Powered by OpenAIRE graph
Found an issue? Give us feedback
image/svg+xml art designer at PLoS, modified by Wikipedia users Nina, Beao, JakobVoss, and AnonMoos Open Access logo, converted into svg, designed by PLoS. This version with transparent background. http://commons.wikimedia.org/wiki/File:Open_Access_logo_PLoS_white.svg art designer at PLoS, modified by Wikipedia users Nina, Beao, JakobVoss, and AnonMoos http://www.plos.org/ T-Commarrow_drop_down
image/svg+xml art designer at PLoS, modified by Wikipedia users Nina, Beao, JakobVoss, and AnonMoos Open Access logo, converted into svg, designed by PLoS. This version with transparent background. http://commons.wikimedia.org/wiki/File:Open_Access_logo_PLoS_white.svg art designer at PLoS, modified by Wikipedia users Nina, Beao, JakobVoss, and AnonMoos http://www.plos.org/
T-Comm
Article . 2014
Data sources: CyberLeninka - Russian open access scientific library
Claim

This Research product is the result of merged Research products in OpenAIRE.

You have already added 0 works in your ORCID record related to the merged Research product.

Сравнительный анализ характеристик обнаружения аномалий трафика методами кратномасштабного анализа

descriptionPublicationkeyboard_double_arrow_right Article 01 Jan 2014 Russian Publisher:Общество с ограниченной ответственностью Издательский дом Медиа паблишерJournal:T-Comm - Телекоммуникации и Транспорт (issn: 2072-8735, eissn: 2072-8743, Copyright policy )

Сравнительный анализ характеристик обнаружения аномалий трафика методами кратномасштабного анализа

Abstract

Рассматривается анализ аномалии сетевого трафика с помощью статистических алгоритмов, основанных на методах кратномасштабного вейвлет анализа в режиме online с использованием окон обучения и обнаружения. В качестве исходных данных анализа взяты восемь различных трасс сетевого трафика, полученных из данных DARPA Lincoln Labs. Анализируются вопросы обнаружения сетевых атак: UDP storm, SYN flood, SMURF, ICMP flood, FRAGGLE, FLASHCROWD, имеющих схожие статистические признаки, выражающиеся в изменении среднего значения и дисперсии. Путем вейвлет анализа из последовательности коэффициентов сетевого трафика получены два вида подпоследовательностей вейвлет коэффициентов (деталей и аппроксимаций). Показано, что аномальные изменения в среднем значении сетевого трафика выявляются в спектре аппроксимирующих коэффициентов с использованием статистического критерия Фишера для выбросов средних значений, а изменения в дисперсии сетевого трафика выявляются в спектре детализирующих коэффициентов с использованием статистического критерия Фишера для дисперсионных выбросов. Реализация процесса обучения алгоритма производилась путем вычисления коэффициентов решающей статистики по двум критериям: решающей статистики для критерия Фишера для выбросов среднего значения и решающей статистики для критерия Фишера для дисперсионных выбросов. В процессе реализации рассмотренного подхода был разработан программный комплекс, реализующий задачу анализа входных данных (захваченных коэффициентов сетевого трафика) с помощью дискретного вейвлет преобразования (ДВП). Процесс распознавания аномалий сетевого трафика и применения предложенного алгоритма распознавания аномалий с использованием статистических критериев можно свести к определению пороговых значений при наличии и отсутствии аномалий в наблюдаемом сетевом трафике. Показано, что величины вероятностей правильного определения аномалий и ложного обнаружения зависят от соотношения между характером аномалий (быстрые/средние/медленные) и уровнем вейвлет разложения. На основании полученных результатов делается вывод о возможности применения разработанных алгоритмов с использованием online вейвлет анализа для выявления аномалий сетевого трафика, соответствующих различным видам сетевых атак.

Keywords

АНОМАЛИИ СЕТЕВОГО ТРАФИКА,МЕТОДЫ ОБНАРУЖЕНИЯ,ВЕЙВЛЕТ ДЕКОМПОЗИЦИЯ,КОЭФФИЦИЕНТЫ ДЕТАЛИЗАЦИИ И АППРОКСИМАЦИИ

  • BIP!
    Impact byBIP!
    selected citations
    These citations are derived from selected sources.
    This is an alternative to the "Influence" indicator, which also reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).
    		 0
    popularity
    This indicator reflects the "current" impact/attention (the "hype") of an article in the research community at large, based on the underlying citation network.
    		 Average
    influence
    This indicator reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).
    		 Average
    impulse
    This indicator reflects the initial momentum of an article directly after its publication, based on the underlying citation network.
    		 Average
Powered by OpenAIRE graph
Found an issue? Give us feedback
selected citations
These citations are derived from selected sources.
This is an alternative to the "Influence" indicator, which also reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).
BIP!Citations provided by BIP!
popularity
This indicator reflects the "current" impact/attention (the "hype") of an article in the research community at large, based on the underlying citation network.
BIP!Popularity provided by BIP!
influence
This indicator reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).
BIP!Influence provided by BIP!
impulse
This indicator reflects the initial momentum of an article directly after its publication, based on the underlying citation network.
BIP!Impulse provided by BIP!
0
Average
Average
Average
gold