Закрыть

Форма обратной связи

Отправить
mashtab

/812/309-03-21

СПОСОБ ОПРЕДЕЛЕНИЯ ИНТЕНСИВНОСТИ НЕСТАЦИОНАРНОГО ПОТОКА ПОПЫТОК НЕСАНКЦИОНИРОВАННОГОДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ

12.11.2012 /Статьи

Постановка задачи

Рассмотрим нестационарный поток попыток несанкционированного доступа (НСД) к информационным ресурсам, обладающий свойствами ординарности и отсутствия последействий. Интенсивность такого потока является функцией времени ,  где p1(t,t+T) – вероятность попытки НСД за интервал T [1]. Определить λ(t) по этому выражению невозможно, так как на практике наблюдается лишь одна реализация случайного процесса, а для определения p1(t,t+T) статистическими методами необходимо выбирать интервал T достаточно большим.

Известно, что для практических расчетов при нестационарном потоке весь интервал времени наблюдения разбивают на отрезки, в пределах которых параметры потока считают постоянными. В нашем случае на каждом отрезке времени поток будем считать пуассоновским. Несмотря на очевидность такого подхода, в литературе не указывается, как реализовать это разбиение.

Практика показала, что наравне с квазипериодическими, малыми изменениями интенсивности потока попыток НСД к информационным ресурсам все чаще происходят разовые лавинообразные массовые компьютерные атаки, которые парализуют работу. Как правило, подобные изменения интенсивности потока попыток НСД сопровождаются отсутствием статистических данных, что существенно усложняет принятие решений об объеме выделяемых ресурсов  для защиты.

Важно заметить, что процедура определения интенсивности потока попыток НСД должна быть увязана с его прогнозированием и осуществляться в реальном масштабе времени.

Известный подход к решению задачи

Зафиксируем отрезок времени наблюдения. Рассмотрим распространенную методику определения соответствия наблюдаемого распределения числа событий пуассоновскому [2]. Интервал наблюдения делится на непересекающиеся подинтервалы длительностью T каждый. Для каждого подинтервала, начавшегося в момент ti, подсчитывается число произошедших событий n(ti,T). По этим данным строится гистограмма частот. Полученное статистическое распределение сравнивается с теоретическим по критерию χ2. Можно констатировать следующее:

1. В данной методике не учитывается очередность наступления событий во времени, так как при построении гистограммы частот подинтервалы перегруппировываются по признаку равенства значений n(ti,T). На рис 1 показаны реализации двух процессов, имеющих одинаковое значение χ2=3,8. Обе реализации с доверительной вероятностью 0,99 соответствуют пуассоновскому процессу с λ=4,6. Из рисунка видно, что процессы имеют разный характер, что желательно учитывать на практике.

2. Для сравнения случайных процессов по критерию χ2 объем выборки должен составлять не менее K=40 наблюдений. На практике для получения такой выборки может потребоваться значительное время, а длительность цикла управления не будет соответствовать динамике изменения условий функционирования объекта.

Таким образом, изложенная методика малопригодна для анализа и прогноза параметров нестационарного потока попыток НСД в реальном масштабе времени.

Рис.1

Две реализации пуассоновского потока событий с интенсивностью 4,6

Подход к решению задачи, основанный на анализе длительности и величины выбросов пуассоновского процесса

При мониторинге попыток НСД в реальном масштабе времени наблюдается одна реализация случайного процесса n(Tk). Для случайного процесса характерны выбросы. Поэтому, задачу определения интервалов квазистационарности нестационарного потока попыток НСД можно решать как задачу анализа последовательности его выбросов.

Распределение длительности выбросов пуассоновского процесса

Отсутствие производной у пуассоновского процесса не позволяет использовать точные выражения для определения среднего числа пересечений его реализации с заданной непрерывной функцией [3].

Воспользуемся приближенным способом вычисления вероятностных характеристик случайных процессов [4]. Он основывается на представлении исследуемого процесса в виде марковской последовательности отсчетов, взятых в дискретные моменты времени.

Разобьем интервал наблюдения пуассоновского потока событий на примыкающие друг к другу временные отрезки длительностью T. Рассмотрим случайную величину n(ti,T) – число попыток НСД за интервал времени T, начавшийся в ti. Реализации последовательности n(ti,T), ti=T,2T,… изображены на рис. 1. Рассмотрим выбросы последовательности n(ti,T) относительно его математического ожидания λ.

Введем обозначения:  (1)

Выброс случайной последовательности над уровнем λ представляет собой серию следующих подряд событий n+, по окончании которой обязательно должно произойти событие n-. Событие n- является признаком завершения выброса и начала интервала между выбросами, представляющего собой серию следующих подряд событий n- n- n-, признаком завершения которой, в свою очередь, является наступление события n+.

Как известно, пуассоновский процесс является процессом с независимыми приращениями. Следовательно, значения n(ti,T) и n(tj,T) при i ¹ j являются независимыми, то есть данный процесс является 0‑связным [4]. Поэтому, вероятность P+(1) того, что положительный выброс будет состоять только лишь из одного члена n+, равна вероятности появления события n-. Таким образом, P+(1)=p-=1-p+, где p+ и p- – вероятности появления событий n+ и n-, составляющих полную группу событий, т.е. p++ p- =1.

Вероятность P+(2) того, что положительный выброс будет состоять из двух n+ n+ членов, будет представлять собой произведение вероятностей событий n+ и n-: P+(2)=p+p-=(1-p-)p-.

На основе математической индукции для пуассоновского потока событий получается следующее выражение вероятности появления положительного выброса длительностью k тактов:

Найдем вероятность события n+ – вероятность того, что число попыток НСД n за интервал времени  превысит значение λ:

где λ+ – ближайшее целое число, большее λ; λ- – ближайшее целое число, меньшее или равное λ.

Введение λ+ и λ- обусловлено тем, что количество попыток НСД за интервал времени T является целым числом, в то время как значение λ, определяемое как среднеарифметическое, может быть дробным.

Вероятность события n- – вероятность того, что число попыток НСД n за интервал времени T не превысит значения λ, равна

Используя выражения (2) и (4) можно определить распределение вероятности длительности положительных выбросов пуассоновского потока заявок над его математическим ожиданием λ (рис. 2). Очевидно, что данная функция существует только при целых значениях k. Значения функции соединены отрезками для удобства восприятия.

Используя приведенные выражения, можно получить зависимости вероятности появления k-кратных положительных и отрицательных выбросов пуассоновского процесса относительно своего математического ожидания λ от самой величины λ. Для случая последовательностей из четырех и пяти выбросов данные зависимости представлены на рис. 4, 5.

Из приведенных графиков видно, что для пуассоновского процесса четырехкратные положительные и отрицательные выбросы уже являются довольно редкими явлениями, а пятикратные выбросы случаются менее чем в пяти процентах случаев.

Распределение значений пуассоновского процесса при положительном и отрицательном выбросах

Условимся говорить, что k-кратный выброс случайного процесса состоит из k одиночных выбросов.

Известно, что пуассоновский процесс обладает свойством отсутствия последействия. Число поступивших заявок n(T) на непересекающихся интервалах времени являются независимыми величинами. Это дает основание ограничиться рассмотрением распределение амплитуды одиночного положительного (n(T)-λ), n(T)>λ или отрицательного (λ- n(T)), n(T)<λ выброса.

Рассмотрим распределение амплитуды положительного выброса, условием существования которого является неравенство n(T)>λ. Как и ранее, будем иметь в виду, что величина n(T) принимает только целые значения, в то время как величина λ может быть дробной. Вероятность значения пуассоновского процесса n(T) при положительном выбросе определяется как

где P(n(T)) – вероятность наблюдения n событий за интервал времени T.

Аналогично, вероятность значения пуассоновского процесса n(T) при отрицательном выбросе определяется как

Полученные по (8) и (9) вероятности значений n(T) при положительном и отрицательном выбросах представлены на рис. 6. Очевидно, что представленные функции определены только при целых n.

 

Рис. 6

Распределение вероятности амплитуды выбросов в зависимости от λ

Из рисунка видно, что графики сохраняют пуассоновский вид распределения числа попыток НСД. Отличие от чисто пуассоновского распределения состоит в том, что значения вероятностей нормированы так, что их сумма с каждой стороны от λ равна единице.

Определение интенсивности нестационарного потока попыток НСД

Обычно длительность подинтервала (такта) наблюдения Т выбирается, исходя из следующих условий:

1) технической возможности системы контроля подсчитывать и доводить до решающего устройства очередное значение n(ti,T);

2) длительности цикла управления, которая характеризует оперативность реакции объекта на изменение ситуации.

Для определения интенсивности нестационарного потока попыток НСД можно воспользоваться распределениями вероятности длительности и амплитуды выбросов. При этом возможно определять интервалы квазистационарности потока попыток НСД как при резких, так и при медленных изменениях его параметра λ.

1. Определение интенсивности потока попыток НСД при его резких изменениях.

При статистической проверке гипотез используют принцип практической невозможности появления маловероятного события в однократном испытании [2]. При оценке интенсивности нестационарного потока можно сформулировать аналогичный принцип: при фиксированной интенсивности потока появление выброса маловероятной длительности и амплитуды свидетельствует о резком изменении λ.

Из рис. 4, 5 видно, что для пуассоновского процесса вне зависимости от λ появление пятикратного положительного или отрицательного выброса является редким событием: P+(5)≈0,03, P-(5)≈0,04. Поэтому, для выявления резкого изменения интенсивности потока необходимо проводить анализ выборки окном наблюдения длительностью 5T. С поступлением нового отсчета окно наблюдения смещается, захватывает последнее значение n(ti,T) и четыре предыдущих.

Пятикратный выброс содержит выборку из пяти значений одиночных выбросов. Эта выборка мала для использования критерия χ2. В этом случае можно воспользоваться вероятностью появления последовательности из пяти амплитуд пуассоновского потока. Для пятикратного положительного выброса

вычисляется согласно (8), (9).

Задавшись доверительной вероятностью α, которая подбирается опытным путем (начальное значение α может равняться 0,25), можно сделать вывод об окончании или продолжении наблюдаемого интервала квазистационарности. Например, если наблюдается пятикратный положительный выброс и P5(n(ti-4,T)-λ,…,n(ti,T)-λ)<α, то значение λ резко возросло. За значение λ на новом интервале квазистационарности можно принять среднеарифметическое из пяти отсчетов n(ti-k,T) выброса, k=0,…,4.

2. Выявление медленных изменений интенсивности потока попыток НСД проводится в окне наблюдения длительностью 40T по критерию χ2.

Подсчитывается число k-кратных выбросов. Затем по статистическим данным строится гистограмма частот. Полученное статистическое распределение сравнивается с теоретическим по критерию χ2. По имеющимся таблицам определяется вероятность того, что экспериментальное распределение длительности выбросов соответствует интервалу стационарности пуассоновского процесса. Значение полученной вероятности сравнивается с заданной доверительной вероятностью, как правило, равной 0,05 [2]. Это позволяет сделать вывод о продолжении или окончании наблюдаемого интервала квазистационарности, а так же определить новое значение λ.

Прогнозирование интенсивности нестационарного потока попыток НСД к информационным ресурсам

Так как приращения пуассоновского потока являются независимыми, то коэффициент корреляции числа поступивших заявок на двух непересекающихся интервалах времени равен нулю. Это означает, что прогнозируемая величина n(ti+1,T) будет равна последнему наблюдаемому отсчету n(ti,T). Этот прогноз неадекватен реальности, так как пропадают колебания, характерные для случайного процесса.

Представляется, что более конструктивно прогнозировать величину λ, а n(ti+k,T), k=1,2,… разыгрывать как значения пуассоновского процесса.

По результатам определения интенсивности потока попыток НСД каждому интервалу наблюдения (ti,T) будет соответствовать значение λ(ti). Для прогноза λ(ti+k), k=1,2,… можно воспользоваться известными методами прогнозирования временных рядов, например, методом экспоненциального сглаживания.

Заключение

Определение и прогнозирование интенсивности нестационарного потока попыток НСД к информационным ресурсам имеют важное значение для их безопасности. Однако эти задачи не имеют строгого формального решения. В статье рассмотрены свойства выбросов пуассоновского случайного процесса. Использование этих свойств дает возможность обоснованного решения поставленной задачи.

 

Литература

 

1 Хинчин А.Я. Работы по математической теории массового обслуживания. М.: Физматлит, 1963.

2 Гмурман Г.Е. Теория вероятностей и математическая статистика: Учеб. пособие для вузов. М. : Высш. шк., 2004.

3 Тихонов В.И. Выбросы случайных процессов. М. : Наука, 1970.

4 Фомин Я.А. Теория выбросов случайных процессов. М. : Связь, 1980.

 

Авторы: К.т.н. А.Е. Давыдов, к.т.н. Д.Ю. Гужва, В.В. Митаки