способ анализа сетевого трафика
| Классы МПК: | H04L12/56 системы с коммутацией пакетов |
| Автор(ы): | Сёмкин Сергей Николаевич (RU), Крюков Олег Витальевич (RU), Смирнов Сергей Владиславович (RU), Царев Дмитрий Сергеевич (RU), Горохов Денис Евгеньевич (RU), Остриков Алексей Юрьевич (RU) |
| Патентообладатель(и): | Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы государственной охраны Российской Федерации (Академия ФСО России) (RU) |
| Приоритеты: |
подача заявки:
2007-10-03 публикация патента:
20.07.2009 |
Изобретение относится к области вычислительной техники. Технический результат заключается в повышении степени адекватности данных о состоянии информационно-вычислительных путей. Сущность изобретения заключается в сравнении параметров прогнозируемого и реального трафика по критерию Пирсона. Для этого используется процедура расчета математического ожидания времени поступления единиц трафика, процедура расчета автокорреляционной функции и коэффициентов авторегрессии и процедура прогнозирования времени поступления очередной единицы трафика. За счет введения данных процедур осуществляется возможность определения степени схожести эталонного и реального профилей поведения источника нагрузки и принятия решения о необходимости управляющего воздействия на элементы информационно-вычислительной сети. 1 ил., 1 табл. 
Формула изобретения
Способ анализа сетевого трафика, заключающийся в приеме последовательности единиц трафика, ее фильтрации прореживающими логическими схемами в соответствии с установленными параметрами прореживания, определение оценки распределения единиц трафика по частоте появления путем одновременных вычислений оценок частоты появления в нескольких диапазонах значений, оценивание математического ожидания времени поступления единиц трафика путем одновременного вычитания значений единиц трафика соседних диапазонов с последующим умножением результатов на относительные частоты появления соответствующих распределений единиц трафика, параллельно производится с одновременным определением размера исходной выборки с дальнейшим умножением полученного значения на сумму оценок частоты появления числа единиц трафика, затем на основе полученного результата рассчитывается автокорреляционная функция случайного процесса характеризующего время поступления единиц трафика, с последующим расчетом весовых коэффициентов фильтра авторегрессии, на основании которых осуществляется прогнозирование времени поступления k+1,2
n единицы трафика, отличающийся тем, что после этапа обучения системы, включающего прогон 100 единиц трафика, за время которого осуществляют расчет коэффициентов фильтра авторегрессии, вводят этап сравнения эталонного профиля нагрузки с реальным, который включает в себя формирование двух полутактов работы, на первом из которых k+1 спрогнозированная единица трафика поступает на прореживающие логические схемы, и далее осуществляют расчет ее математического ожидания, на основе которого осуществляют перерасчет автокорреляционной функции и весовых коэффициентов фильтра авторегрессии и прогнозируют k+2 единицу трафика, затем после окончания второго полутакта, в течение которого реальная единица трафика поступает на вход прореживающих схем, и осуществляют расчет ее математического ожидания, единицы спрогнозированного и реального трафика, а также рассчитанные математические ожидания спрогнозированного и реального трафика сравнивают по критерию Пирсона, на основании которого делают вывод о степени корреляции единиц трафика.
Описание изобретения к патенту
Изобретение относится к области вычислительной техники и предназначено для определения изменений характеристик сетевого трафика в информационно-вычислительных сетях. Возможные сферы применения способа анализа сетевого трафика - это системы управления информационно-вычислительными сетями и системы обнаружения сетевых атак.
Известно изобретение "Способ обнаружения удаленных атак на автоматизированные системы управления" по патенту № 2264649, класс G06F 12/14, 26.04.2004, которое заключается в задании эталонов возможных атак, минимально допустимого показателя сходства и осуществлении сравнения полей заголовка пакетов трафика, поступающих из канала связи с введенными эталонами по критерию допустимого показателя сходства. Недостатками известного способа является то, что анализ трафика и принятие решения об осуществленной атаке принимается по результатам анализа только полей заголовка пакета и то, что известный способ может применяться для определения только известных видов атак.
Наиболее близким по своей технической сущности к заявленному способу является изобретение "Способ и устройство для прогнозирования трафика в системе связи" - патент № 2258316, класс H04L 12/56, 25.04.2003, которое решает задачу прогнозирования сетевого трафика.
Сущность известного изобретения заключается в фильтрации прореживающими логическими схемами с установленными параметрами прореживания последовательности поступающих единиц трафика и определении оценки распределения единиц трафика по частоте появления путем одновременных вычислений оценок частоты появления в нескольких диапазонах значений. Дополнительно производится оценивание математического ожидания времени поступления единиц трафика путем одновременного вычитания значений единиц трафика соседних диапазонов с последующим умножением результатов на относительные частоты появления соответствующих распределений единиц трафика. Затем на основе полученного результата рассчитывается автокорреляционная функция случайного процесса, характеризующего время поступления единиц трафика, и осуществляется расчет весовых коэффициентов фильтра авторегрессии, на основании которых осуществляется прогнозирование времени поступления k+1,2
n единицы трафика. Таким образом, осуществляется прогнозирование величин частоты поступления единиц трафика или времени между приходом отдельных его единиц. Недостатком известного способа-прототипа является невозможность осуществления анализа сетевого трафика.
Предлагаемый способ расширяет функциональные возможности способа-прототипа. За счет введения дополнительных процедур и частичного изменения связей в логике работы предыдущего уровня техники способ анализа сетевого трафика позволяет определить изменения параметров текущего трафика относительно параметров трафика-эталона. Суть способа анализа сетевого трафика заключается в приеме последовательности единиц трафика, ее фильтрации прореживающими логическими схемами в соответствии с установленными параметрами прореживания, определение оценки распределения единиц трафика по частоте появления путем одновременных вычислений оценок частоты появления в нескольких диапазонах значений, оценивание математического ожидания времени поступления единиц трафика путем одновременного вычитания значений единиц трафика соседних диапазонов с последующим умножением результатов на относительные частоты появления соответствующих распределений единиц трафика параллельно производится с одновременным определением размера исходной выборки с дальнейшим умножением полученного значения на сумму оценок частоты появления числа единиц трафика, затем на основе полученного результата рассчитывается автокорреляционная функция случайного процесса, характеризующего время поступления единиц трафика, с последующим расчетом весовых коэффициентов фильтра авторегрессии, на основании которых осуществляется прогнозирование времени поступления k+1,2 n единицы трафика, а далее после этапа обучения системы, включающего прогон 100 единиц трафика, за время которого осуществляется расчет коэффициентов фильтра авторегрессии, вводится этап сравнения эталонного профиля нагрузки с реальным, который включает в себя формирование двух полутактов работы, на первом из которых k+1 спрогнозированная единица трафика поступает на прореживающие логические схемы и далее осуществляется расчет ее математического ожидания, на основе которой осуществляется перерасчет автокорреляционной функции и весовых коэффициентов фильтра авторегрессии и прогнозируется k+2 единица трафика, затем после окончания второго полутакта, в течение которого реальная единица трафика поступает на вход прореживающих схем и осуществляется расчет ее математического ожидания, единицы спрогнозированного и реального трафика, а также рассчитанные математические ожидания спрогнозированного и реального трафика сравниваются по критерию Пирсона, на основании которого делается вывод о степени корреляции единиц трафика.
Предлагаемый способ поясняется чертежом, на котором показан алгоритм реализации способа анализа сетевого трафика.
Способ анализа сетевого трафика может быть декомпозирован на три этапа:
Первый этап - обучение и формирование эталонного профиля нагрузки.
Для поступающей единицы трафика х k осуществляется расчет математического ожидания (блоки 1-9 на чертеже). Для расчета данного параметра используется "Способ и устройство для прогнозирования трафика в системе связи", патент № 2258316, класс H04L 12/56, 25.04.2003, известное из предшествующего уровня техники.
Процедуры прореживания входящего трафика логическими схемами, лежащие в основе данного изобретения, позволяют сформировать вариационный ряд. В простейшем случае вариационный ряд может быть представлен таблицей, первый столбец которой содержит всевозможные значения (варианты) хi генеральной совокупности, а во втором - числа ni, т.е. частоты появления i-го значения. Описание такого ряда, например, приведено в источнике [Колде Я.К. "Практикум по теории вероятностей и математической статистике". - М.: Высшая школа, 1991, с.157]. Пример вариационного ряда представлен в таблице.
| xi | n i | ni /n |
| 5 | 4 | 0,4 |
| 10 | 5 | 0,5 |
| 15 | 1 | 0,1 |
 | 10 | 1,0 |
Отношение ni/n является относительной частотой и отражает вес того или иного значения в выборке. Сумма относительных частот равна единице.
Для расчета математического ожидания, если имеется вариационный ряд, используется следующая формула.
где n - объем выборки, а m - количество вариантов.
После расчета математического ожидания осуществляется расчет автокорреляционной функции (блок 13 на чертеже) по формуле:
где хt - значение времени прихода текущей единицы трафика;
хt-k - значение времени прихода единицы трафика, сдвинутой на r интервалов назад;
- математическое ожидание времени прихода единиц трафика.
После расчета функции авторегрессии рассчитываются весовые коэффициенты фильтра авторегрессии (блок 14 на чертеже) по формулам:
или .
Здесь r1 rр-1 - коэффициенты нормированной автокорреляционной функции.
Решение системы линейных уравнений позволяет вычислить коэффициенты авторегрессии: 1
р.
Затем осуществляется расчет прогнозного времени появления очередной единицы трафика (блок 15 на чертеже) по формуле:
Здесь:
хt+1 - значение времени прихода очередной единицы трафика;
1;
2;
р - значения весовых коэффициентов фильтра авторегрессии порядка р;
хt-р - значения времени прихода единицы трафика, сдвинутой на p интервалов назад.
Этап обучения и формирования эталонного профиля нагрузки считается завершенным после k=100 итераций описанных выше процедур [Марпл С.Л. Цифровой спектральный анализ и его приложения: Пер. с англ. - М.: Мир, 1990. - 584 с.] (блок 16 на чертеже).
Этап второй - формирование полутактов работы. На первом полутакте работы осуществляется расчет значения математического ожидания k=100+1 спрогнозированной единицы трафика по вышеизложенной методике (блок 1-9 на чертеже), которое является входным значением для перерасчета автокорреляционной функции, коэффициентов авторегрессии и прогнозирования времени появления очередной единицы трафика (блок 13-15 на чертеже). Далее параметры единицы трафика и рассчитанное для нее математическое ожидание сохраняются в ячейках памяти (блок 12 на чертеже). На втором полутакте поступает реальная единица трафика, для которой рассчитывается математическое ожидание, которые также сохраняются в ячейках памяти (блок 22 на чертеже).
Третий этап - этап решения. Сохраненные значения для прогнозируемого трафика и рассчитанные на втором полутакте значения реального трафика сравниваются по критерию Пирсона (блок 24 на чертеже), расчет которого осуществляется по формуле:
где хi - значения, принимаемые в выборке Х (прогнозируемый трафик), - его математическое ожидание, yi - значения, принимаемые в выборке Y (реальный трафик),
- его математическое ожидание.
В зависимости от рассчитываемого значения коэффициента Пирсона делается вывод о степени схожести эталонного и реального трафика (блок 25 на чертеже):
сильная корреляция (k>0,7);
средняя (0,5<k<0,7);
умеренная (0,3<k<0,5);
слабая (0,13<k<0,3);
очень слабая (k<0,13).
Благодаря новой совокупности существенных признаков, за счет введения новых процедур и связей между ними, появляется возможность осуществлять анализ трафика в информационно-вычислительных сетях. Способ позволяет определить коэффициент коррелированности эталонного, получаемого после итерационного этапа обучения и реального трафика.
Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленного способа анализа сетевого трафика, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна".
Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного изобретения, показали, что оно не следует явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".
Предлагаемый способ может быть использован в подсистемах и звеньях управления технологическими процессами в информационно-вычислительных сетях, а также средствах и системах обеспечения информационной безопасности сетей для обнаружения несанкционированной сетевой активности.
Класс H04L12/56 системы с коммутацией пакетов
