полное
несовпадение по данному критерию, а „1“ соответствует полному совпадению. Таким обра-
зом, частные критерии нормализованы и приведены к безразмерному виду. В этом случае
нужно обеспечить Qi ( X j ) → max для всех j.
Как правило, многокритериальная задача сводится к однокритериальной путем введе-
ния обобщенного критерия оптимальности F, который может быть аддитивной, мультипли-
кативной или среднестепенной функцией частных критериев [4]. В простейшем случае мож-
но считать, что все критерии обладают одинаковой значимостью. На практике, тем не менее,
часто оказывается так, что в зависимости от времени и от исходных данных степень значимо-
сти критериев может изменяться. В этом случае каждому критерию ставится в соответствие
весовой коэффициент, отражающий его значимость. Для определения значений коэффициен-
тов используются различные методы, например диалоговый метод задания коэффициентов, в
общем случае предполагающий, что лицо, принимающее решение, предоставит достаточные
для расчета коэффициентов сведения [5]. Другой подход заключается в вычислении значений
коэффициентов исходя из качественных характеристик критериев, например чувствительно-
сти. Будем считать, что частные критерии качественно соизмеримы между собой.
Введем
следующие
обозначения:
Qiopt
= max
j
Qi
(X
j
)
—
оптимальное
значение
i-го
кри-
терия для совокупности прогнозов
X j,
j =1, 2, ..., N ;
X
opt i
=
arg
max
j
Qi
(
X
j)
— решение (про-
гноз), оптимальное по i-му критерию. Рассмотрим меру
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
36 А. В. Гирик
Cil
=
Qiopt
−
Qi
(
X
opt l
)
Qiopt
,
которая определяет относительное отклонение оптимального значения i-го критерия от зна-
чения i-го критерия, полученного для оптимального решения по l-му критерию, i,l =1, 2, ..., S .
Для всех возможных значений i и l построим матрицу из элементов Cil .
По значениям Cil можно судить о том, насколько чувствительным к решениям X j яв-
ляется i-й критерий: для этого нужно проанализировать соответствующий столбец матрицы.
Вычислим разность между максимальным и минимальным элементами всех столбцов и
сформируем
вектор
VT
= (v1, v2 , ..., vS ) ,
где
vi
=
max
l
Cil
− min
l
Cil
.
Весовые
коэффициенты
оп-
ределяются как вектор WT = (w1, w2 , ..., wS ) , где
∑wk = vi
⎛ ⎜⎝⎜
S t =1
vt
⎞ ⎟⎠⎟
.
Таким образом, определим обобщенный критерий оптимальности для решения X j в
аддитивной форме:
S
∑F ( X j ) = wiQi (X j ) , i=1
(1)
тогда оптимальное решение будет найдено как
X opt
=
arg
max
j
F
(
X
j
)
.
Если с течением времени предпочтения, определяющие выбор моделей, изменяются, то
весовые коэффициенты для моделей прогнозирования могут быть рассчитаны с учетом дина-
мики изменения значений обобщенного критерия. Рассчитаем эти значения для каждой из N
моделей и последних M прогнозов. В результате получим матрицу F , состоящую из элемен-
тов Fkj , где Fkj — значение обобщенного критерия, рассчитанного с использованием форму-
лы (1) для k-й модели прогнозирования и прогноза X kj , j =1, ..., M , k =1, ..., N . Рассчитаем
весовые коэффициенты uk для моделей следующим образом. Пусть α∈[0,1] — некоторая
M
∑константа, pk = αM − j+1Fij , тогда j=1
∑uk = pk
⎛ ⎜⎝⎜
N l =1
pl
⎞ ⎠⎟⎟
.
Матрица F переформировывается по мере получения реальных значений параметров
таким образом, чтобы значения коэффициентов отражали относительный вклад той или иной
модели на очередном шаге. Если Zk (t) — k-я модель прогнозирования, то обобщенная модель процесса может быть представлена в виде
N
∑X (t) = uk Zk (t) .
(2)
k =1
Для расчета процесса с помощью выражения (2) необходимо заполнить матрицу F , т.е.
нужно, чтобы модели были настроены на обучающей выборке, составляющей, по меньшей
мере, M прогнозов.
Рассмотренный в настоящей статье подход, основанный на сравнении оперативных про-
гнозов показателей безопасности с их нормальным профилем, позволяет обеспечить повы-
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5
Применение методов прогнозирования в сетевых системах обнаружения вторжений 37
шение точности обнаружения сетевых аномалий. Необходимо также отметить, что при защите сети следует ориентироваться не только на известные в настоящее время, но и на возможные угрозы, и, кроме того, учитывать особенности поведения показателей безопасности в конкретном сетевом окружении.
СПИСОК ЛИТЕРАТУРЫ
1. Лукацкий А. В. Системы обнаружения атак // Сетевой. 2002. № 4. С. 45—48.
2. Будько М. Б., Будько М. Ю., Гирик А. В. Применение авторегрессионного интегрированного скользящего среднего в алгоритмах управления перегрузками протоколов передачи потоковых данных // Науч.-техн. вестн. СПбГУ ИТМО. 2007. № 39. C. 319—323.
3. Рыков А. С. Методы системного анализа: многокритериальная и нечеткая оптимизация, моделирование и экспертные оценки. М.: Экономика, 1999. 191 с.
4. Гайдышев И. Анализ и обработка данных: Спец. справочник. СПб.: Питер, 2001. 752 с.
5. Жигулин Г. П., Серебров А. И., Яковлев А. Д. Прогнозирование устойчивости и функционирования объектов с использованием теории игр и исследования операций. СПб.: СПбГУ ИТМО, 2004. 204 с.
Алексей Валерьевич Гирик
Сведения об авторе — аспирант; Санкт-Петербургский государственный университет информа-
ционных технологий, механики и оптики, кафедра мониторинга и прогнозирования чрезвычайных ситуаций; E-mail: alexei.guirik@googlemail.com
Рекомендована кафедрой мониторинга и прогнозирования чрезвычайных ситуаций
Поступила в редакцию 25.04.08 г.
ИЗВ. ВУЗОВ. ПРИБОРОСТРОЕНИЕ. 2009. Т. 52, № 5