WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

загрузка...
   Добро пожаловать!

Pages:     | 1 | 2 ||

) a) N x 0.1 0.30000 0 5000 10000 15000 20000 25000 30000, N x 0 0 500 1000 1500 2000 2500 3000 x, x 10 N 0 1000 2000 3000 4000 5000 6000 7000 x t,, Рис. 20. a) Временные ряды агрегированного (при 0.1, 1 и 10 сек) потока информации (включая дневное и ночное время), б) распределения агрегированного информационного потока при 0.1, 1 и 10 сек Данные демонстрируют достаточно нестабильный характер, что, в свою очередь, подразумевает определенные изменения свойств внутренней динамики системы. Интервалы, соответствующие различным режимам функционирования системы, могут рассматриваться на временной оси как состояния “до” и “после” соответствующих моментов смены режима. В предыдущих главах было показано, что для достаточно коротких временных интервалов в условиях отсутствия перегрузок, сетевых атак и т.д. (т.е. критических режимов), распределение информационных потоков соответствует логнормальному распределению.

12:16:20:24:04:08:12:16:20: 12:16:20:24:04:08:12:16:20: 12:16:20:24:04:08:12:16:20:Очевидно, что для продолжительных интервалов параметры распределения не могут оставаться неизменными (самый простой пример - это падение сетевой активности в ночное время). Естественно предположить, что в этом случае временной ряд измерений можно разбить на определенное количество интервалов, каждый из которых соответствует своему режиму функционирования.

Статистические распределения для соответствующих временных рядов представлены на рис. 20б. В отличие от ранее рассмотренных примеров, увеличение уровня агрегации не приводит к формированию распределения, отвечающего единственному логнормальному распределению. Вместо этого наблюдается распределение, представляющее собой сумму разных распределений. Составляющие его распределения, в соответствии с нашей гипотезой, должны отвечать различным режимам функционирования сети. Для того, чтобы исследовать эти режимы, необходимо решить задачу их разделения.

В работе развит новый подход для определения моментов смены состояния системы на основе принципов иммунокомпьютинга [18]-[20]. Его можно рассматривать как расширение алгоритма “отбора от противного”. Предлагаемый алгоритм можно сформулировать следующим образом:

• определяется набор выборок заданного объема n, формируемых из последовательных величин временного ряда;

• строится вектор признаковых параметров, характеризующих анализируемый процесс;

• определяется множество “свой” в виде набора векторов, отвечающих основному режиму процесса;

• задается правило соответствия, определяющее отличие “своего” вектора от “чужого”.

Анализ данных показал, что использование двумерных векторов позволяет свести задачу к поиску и классификации кластеров на плоскости.

Для анализа использовались два типа векторов и, соответственно, два метода разделения кластеров, применяемых последовательно. В первом методе (методе временных задержек) использовалось двумерное распределение на фазовой плоскости для “задержанных” координат (xi, xi+) с последующей классификацией различных аттракторов, как “нормальных” (своих) или “аномальных” (чужих).

Во втором методе использовались две величины - среднее и дисперсия скользящей выборки объема n = 10, определяющих вектор (µj, j). Также, как в и первом методе, использовалось разделение кластеров на плоскости (µ, ) на “свои” и “чужие”.

Оба метода имеют в своей основе утверждение, что изменения в динамике должны вести к специфичным изменениям в статистическом распределении величин временного ряда. Оба метода имеют в качестве “целевой функции” принадлежность последовательно разделяемых классов (состояний временного ряда) к классу логнормальных распределений.

) ) 2 N x 0 200 400 600 800 1000 x t, 0.0.0.0 200 400 600 800 1000 x t, x 0 200 400 600 800 1000 0 200 400 600 800 1000 x 10 t, x, Рис. 21. а) Временной ряд агрегированного на уровне 1 сек трафика (вверху). Моменты структурных изменений (средняя диаграмма). “Отфильтрованный” трафик - дневное состояние (внизу), б) статистическое распределение для дневного трафика и его аппроксимация логнормальной функцией На рис. 21а вверху приведен временной ряд трафика (32 часа измерений), агрегированный на уровне 1 сек. “Отфильтрованный” трафик - основное (дневное) состояние общей длительностью 18.5 часов (58% от общего времени измерений) показан на нижнем рис. 21а. Моменты структурных изменений представлены на диаграмме на среднем рис. 21а. В средней части этой диаграммы отчетливо выделяется интервал, где количество структурных изменений не так велико. Этот интервал соответствует ночному времени.

На рис. 21б представлено распределение сетевого трафика, находящегося в основном (дневном) состоянии. На этом же рисунке представлен результат аппроксимации полученного эмпирического распределения функцией (1).

На рис. 22а представлены временные ряды, отвечающие ночному режиму, для разных уровней агрегации (0.1, 1 и 10 сек). На рис. 22б представлено распределение сетевого трафика, агрегированного на уровне 10 сек, с наложенной фитирующей кривой логнормального распределения.

На рис. 23а приведен пример хакерской атаки на один из компьютеров локальной сети университета “Дубна”. Для локализации атаки использовался метод на основе классификации векторов (µ, ), соответствующих “скользящей” выборке объема n = 20 при уровне агрегации 1 сек. На диаграмме рассеяния (рис. 23б) хорошо видно, что кластер, характеризующий основное состояние системы, расположен в области средних значений µ, в то время как кластер, отвечающий состоянию системы в период атаки, расположен на диаграмме слева в области малых µ и легко отделяется от других кластеров (состояний). Векторы (µ, ), попадающие в эту область, характеризуются как “чужие”. На нижнем рис. 23а представлен исследуемый ряд после исключения из него фрагмента атаки. Следует отметить, что в рассматриваемом ) a) N 0.x 1 x 0 500 1000 1500 2000 x t,, Рис. 22. а) Агрегированный при 0.1, 1 и 10 сек (сверху вниз) трафик (ночное время), б) распределение агрегированного на уровне 10 сек “ночного” трафика и его аппроксимация логнормальной функцией a) x 10 ) 0 1000 2000 3000 4000 5000 6000 7000 8000 t, x 0 1000 2000 3000 4000 5000 6000 7000 8000 9000 0 1000 2000 3000 4000 µ x t, Рис. 23. а) Сверху-вниз: измерения трафика, агрегированные с окном 1 сек; временной ряд трафика после исключения из него участка с хакерской атакой, б) диаграмма рассеяния двух величин – среднего значения и дисперсии скользящей выборки объема n = 2:4:6:8:22:24: 2:4:6:8:22:24: 2:4:6:8:22:24: примере простая дискриминация по величине потока также позволяет разделить “нормальную” и “аномальную” моды в динамике трафика, однако в более сложном случае этого может оказаться недостаточно.

В Заключении сформулированы основные результаты диссертации, дается краткое описание работ, положенных в ее основу.

Список публикаций [A1] Антониу Я., Иванов В.В., Иванов Валерий В., Зрелов П.В.: Статистическая модель информационного трафика, “Физика элементарных частиц и атомного ядра” (ЭЧАЯ). 2004. Т.35. Вып.4. С.984-1019 (на англ. яз.).

[A2] Антониу Я., Иванов В.В., Иванов Валерий В., Зрелов П.В.: Анализ главных компонент измерений информационного трафика: подход “Caterpillar”-SSA, “Письма в ЭЧАЯ”, 2004, Т.1, №4 (121). С.87-95 (на англ. яз.).

[A3] I. Antoniou, V.V. Ivanov, Valery V. Ivanov, and P.V. Zrelov: On the LogNormal Distribution of Network Traffic, Physica D 167 (2002) 72-85.

[A4] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: On a Statistical Model of Network Traffic, “Nuclear Instruments & Methods in Physics Research”, A 502 (2003) 768-771.

[A5] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Wavelet Filtering of Network Traffic Measurements, Physica A 324 (2003) 733-753.

[A6] I. Antoniou, Victor V. Ivanov, Valery V. Ivanov, Yu.L. Kalinovsky and P.V. Zrelov: On a Kinetic Model of the Internet Traffic, “Discrete Dynamics in Nature & Society”, 2004:1 (2004) 19-34.

[A7] P. Zrelov, I. Antoniou, V. Ivanov, Valery Ivanov: Principal Component Analysis of Network Traffic: the “Caterpillar”-SSA Approach, VIII Int.

Workshop on “Advanced Computing and Analysis Techniques in Physics Research” - ACAT’2002, 24-28 June, 2002, Moscow, RUSSIA, Book of abstracts, p. 176.

[A8] I. Antoniou, V. Ivanov, Valery Ivanov and P. Zrelov: On a Statistical Model of Network Traffic, VIII Int. Workshop on “Advanced Computing and Analysis Techniques in Physics Research” - ACAT’2002, 24-28 June, 2002, Moscow, RUSSIA, Book of abstracts, p. 177.

[A9] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Wavelet Filtering of Network Traffic Measurements, V Int. Congress on Mathematical Modeling, September 30-October 6, 2002, Book of abstracts, Vol. I, p. 137, Dubna, Moscow region, Russia, 2002.

[A10] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Statistical Model of Network Traffic, V Int. Congress on Mathematical Modeling, September 30-October 6, 2002, Book of abstracts, Vol. I, p. 138, Dubna, Moscow region, Russia, 2002.

[A11] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Statistical Model of Network Traffic, XIX International Symposium on Nuclear Electronics & Computing, NEC’2003, September 15-20, 2003, Varna, Bulgaria, Book of abstracts, Dubna, 2003, p. 14.

[A12] V.V. Ivanov, Valery V. Ivanov, Yu.A. Kryukov and P.V. Zrelov: Detection of abrupt changes in network traffic dynamics, In: Int. Conf. “Distributed computing and Grid-technologies in science and education”, Dubna, June 29 - July 2, 2004, Book of abstracts, p. 86.

[A13] V.V. Ivanov, Valery V. Ivanov, Yu.L. Kalinovsky and P.V. Zrelov:

Statistical and kinetic models of Internet traffic flows, In: Int. Conf.

“Distributed computing and Grid-technologies in science and education”, Dubna, June 29 - July 2, 2004, Book of abstracts, p. 87.

[A14] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Principal Component Analysis of Network Traffic, In: Proc. of I-st Int. Conf. on “Mathematics and Informatics for Industry”, MII 2003, 14-16 April 2003, Thessaloniki, Greece, pp. 170-181.

[A15] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Statistical Model of Network Traffic, JINR Communication, E11-2002-222, JINR, Dubna, RUSSIA, 2002, 38 pp.

[A16] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Wavelet Filtering of Network Traffic Measurements, JINR Communication, E112002-223, JINR, Dubna, RUSSIA, 2002, 22 pp.

[A17] I. Antoniou, V.V. Ivanov, Valery V. Ivanov and P.V. Zrelov: Principal Component Analysis of Network Traffic Measurements, Preprint JINR, E112003-148, JINR, Dubna, RUSSIA, 2003, 15 pp.

[A18] Victor V. Ivanov, Valery V. Ivanov, Yu.L. Kalinovsky, P.V. Zrelov, I. Antoniou: Statistical and Kinetic Models of Network Traffic, In: “Annual report 2003. Laboratory of Information Technologies”. Ed. by Gh. Adam, V.V. Ivanov and T.A. Strizh, JINR, Dubna, 2004, pp. 28-31.

[A19] Я. Антониоу, П.В. Зрелов, В.В. Иванов, Валерий В. Иванов, Ю.Л. Калиновский: Статистическая и кинетическая модели сетевого трафика, Новости ОИЯИ, 3/2004, стр. 32-35.

[A20] V.V. Ivanov, Valery V. Ivanov, Yu.A. Kryukov and P.V. Zrelov: Detection of Abrupt Changes in Network Traffic Dynamics, In: “Annual report 20042005 years. Laboratory of Information Technologies”. Ed. by Gh. Adam, V.V. Ivanov and T.A. Strizh, JINR, 2005-179, Dubna, 2005, pp. 66-72.

Литература [1] W Leland, M.Taqqu, W. Willinger, and D.Wilson: On the Self-Similar Nature of Ethernet Traffic (Extended Version), IEEE/ACM Transactions on Networking, 2(1), pp. 1-15, February 1994.

[2] M.T. Lucas, D.E. Wrege, B.J. Dempsey, and A.C. Weaver: Statistical Characterization of Wide-Area Self-Similar Network Traffic, University of Virginia Technical Report CS97-04, October 9, 1996.

[3] M.E. Crovella and A. Bestavros: Self-Similarity in World Web Traffic:

Evidence and Possible Causes, IEEE/ACM Transactions on Networking, Vol.5, No. 6, pp. 835-846, December 1997.

[4] Vishal Misra and Wei-Bo Gong: A Hierarchical Model for Teletraffic, Department of Electrical and Computer Engineering, University of Massachusetts, Amherst MA 01003, 1998.

[5] Jon M. Peha: Protocals Can Make Traffic Appear Self-Similar, In: Proc. of the 1997 IEEA/ACM/SCS Communication Networks and Distributed Systems Modeling and Simulation Conference.

[6] A. Erramilli, P. Pruthi and W. Willinger: Resent Developments in Fractal Traffic Modelling, In: Proc. Inter. Teletraffic Seminar, St. Petersburg, 26 June – 2 July, 1995.

[7] D.L. Jagerman, B. Melamed, and W. Willinger: Stochastic Modeling of Traffic Processes, Technical Report, 1996.

[8] S.M. Kay: Modern Spectral Estimation: Theory and Applications. Prentice Hall, New Jersey, 1988.

[9] M.B. Priestley: Non-linear and Non-stationary Time Series Analysis.

Academic Press, 1988.

[10] Международный Университет природы, общества и человека “Дубна”:

http://www.uni-dubna.ru.

[11] П.М. Васильев, В.В. Иванов, В.В. Кореньков, Ю.А. Крюков, С.И. Купцов: Система сбора, анализа и управления сетевым трафиком фрагмента сети ОИЯИ на примере подсети Университета “Дубна”, Сообщение ОИЯИ, Д11-2001-266, Дубна, 2001.

[12] Колмогоров А.Н.: О логарифмически нормальном законе распределения размеров частиц при дроблении, Доклады АН СССР. 1941. Т.31. С.99101.

[13] Данилов Д.Л., Жиглявский А.А., редакторы: Главные компоненты временных рядов: метод “Гусеница”. Изд-во СПбГУ, 1997.

[14] N. Golyandina, V. Nekrutkin, and A. Zhigljavsky: Analysis of time series structure: SSA and related techniques, Chapman & Hall/CRC, 2001.

[15] Г.В. Мартынов: Критерии омега-квадрат, Москва, “Наука”, 1978.

[16] Henry D.I. Abarbanel: Analysis of Observed Chaotic Data, 1996 SpringerVerlag New York, Inc.

[17] E.L. Crow, K. Shimizu (eds.): Lognormal Distributions. Theory and Applications, Marcel Dekker, Inc., New York, 1988.

[18] D. Dasgupta: “An Overview of Artificial Immune Systems and Their Applications, In: Artificial Immune Systems and Their Applications, Springer-Verlag Berlin Heidelberg 1999, 3-21, 1999.

[19] D. Dasgupta and Nii Attoh-Okine: Immunity-Based Systems: A Survey, In:

Proc. of the IEEE Int. Conf. on Systems, Man, and Cybernetics, Orlando, October 12-15, 1997.

[20] S. Forrest, A.S. Perelson, L. Allen, and R. Cherukuri: Self-Nonself Discrimination in a Computer. In: Proc. of IEEE Symposium on Research in Security and Privacy, pp. 202-212, Oakland, CA, 16-18 May 1994.

Pages:     | 1 | 2 ||






© 2011 www.dissers.ru - «Бесплатная электронная библиотека»