Подробное описание документа

Басараб М. А., Шелухин О. И., Коновалов И. А.
   Оценка влияния трешолдинга на достоверность обнаружения аномальных вторжений в компьютерные сети статистическим методом / Басараб М. А., Шелухин О. И., Коновалов И. А. - DOI 10.18698/0236-3933-2018-5-56-67 // Вестник МГТУ им. Н. Э. Баумана. Сер. Приборостроение. - 2018. - № 5. - С. 56-67.

DOI 10.18698/0236-3933-2018-5-56-67

https://doi.org/10.18698/0236-3933-2018-…

vestnikprib.bmstu.ru/catalog/icec/insec/1121.html

https://vestnikprib.bmstu.ru/catalog/ice…

Для онлайн-обнаружения аномалий, представляющих собой вторжения в компьютерные сети, предложен метод, основанный на статистических критериях с дополнительной пороговой обработкой вейвлет-коэффициентов детализации — трешолдингом. Методы с использованием статистических критериев применяются в поведенческих системах обнаружения вторжений, которые фиксируют отклонения от заданного профиля нормального поведения. В предложенном методе для вычисления решающих статистик использовано два скользящих окна, что позволяет обеспечить высокую эффективность обнаружения аномалий трафика. Рассмотрена реализация решающих статистик для трех критериев, основанных на выборочном среднем и выборочной дисперсии: 1) критерий Фишера для средних; 2) критерий Кохрана — Кокса; 3) критерий Фишера для дисперсий. Обработка трафика с помощью трешолдинга осуществляется вводом дополнительного окна обработки с заданным размером. Обнаружение аномалий проведено путем сравнения значений решающих статистик с рассчитанным в соответствии со статистикой нормального трафика пороговым значением. На примере обнаружения атак типа UDP-flood и ICMP-flood рассмотрено влияние трешолдинга на достоверность обнаружения аномалий. Показано, что применение разработанного алгоритма на основе статистического анализа с дополнительным трешолдингом коэффициентов детализации вейвлет-разложения позволяет повысить достоверность обнаружения аномальных вторжений