Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика
Идентификация аномальных состояний трафика компьютерной системы при его представлении в виде многомерного временного ряда, структурированного покомпонентно и попакетно, дает возможность получить структурные характеристики потока данных, используемые в дальнейшем для идентификации. Показана возможнос...
Gespeichert in:
| Veröffentlicht in: | Электронное моделирование |
|---|---|
| Datum: | 2013 |
| Hauptverfasser: | , , |
| Format: | Artikel |
| Sprache: | Russisch |
| Veröffentlicht: |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
2013
|
| Schlagworte: | |
| Online Zugang: | https://nasplib.isofts.kiev.ua/handle/123456789/100856 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика / Ю.Н. Минаев, О.Ю. Филимонова, Ю.И. Минаева // Электронное моделирование. — 2013. — Т. 35, № 4. — С. 73-92. — Бібліогр.: 19 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859931816687828992 |
|---|---|
| author | Минаев, Ю.Н. Филимонова, О.Ю. Минаева, Ю.И. |
| author_facet | Минаев, Ю.Н. Филимонова, О.Ю. Минаева, Ю.И. |
| citation_txt | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика / Ю.Н. Минаев, О.Ю. Филимонова, Ю.И. Минаева // Электронное моделирование. — 2013. — Т. 35, № 4. — С. 73-92. — Бібліогр.: 19 назв. — рос. |
| collection | DSpace DC |
| container_title | Электронное моделирование |
| description | Идентификация аномальных состояний трафика компьютерной системы при его представлении в виде многомерного временного ряда, структурированного покомпонентно и попакетно, дает возможность получить структурные характеристики потока данных, используемые в дальнейшем для идентификации. Показана возможность применения р-адических моделей для анализа трафика при использовании в качестве динамического паттерна состояния предшествующего потока данных. Приведены примеры, свидетельствующие об эффективности предложенной методики.
Ідентифікація аномальних станів трафіка компьютерної системи при його представленні у вигляді багатовимірного часового ряду, структурованого покомпонентно та попакетно, дає можливість отримати структурні характеристики потоку даних, які використовуються в подальшому для ідентифікації. Показано можливість застосування р-адичних моделей для аналізу трафіка при використанні в якості динамічного паттерна стану попереднього потоку даних. Наведено приклади, які свідчать про ефективність запропонованої методики.
The paper deals with the problem of identification of anomalous conditions of computer system traffic based on its presentations in the manner of multivariate time series, which componentwise and packagewise structuring enables to get hierarchical structured features of dataflow, used herein after for identifications. A possibility of application of p-adical models for the analysis of traffic, when using the preceding dataflow as dynamic pattern conditions, is shown.The examples which evidence for efficiency of the offered methodology are presented.
|
| first_indexed | 2025-12-07T16:08:47Z |
| format | Article |
| fulltext |
ÓÄÊ 621.394, 621.395; 004.056, 004.512.2, 004.588
Þ.Í. Ìèíàåâ, ä-ð òåõí. íàóê
Íàöèîíàëüíûé àâèàöèîííûé óíèâåðñèòåò
(Óêðàèíà, 03057, Êèåâ, ïð-ò êîñìîíàâòà Êîìàðîâà, 1,
òåë. (044) 2495454, e-mail: minaev@rambler.r),
Î.Þ. Ôèëèìîíîâà, Þ.È.Ìèíàåâà, êàíäèäàòû òåõí. íàóê
Êèåâñêèé íàöèîíàëüíûé óíèâåðñèòåò ñòðîèòåëüñòâà è àðõèòåêòóðû
(Óêðàèíà, 03037, Êèåâ, Âîçäóõîôëîòñêèé ïð-ò, 31,
òåë. (044) 2486427, å-mail: filimonova @nm.ru,
òåë. (044) 2425462, å-mail: jumin @big-mir.net)
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà
êîìïüþòåðíûõ ñèñòåì íà îñíîâå ìåòîäèêè
ñòðóêòóðèðîâàíèÿ ìíîãîìåðíîãî òðàôèêà
Èäåíòèôèêàöèÿ àíîìàëüíûõ ñîñòîÿíèé òðàôèêà êîìïüþòåðíîé ñèñòåìû ïðè åãî ïðåä-
ñòàâëåíèè â âèäå ìíîãîìåðíîãî âðåìåííîãî ðÿäà, ñòðóêòóðèðîâàííîãî ïîêîìïîíåíòíî è
ïîïàêåòíî, äàåò âîçìîæíîñòü ïîëó÷èòü ñòðóêòóðíûå õàðàêòåðèñòèêè ïîòîêà äàííûõ,
èñïîëüçóåìûå â äàëüíåéøåì äëÿ èäåíòèôèêàöèè. Ïîêàçàíà âîçìîæíîñòü ïðèìåíåíèÿ
ð-àäè÷åñêèõ ìîäåëåé äëÿ àíàëèçà òðàôèêà ïðè èñïîëüçîâàíèè â êà÷åñòâå äèíàìè÷åñêîãî
ïàòòåðíà ñîñòîÿíèÿ ïðåäøåñòâóþùåãî ïîòîêà äàííûõ. Ïðèâåäåíû ïðèìåðû, ñâèäåòåëüñò-
âóþùèå îá ýôôåêòèâíîñòè ïðåäëîæåííîé ìåòîäèêè.
²äåíòèô³êàö³ÿ àíîìàëüíèõ ñòàí³â òðàô³êà êîìïüþòåðíî¿ ñèñòåìè ïðè éîãî ïðåäñòàâëåíí³ ó
âèãëÿä³ áàãàòîâèì³ðíîãî ÷àñîâîãî ðÿäó, ñòðóêòóðîâàíîãî ïîêîìïîíåíòíî òà ïîïàêåòíî, äàº
ìîæëèâ³ñòü îòðèìàòè ñòðóêòóðí³ õàðàêòåðèñòèêè ïîòîêó äàíèõ, ÿê³ âèêîðèñòîâóþòüñÿ â ïî-
äàëüøîìó äëÿ ³äåíòèô³êàö³¿. Ïîêàçàíî ìîæëèâ³ñòü çàñòîñóâàííÿ ð-àäè÷íèõ ìîäåëåé äëÿ àíà-
ë³çó òðàô³êà ïðè âèêîðèñòàíí³ â ÿêîñò³ äèíàì³÷íîãî ïàòòåðíà ñòàíó ïîïåðåäíüîãî ïîòîêó
äàíèõ. Íàâåäåíî ïðèêëàäè, ÿê³ ñâ³ä÷àòü ïðî åôåêòèâí³ñòü çàïðîïîíîâàíî¿ ìåòîäèêè.
Ê ë þ ÷ å â û å ñ ë î â à: ìíîãîìåðíûé òðàôèê, èíòåëëåêòóàëüíûé àíàëèç äàííûõ, ïàêåò,
êîìïîíåíò òðàôèêà, ð-àäè÷åñêàÿ ìîäåëü, áèíàðíîå äåðåâî, ôðàêòàëüíàÿ ðàçìåðíîñòü,
ôðàêòàëüíîå ÷èñëî.
Ïðîáëåìà áåçîïàñíîãî ôóíêöèîíèðîâàíèÿ êîìïüþòåðíûõ ñèñòåì (ÊÑ) â
íàñòîÿùåå âðåìÿ ìíîãîêðàòíî óñëîæíèëàñü. Ïîïûòêè âíåäðåíèÿ â ÷óæèå
ñåòè ñòàëè íàñòîëüêî èçîùðåííûìè, ÷òî âñå ìåòîäû èäåíòèôèêàöèè òàêèõ
âòîðæåíèé, îñíîâàííûå íà âûäåëåíèè ïðèçíàêîâ, ò.å. âåëè÷èí êîìïîíåíò
òðàôèêà, ïðàêòè÷åñêè èc÷åðïàëè ñåáÿ. Ìîæíî ïðèâåñòè ìíîæåñòâî ïðèìå-
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 73
ВЫЧИСЛИТЕЛЬНЫЕ
ПРОЦЕССЫ И СИСТЕМЫ
� Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà, 2013
ðîâ, êîãäà àíîìàëüíûé è íîðìàëüíûé ðåæèìû òðàôèêà èìåþò îäèíàêîâûå
ïàðàìåòðû ïðèçíàêîâ. Ðàññìîòðèì ïðèìåð èç ðàáîòû [1].
Ïî ìíåíèþ àâòîðîâ ðàáîòû [1], îáíàðóæèòü ðàçíèöó â äâóõ ïðèâå-
äåííûõ íà ðèñ. 1 ãðàôèêàõ, ïðàêòè÷åñêè íåâîçìîæíî. Ñëåäîâàòåëüíî, íå-
âîçìîæíî îáíàðóæèòü àíîìàëüíûå êîìïîíåíòû â ñåòåâîì òðàôèêå ïðè
òàêîé ïîñòàíîâêå çàäà÷è, ò.å. âî âðåìåííîì èíòåðâàëå. Ñîâðåìåííûå ñõå-
ìû îðãàíèçàöèè àòàê è äðóãèõ ïðîòèâîçàêîííûõ äåéñòâèé âåñüìà ñëîæíû.
Ïîýòîìó ïðè ïîïûòêå èäåíòèôèêàöèè àíîìàëèé, íàïðèìåð ïîñðåäñòâîì
ðàñïîçíàâàíèÿ îáðàçîâ, òðåáóåòñÿ îáíàðóæèâàòü ñëîæíûå êîìáèíàöèè
ñåòåâûõ òðàíçàêöèé è ñîïóòñòâóþùèõ èì ôàêòîðîâ, âñëåäñòâèå ÷åãî îáó-
÷àþùåå ìíîæåñòâî ñòàíîâèòñÿ ñâåðõáîëüøèì, òàê êàê åãî ïðèõîäèòñÿ
ôîðìèðîâàòü ïî êîìáèíàöèÿì äâóõ, òðåõ è áîëåå òðàíçàêöèé. Òàêèì îáðà-
çîì, èñõîäíàÿ çàäà÷à ñòàíîâèòñÿ ïðàêòè÷åñêè íåðàçðåøèìîé.
Ñîâðåìåííîå ñîñòîÿíèå èññëåäîâàíèé. Â íàñòîÿùåå âðåìÿ ïðè ðå-
øåíèè ïðîáëåìû áåçîïàñíîñòè ÊÑ îñíîâíîå âíèìàíèå óäåëÿåòñÿ ìíîãî-
ìåðíîìó òðàôèêó ÊÑ, òàê êàê ó÷åò âñåõ (èëè íåêîòîðîãî ÷èñëà) êîìïîíåíò
è èõ âçàèìîñâÿçåé ïîçâîëÿåò èäåíòèôèöèðîâàòü àíîìàëèþ, à ìàñøòà-
áèðóåìîå ïðîñòðàíñòâî — îïðåäåëèòü íåîáõîäèìûå ïàðàìåòðû. Ñîâðå-
ìåííûé ïîäõîä ê ðåøåíèþ îáîáùåííîé çàäà÷è èäåíòèôèêàöèè àíîìàëèé
íàèáîëåå ïîëíî èçëîæåí â ðàáîòå [2]. Ñ÷èòàåòñÿ, ÷òî òðàäèöèîííûå ìå-
òîäû èíòåëëåêòóàëüíîãî àíàëèçà äàííûõ (ÈÀÄ) íå ïðèñïîñîáëåíû äëÿ
ðåøåíèÿ ïîäîáíûõ çàäà÷, òàê êàê òðåáóþò íàëè÷èÿ áîëüøîãî êîëè÷åñòâà
îáó÷àþùåãî ìàòåðèàëà â âèäå ïîëîæèòåëüíûõ è îòðèöàòåëüíûõ ïðèìå-
ðîâ. Òðóäíîñòü ñîñòîèò â îòñóòñòâèè äîñòàòî÷íîãî îáúåìà îáó÷àþùèõ
äàííûõ ïî àíîìàëèÿì òðàôèêà ÊÑ (âêëþ÷àÿ êîìïüþòåðíûå àòàêè, íåñàíê-
öèîíèðîâàííûå äåéñòâèÿ è äð.). Òåì íå ìåíåå, ñîâðåìåííûå òåíäåíöèè â
äàííîé îáëàñòè èññëåäîâàíèé ñâÿçàíû èìåííî ñ âîçìîæíîñòÿìè ÈÀÄ.
 ðàáîòå [2] ïîêàçàíî, ÷òî ÷èñëî îáó÷àþùèõ ñëó÷àåâ çíà÷èòåëüíî
ìåíüøå îáùåãî ÷èñëà ñëó÷àåâ. Ïîýòîìó âîçíèêëà ïðîáëåìà îáíàðóæåíèÿ
ðåäêèõ, èëè äèñáàëàíñíûõ, çàêîíîìåðíîñòåé, ÷òî, åñòåñòâåííî, ïîòðåáî-
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
74 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
4
3
2
1
0
0 400 800 1200 1600 2000
à á
×
è
ñë
î
ï
àê
åò
î
â
�10
7
0 400 800 1200 1600 2000
Âðåìÿ
Ðèñ. 1. Ãðàôèêè ñåòåâîãî òðàôèêà ïðè íàëè÷èè àòàêè (à) è áåç íåå (á) [1]
âàëî ðàçâèòèÿ íîâûõ òåõíîëîãèé ÈÀÄ, â ÷àñòíîñòè òåõíîëîãèè, íàçâàííîé
îáíàðóæåíèåì âçàèìîñâÿçåé (ÎÂ-Link Discovery), ñ ïîìîùüþ êîòîðîé
èññëåäóåòñÿ âîçìîæíîñòü îáíàðóæåíèÿ âçàèìîñâÿçåé ìåæäó íåñîïîñòàâè-
ìûìè, ðåäêèìè è äèñáàëàíñíûìè ÿâëåíèÿìè ñðåäè áîëüøîãî ÷èñëà ïîòî-
êîâ è èñòî÷íèêîâ äàííûõ.
Ýòà òåõíîëîãèÿ âîïëîùåíà â ðàçðàáîòêàõ CISCO [3]. Âàæíûì åå ýëå-
ìåíòîì ÿâëÿþòñÿ îò÷åòû î äâèæåíèè ïîòîêîâ òðàôèêà, â êîòîðûõ ïðîèñ-
õîäèò ïîñòîÿííîå ñîïîñòàâëåíèå ñåòåâîãî òðàôèêà ñ áàçîâûìè íîðìàìè
ñåòè. Òàêèå îò÷åòû ìîæíî ïîëó÷àòü, èñïîëüçóÿ òåõíîëîãèþ Cisco Net-
Flow, ñîãëàñíî êîòîðîé ñáîð èíôîðìàöèè î ïîòîêàõ òðàôèêà è âûÿâëåíèå
óãðîçû àòàê ðàññìàòðèâàåòñÿ êàê îáíàðóæåíèå àíîìàëèé.
Cisco Net-Flow êëàññèôèöèðóåò ïàêåòû ïî ïîòîêàì, ïðè÷åì êàæäûé
ïàêåò èìååò ñåìü óíèêàëüíûõ õàðàêòåðèñòèê: âõîäíîé èíòåðôåéñ; òèï
ïðîòîêîëà IP; áàéò òèïà ñåðâèñà (ToS); èñõîäíûé è öåëåâîé IP-àäðåñà;
íîìåðà èñõîäíîãî è öåëåâîãî ïîðòîâ. Ýòè õàðàêòåðèñòèêè äàþò äîñòà-
òî÷íî èíôîðìàöèè äëÿ ñîçäàíèÿ áàçîâîãî ïðîôèëÿ íîðìàëüíûõ çàêîíî-
ìåðíîñòåé ïîâåäåíèÿ òðàôèêà. Ñîñòàâëÿÿ äåòàëüíûé îò÷åò î ïîòîêàõ òðà-
ôèêà, Cisco Net-Flow ïîçâîëÿåò ïîëüçîâàòåëÿì IT âûÿâëÿòü îòêëîíåíèÿ îò
òèïîâûõ çàêîíîìåðíîñòåé ïîâåäåíèÿ òðàôèêà, ò.å. ðàííèå ïðèçíàêè ïîòåí-
öèàëüíûõ àòàê (DDoS) [4].
 ðàáîòå [5] ðàññìîòðåíû àâàðèéíûé ñåòåâîé òðàôèê è îáíàðóæèâàþ-
ùèé ìåòîä, îñíîâàííûé íà ïîíÿòèè ñèñòåìíûé ïðîòîòèï, à òàêæå ïðåä-
ëîæåí àëãîðèòì îáíàðóæåíèÿ, â êîòîðîì èñïîëüçîâàíû èçìåíåíèÿ â îá-
ðàçöàõ òðàôèêà, ïîÿâëÿþùèåñÿ â òå÷åíèå àòàêè ïðè ñîáèðàíèè ïàêåòîâ,
ïðèíàäëåæàùèõ èäåíòè÷íîìó ïîòîêó. Ýòîò àëãîðèòì ïîçâîëÿåò îáíàðó-
æèòü äàæå ìóòàíò-àòàêè, èñïîëüçóþùèå íîâûé íîìåð ïîðòà èëè èçìå-
íåííóþ íàãðóçêó, ïîêà ñèãíàòóðû ñèñòåìû íå ñïîñîáíû îáíàðóæèòü ýòè
òèïû àòàê.
Îáíàðóæåíèå àíîìàëèè ÷åðåç çàãîëîâîê ïàêåòà ïðåäïîëàãàåò äåòåê-
òèðîâàíèå ÷àñòè çàãîëîâêà, ò.å. ïðîâåðêè âåëè÷èí, õðàíÿùèõñÿ â îáëàñòè
çàãîëîâêà ïàêåòà, ÷òî ïîçâîëÿåò êëàññèôèöèðîâàòü àòàêó âåëè÷èíàìè îá-
ëàñòè çàãîëîâêà. Ïðè ýòîì ïîòîê îïðåäåëÿåòñÿ êàê ìíîæåñòâî ïàêåòîâ ñ
êîðòåæåì, ñîñòîÿùèì èç ïÿòè ýëåìåíòíîâ: èñõîäíûé IP àäðåñ; ðàñïîëîæå-
íèå IP àäðåñà; èñõîäíûé ïîðò; ïîðò ðàñïîëîæåíèÿ; íîìåð ïðîòîêîëà.
Ìíîãîìåðíûé òðàôèê ÊÑ îñíîâàí íà èñïîëüçîâàíèè òåîðèè òåí-
çîðîâ [6]. Â ðàáîòå [7] ïðåäëîæåíî èñïîëüçîâàòü òåíçîðíûå äåêîìïîçèöèè
êàê ñðåäñòâî ìîäåëèðîâàíèÿ è ñèãíàëüíîãî ïðîöåññèíãà äëÿ ðåøåíèÿ
ïðîáëåìû îáðàáîòêè ìàññèâîâ. Íàïðèìåð, åñëè ïðèíÿòûé ñèãíàë — òðåõ-
ïîðÿäêîâûé òåíçîð, òî ýòî îçíà÷àåò, ÷òî êàæäûé ïðèíÿòûé ñèãíàë äîëæåí
áûòü ñâÿçàí ñ äàííîé ñèñòåìîé êîîðäèíàò â òðåõìåðíîì ïðîñòðàíñòâå, ò.å.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 75
ìîäåëèðîâàíèå ñëåäóåò âûïîëíèòü ñ ïîìîùüþ òðåõ èíäåêñîâ, êàæäûé èç êî-
òîðûõ õàðàêòåðèçóåò ñèñòåìàòèçèðîâàííóþ âàðèàöèþ ïðèíÿòîãî ñèãíàëà.
Ïðîñòðàíñòâåííàÿ ðàçìåðíîñòü ñîîòâåòñòâóåò ÷èñëó ïðèåìíûõ àíòåíí, à
âðåìåííàÿ ðàçìåðíîñòü — ÷èñëó ñèìâîëîâ, îáðàáàòûâàåìûõ â ïðèåìíèêå.
Äîïîëíèòåëüíàÿ (òðåòüÿ) ðàçìåðíîñòü îòíîñèòñÿ ê ÷àñòíîìó òèïó îáðà-
áîòêè, âûïîëíÿåìîé â ïåðåäàò÷èêå (èñòî÷íèêå) èëè ïðèåìíèêå, èëè è â
òîì è â äðóãîì îäíîâðåìåííî. Íàïðèìåð, äëÿ ñèñòåì CDMA òðåõðàçìåð-
íîñòü äèâåðñèôèêàöèè åñòü ðàñøèðåíèå ïðîñòðàíñòâà, âîçíèêàþùåãî ïðè
ðàñøèðåíèè êîäîâ â ïåðåäàò÷èêå.
 ðàáîòå [8] ïðåäëîæåí ìåòîä äèíàìè÷åñêîãî òåíçîðíîãî àíàëèçà
(ÄTA), îáåñïå÷èâàþùèé êîìïàêòíûé àíàëèç äëÿ âûñîêîïîðÿäêîâûõ è
âûñîêîðàçìåðíûõ äàííûõ. Ìåòîä ÄÒÀ ïîçâîëÿåò ïðîâåðèòü äèíàìè÷åñ-
êîå ïîâåäåíèå òðàôèêà, èäåíòèôèöèðîâàòü àíîìàëèè êàê ïîòåíöèàëüíîå
âòîðæåíèå èëè àòàêó, à òàêæå îïðåäåëÿòü êîððåëÿöèþ ìåæäó ðàçëè÷íûìè
èñòî÷íèêàìè, ïðèåìíèêàìè è ïîðòàìè. Äèíàìè÷åñêèé è ïîòîêîâûé òåíçîð-
àíàëèçû ïîçâîëÿþò ðàçëîæèòü èñõîäíûå òåíçîðû âûñîêîé ðàçìåðíîñòè â
òåíçîðû «ñåðäöåâèíû» è «ìàòðèöû ïðîåêöèé» (äëÿ êàæäîãî íàïðàâëåíèÿ)
çíà÷èòåëüíî ìåíüøåé ðàçìåðíîñòè.
 ðàáîòå [9] îïèñàí ìåòîä ìîíèòîðèíãà ñåòè ðåàëüíîãî âðåìåíè â
òåðìèíàõ öèôðîâûõ âðåìÿçàâèñèìûõ ôóíêöèé ïàðàìåòðîâ ïðîòîêîëà. Íà
îñíîâàíèè êîìïëåêñíîé òåîðèè ñèñòåì òðàôèê îïèñàí êàê òðàåêòîðèÿ â
ìóëüòèìåðíîì ïðîñòðàíñòâå âðåìÿ—ïàðàìåòð ñ 10—12 èçìåðåíèÿìè. Äëÿ
îïèñàíèÿ èíôîðìàöèîííûõ ïîòîêîâ â ñåòè ââåäåíî ïîíÿòèå áèðæè ïà-
êåòîâ ìåæäó êîìïüþòåðàìè, ñòðóêòóðà ïàêåòîâ è èõ ðàçìåðû èçìåíÿþòñÿ
â çàâèñèìîñòè îò ïðîöåññà. Êàæäûé ïàêåò ñîñòîèò èç çàãîëîâêà è èíêàï-
ñóëèðîâàííûõ äàííûõ. Ïîñêîëüêó ÷àñòü äàííûõ íå âëèÿåò íà ðàñïðîñò-
ðàíåíèå ïàêåòà ÷åðåç ñåòü, ïðåäëîæåíî ðàññìàòðèâàòü òîëüêî èíôîðìà-
öèþ, âêëþ÷åííóþ â çàãîëîâîê, ñîñòîÿùèé èç èíêàïñóëèðîâàííûõ ïðîòî-
êîëîâ, ñâÿçàííûõ ñ ðàçëè÷íûìè ñëîÿìè êîììóíèêàöèé — îò ñëîÿ ñâÿçè äî
ïðèêëàäíîãî ñëîÿ. Èíôîðìàöèÿ, ñîäåðæàùàÿñÿ â çàãîëîâêàõ, óïðàâëÿåò
òðàôèêîì âñåé ñåòè. Äëÿ òîãî ÷òîáû èçâëå÷ü ýòó èíôîðìàöèþ, èñïîëüçóþò
tcpdump-óòèëèòû [10]. Ïîëó÷åííàÿ èíôîðìàöèÿ èñïîëüçóåòñÿ äëÿ àíàëèçà
ñåòåâîãî òðàôèêà, îïðåäåëåíèÿ ñèãíàòóðû àíîìàëüíîãî ñåòåâîãî ïîâåäå-
íèÿ è îáíàðóæåíèÿ âîçìîæíûõ âòîðæåíèé.
Âàæíîå îòëè÷èå ïðåäëàãàåìîãî ìåòîäà îò òðàäèöèîííî èñïîëüçóåìûõ —
ïðåäñòàâëåíèå èíôîðìàöèè, ñîäåðæàùåéñÿ â çàãîëîâêàõ, â âèäå õîðîøî
îïðåäåëåííûõ ôóíêöèé [19]. Äëÿ òîãî ÷òîáû ÷èòàòü äâîè÷íûå tcpdump-
ôàéëû è ïðåäñòàâëÿòü âñå ïàðàìåòðû ïðîòîêîëà â ñîîòâåòñòâèè ñ èçìåíÿþ-
ùèìèñÿ âî âðåìåíè ôóíêöèÿìè, ðàçðàáîòàíî ïðîãðàììíîå îáåñïå÷åíèå.
Ïîñòàíîâêà çàäà÷è. Êëàñòåðíûé àíàëèç (ÊÀ) êàê ÷àñòü ÈÀÄ øèðîêî
ïðèìåíÿåòñÿ ïðè ðåøåíèè äîñòàòî÷íî áîëüøîãî êëàññà çàäà÷, íàïðèìåð, â
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
76 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
áèîèíôîðìàòèêå. Îäíàêî â çàäà÷àõ àíàëèçà òðàôèêà ÊÑ ÊÀ èñïîëüçóåòñÿ
íåäîñòàòî÷íî [11]. Ñóùåñòâóþùèå ñèñòåìû ìîíèòîðèíãà òðàôèêà, êàê
ïðàâèëî, ó÷èòûâàþò 3—9 èëè ìàêñèìóì 12 åãî ïàðàìåòðîâ. Îáû÷íî âû-
ïîëíÿåòñÿ ìîíèòîðèíã êàæäîãî ïàðàìåòðà òðàôèêà âî âðåìåíè íà îñíî-
âàíèè ìíîæåñòâà èçìåðåíèé { ( )}( )x t
i
j , ãäå i — íîìåð êîìïîíåíòû, j —
íîìåð èçìåðåíèÿ, ñ ïîñëåäóþùåé ñòàòèñòè÷åñêîé îáðàáîòêîé. Âû÷èñ-
ëÿåòñÿ èíòåðâàë âîçìîæíûõ êîëåáàíèé äëÿ íîðìàëüíîãî è àíîìàëüíîãî
ñîñòîÿíèé òðàôèêà è ðàçðàáàòûâàþòñÿ àëãîðèòìû îöåíêè âåðîÿòíîñòè
ïîïàäàíèé ðåàëüíîé âåëè÷èíû â òîò èëè èíîé èíòåðâàë, íà îñíîâàíèè ÷åãî
äåëàåòñÿ âûâîä î õàðàêòåðå òðàôèêà (ðèñ. 2).
Íåäîñòàòîê ñóùåñòâóþùèõ ìåòîäîâ çàêëþ÷àåòñÿ â òîì, ÷òî, êàê ïðà-
âèëî, îãðàíè÷èâàþòñÿ ïîêîìïîíåòíûì àíàëèçîì òðàôèêà. Îäíàêî ðåçóëü-
òàòû ïðàêòè÷åñêèõ èññëåäîâàíèé ñâèäåòåëüñòâóþò î íåäîñòàòî÷íîñòè òà-
êîãî ïîäõîäà, òàê êàê ïîâåäåíèå èíòåãðàëüíîãî òðàôèêà (èìåþùåãî 3—12
êîìïîíåíò) îòëè÷àåòñÿ îò ïîâåäåíèÿ îäíîêîìïîíåíòíîãî òðàôèêà. Êðîìå
òîãî, âàæíîå çíà÷åíèå ñ òî÷êè çðåíèÿ ïîëó÷åíèÿ íîâûõ çíàíèé èìååò
àíàëèç ìíîæåñòâà ïàêåòîâ, ïîñòóïèâøèõ çà åäèíèöó âðåìåíè, â ÷àñòíîñòè
àíàëèç èõ ñòðóêòóðû. Åñëè âåêòîð òðàôèêà â ìîìåíò t 0 îáîçíà÷èòü ÷åðåç
x
0, ìíîæåñòâà âåêòîðîâ íîðìàëüíîãî è àíîìàëüíîãî òðàôèêîâ — ÷åðåç
x
N è x
A è ïîëàãàòü, ÷òî èõ êîìïîíåíòàìè åñòü èíòåðâàëû, x I
N N
i
x�{ },
x I
A A
i
x�{ }, i = 1, n, I i
x
i ix x� [ , ]min max , i = 1, n, òî çàäà÷ó èäåíòèôèêàöèè àíî-
ìàëüíûõ ñîñòîÿíèé òðàôèêà ÊÑ ìîæíî ðàññìàòðèâàòü êàê çàäà÷ó îïðå-
äåëåíèÿ áëèçîñòè âåêòîðîâ {x X
0 � N } è {x X
0 � A }, èëè çàäà÷ó îöåíêè
ïðèíàäëåæíîñòè ê çàäàííîé îáëàñòè ïðîñòðàíñòâà.
Àëãîðèòì ðåøåíèÿ çàäà÷è. Ïðåäëàãàåìûé íîâûé ìåòîä èäåíòèôè-
êàöèè àíîìàëüíûõ ñîñòîÿíèé çàêëþ÷àåòñÿ â ñëåäóþùåì. Äëÿ èíòåðâàëà
âðåìåíè T t t tp
f
p( ) ( )[ , ,..., ]� 1 2 , â òå÷åíèè êîòîðîãî âûïîëíÿåòñÿ ìîíèòî-
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 77
3
2
1
0
1
5
12
Êîìïîíåíòû òðàôèêà
Ïîòîê
Ïàêåò
Ðèñ. 2. Ðàñ÷åòíàÿ ìîäåëü òðàôèêà (òåìíûì öâåòîì âûäåëåíû àíîìàëüíûå ïàêåòû)
ðèíã ÊÑ, ôîðìèðóåòñÿ ìàòðèöà. Åå ñòðîêàìè ÿâëÿþòñÿ ïàêåòû ïîòîêà
äàííûõ, à ñòîëáöàìè — êîìïîíåíòû òðàôèêà äëÿ çíà÷åíèé t Tj
p� ( ) :
x
x
x
x x x
( )
( )
( )
( ) ( ) ( )
(
( , , , )
1
2
1 2
1
�
�
f
f
x�
�
�
�
�
��
�
�
�
��
� �
1
2
1 1
1
2
2
2 2
1 2
) ( ) ( )
( ) ( ) ( )
( ) ( ) ( )
x x
x x x
x x x
n
n
f f
n
f
�
�
�
�
�
�
�
�
�
��
�
�
�
��
.
Äëÿ ïîëó÷åííîé ìàòðèöû ìåòîäîì èåðàðõè÷åñêîãî êëàñòåðíîãî àíàëèçà
(ÈÊÀ) ñòðîèòñÿ áèíàðíîå äåðåâî (ÁÄð), èëè äåíäðîãðàììà, è âû÷èñëÿþò-
ñÿ õàðàêòåðèñòèêè ñòðóêòóðû ÁÄð, ïîëó÷åííîãî íà îñíîâå ìàòðèöû áëè-
çîñòè (ðàññòîÿíèé),
D
d d
d d
f
�
0
0
1 2 1
2 1 2
( , ( , )
( , ) ( ,
( ) ( ) ( ) ( )
( ) ( ) ( ) (
x x x x
x x x x
�
� f
f fd d
S
)
( ) ( ) ( ) ( )
)
( , ) ( , )
�
�x x x x
1 2 0
�
�
�
�
�
��
�
�
�
��
� ,
ïðè ïîêîìïîíåíòíîé (ïî ñòîëáöàì) èëè ïîïàêåòíîé (ïî ñòðîêàì) êëàñ-
òåðèçàöèè. Õàðàêòåðèñòèêàìè ðàññìàòðèâàåìîé ñòðóêòóðû ÿâëÿþòñÿ ìíî-
ãîóðîâíåâîå ðàñïîëîæåíèå êëàñòåðîâ, êëàñòåðû êàæäîãî óðîâíÿ è èõ
îáúåäèíåíèÿ (ñîáñòâåííî ñòðóêòóðà), à òàêæå ôðàêòàëüíîå ÷èñëî è ôðàê-
òàëüíàÿ ðàçìåðíîñòü çàêîäèðîâàííîãî ÁÄð.
Äàëåå ôîðìèðóåòñÿ íîâàÿ ìàòðèöà äëÿ íîâîãî èíòåðâàëà âðåìåíè
T t t tp
f
p( ) ( )[ , ,..., ]
�1
1 2
1 , â òå÷åíèè êîòîðîãî âûïîëíÿåòñÿ ìîíèòîðèíã ÊÑ
( , , ..., )( ) ( ) ( )
x x x
2 3 f . Äëÿ ïîëó÷åííîé ìàòðèöû âû÷èñëÿåòñÿ íîâîå ìíîæåñòâî
õàðàêòåðèñòèê ñòðóêòóðû ÁÄð S (ð+1). Åñëè õàðàêòåðèñòèêè S (p) è S (ð+1)
áëèçêè, îñóùåñòâëÿåòñÿ íîðìàëüíûé òðàôèê, â ïðîòèâíîì ñëó÷àå âîçíè-
êàåò àíîìàëèÿ (ðèñ. 3). Òàêèì îáðàçîì, òåñò-ìíîæåñòâî òðàôèêà, åñëè îíî
èçíà÷àëüíî áûëî íîðìàëüíûì, ïîïîëíÿåòñÿ è ñèñòåìà, ïî ñóùåñòâó, ñòà-
íîâèòñÿ ñàìîðåãóëèðóåìîé.
Ó ï ð î ù å í í û é à ë ã î ð è ò ì.
1.  íà÷àëüíûé ìîìåíò âðåìåíè ôîðìèðóåì ìíîæåñòâa çíà÷åíèé,
ïðåäñòàâëÿþùèå ñîáîé:
îäíîêîìïîíåíòíûé òðàôèê — X t xi
j
i( ) ( )( ) { }� , ãäå i — íîìåð êîìïî-
íåíòû, i = 1 � 5 (òðàôèê CISCO) èëè i = 1 � 9 (îáùåå ÷èñëî êîìïîíåíò
òðàôèêà) ; j— íîìåð ñêàíèðîâàíèÿ, j = 1, 2,… .
îáîáùåííûé ìíîãîìåðíûé òðàôèê, â êîòîðîì îäíîâðåìåííî ó÷òåíû
âñå êîìïîíåíòû.
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
78 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
 êà÷åñòâå ýëåìåíòîâ ýòèõ ìíîæåñòâ ìîãóò áûòü âûáðàíû ñîîòâåòñò-
âóþùèå ýëåìåíòû áàçû äàííûõ, îäíîçíà÷íî èíòåðïðåòèðóåìûå êàê íîð-
ìàëüíûé òðàôèê, èëè åãî íà÷àëüíûå f çíà÷åíèé, ïîëó÷åííûå ñêàíèðîâà-
íèåì ÊÑ è òàêæå èíòåðïðåòèðóåìûå êàê íîðìàëüíûé òðàôèê.
2. Âûáèðàåì ÷èñëî êëàñòåðîâ k, êîòîðûå áóäóò îïðåäåëÿòü èåðàðõè-
÷åñêóþ ñòðóêòóðó âûáðàííîãî ìíîæåñòâà çíà÷åíèé òðàôèêà. Ïðè ýòîì
æåëàòåëüíî èìåòü òåõíè÷åñêóþ âîçìîæíîñòü ðåàëèçîâàòü êëàñòåðèçàöèþ
òèïà îäèí îáúåêò íà îäèí êëàñòåð, à ÁÄð äîëæíî ïîçâîëÿòü óäîáíóþ
âèçóàëèçàöèþ (ðèñ. 4).
Çàìåòèì, ÷òî â îáîèõ ñëó÷àÿõ ÷èñëî êëàñòåðîâ â ÁÄð îäèíàêîâî, âñëåäñò-
âèå ÷åãî äîñòèãàåòñÿ èäåíòè÷íîñòü ñðàâíèâàåìûõ îáúåêòîâ.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 79
0 50 100
xj
0 0 100c c+20 c+4 c+80 c+
t
3
2
1
1 2 4 7 8 3 9 10 5 6
Êëàñòåðû
r
3 4 7 1 2 5 6 9 10 8
a á
Ðèñ. 4. Íà÷àëüíûé íîðìàëüíûé òðàôèê X t x t t
1 1
1
100( ) { ( ) }� � è åãî ÁÄð (à) è àëüòåðíàòèâíûé
òðàôèê è åãî ÁÄð (á)
������� �������� ��
� � � �
����� ������ ��
�
òðàôèê(îñòàëüíîé)éÈññëåäóåìûýëåìåíòîâ-nïåðâûå
ìíîæåñòâîÒåñò
ñòðóêòóðÑðàâíåíèå � �
� �
� �
����������
Ðèñ. 3. Ñõåìà ïîääåðæêè ïðèíÿòèÿ ðåøåíèÿ î ïîÿâëåíèè àíîìàëèè â òåêóùåì òðàôèêå
Ñòðóêòóðèðîâàííûé òðàôèê ÊÑ. Êëàñòåð ïðåäñòàâëÿåò ñîáîé ÷àñòü
äàííûõ, êîòîðàÿ îòëè÷àåòñÿ îò îñòàëüíûõ äàííûõ íàëè÷èåì èëè îòñóòñò-
âèåì íåêîòîðîé îäíîðîäíîñòè ýëåìåíòîâ.  ïðîñòåéøåì ñëó÷àå ýòî —
ïîõîæåñòü ýëåìåíòîâ, â èäåàëüíîì ñëó÷àå — ñîâïàäåíèå çíà÷åíèé îñíîâ-
íûõ ïåðåìåííûõ èëè èíîãî ðîäà áëèçîñòü, ïðåäñòàâëÿåìàÿ, â ÷àñòíîñòè,
ãåîìåòðè÷åñêîé áëèçîñòüþ ñîîòâåòñòâóþùèõ îáúåêòîâ [12].
Ñîãëàñíî ÈÊÀ ïðè íàëè÷èè ìíîæåñòâà îáúåêòîâ X x j j
n� �{ } 1, õàðàê-
òåðèçóåìûõ ïðèçíàêàìè { }( )x i
i
m
�1, x xj j
i
i
m� �{ }( )
1, âû÷èñëÿþòñÿ ïîïàðíûå
ðàññòîÿíèÿ d x xj f( , ) â òîé èëè íîé ìåòðèêå è èõ ìàòðèöà ðàññòîÿíèé
D d x xj f� ( ( , )). Îáúåêòû ñîáèðàþòñÿ â êëàñòåðû ïî êðèòåðèþ ìàêñèìàëü-
íîé èëè ìèíèìàëüíîé óäàëåííîñòè äðóã îò äðóãà èëè ïî äðóãîìó ïðèí-
öèïó [13].
Âîçìîæíîñòè ÊÀ äëÿ ïðèíÿòèÿ ðåøåíèé îòíîñèòåëüíî àíîìàëüíîñòè
òðàôèêà îïðåäåëÿþòñÿ ïðåæäå âñåãî òåì, ÷òî îí ïîçâîëÿåò èñïîëüçîâàòü
ìíîãîîáðàçíóþ, îáîçðèìóþ è ôîðìàëèçîâàííóþ ñèñòåìó ïðàâèë. Ïîä-
äåðæêà ïðèíÿòèÿ ðåøåíèé îïðåäåëÿåòñÿ âîçìîæíîñòüþ ðåøåíèÿ òàêèõ
çàäà÷:
ñòðóêòóðèçàöèÿ äàííûõ â ðàçëè÷íûõ ôîðìàòàõ è ìåòðèêàõ;
àíàëèç ñîñòàâà è îñíîâíûõ êîìïîíåíò äàííûõ;
âûÿâëåíèå ãðóïï îáúåêòîâ, ê êîòîðûì ïðèìåíèìû îäèíàêîâûå êðè-
òåðèè;
âûÿâëåíèå è àíàëèç ñòðóêòóðû âçàèìîäåéñòâèÿ îñíîâíûõ ïîäñèñòåì
(â äàííîì ñëó÷àå êîìïîíåíò òðàôèêà èëè ïàêåòîâ).
Îäíèì èç ìîùíûõ ñðåäñòâ àíàëèçà òðàôèêà, äî ñèõ ïîð ïðàêòè÷åñêè
íå èññëåäîââàííûì, ÿâëÿåòñÿ âèçóàëèçàöèÿ ñòðóêòóðû ñèñòåìû — îñíîâ-
íîå ñðåäñòâî ïîääåðæêè è ïðèíÿòèÿ ðåøåíèé, ñòèìóëèðóþùåå èíòóè-
öèþ. Ïðè àíàëèçå òðàôèêà âàæíîå çíà÷åíèå èìååò èíòóèòèâíîå ïðåäñòàâ-
ëåíèå îá îáúåêòå. Ïîñëå òîãî êàê îñíîâíûå êëàñòåðû óñòàíîâëåíû, èõ
âçàèìîäåéñòâèå è ðàçâèòèå çíà÷èòåëüíî ëåã÷å âèçóàëèçèðîâàòü, ÷åì â
èñõîäíîé ìàññå äàííûõ. Íà ñòàäèè èäåíòèôèêàöèè ïðåâàëèðóþò ðåêóð-
ñèâíûå ìåòîäû âîñïðèÿòèÿ, õàðàêòåðèçóåìûå ãëóáîêîé îáðàòíîé ñâÿçüþ
ãëàç—ìîçã, ÷òî ñâÿçàíî ñ èñïîëüçîâàíèåì ñòðóêòóðíîãî ïðåäñòàâëåíèÿ
èçîáðàæåíèÿ. Ýòà ïðîöåäóðà âèçóàëèçàöèè ýôôåêòèâíà ïðè îïðåäåëåíèè
ñòåïåíè àíîìàëüíîñòè òðàôèêà.
Òðàôèê ÊÑ èìååò ñóùåñòâåííûå ðàçëè÷èÿ â âåëè÷èíàõ îòäåëüíûõ
êîìïîíåíò. Ïðè åãî àíàëèçå, à îñîáåííî ïðè âèçóàëèçàöèè, ýôôåêòèâíûì
ÿâëÿåòñÿ ïðåîáðàçîâàíèå åâêëèäîâûõ ðàññòîÿíèé â ìàòðèöû ñõîäñòâà ñ
ïîìîùüþ òàê íàçûâàåìûõ êåðíåë-ôóíêöèé [14]. Câîéñòâà ýòîãî ïðåîáðà-
çîâàíèÿ ïîçâîëÿþò îáúåäèíèòü ìíîãèå àëãîðèòìû, äî íåäàâíåãî âðåìåíè
ðàññìàòðèâàâøèåñÿ èçîëèðîâàííî (â òðàôèêå ÊÑ—êîìïîíåíòû, èìåþùèå
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
80 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
ðàçëè÷íóþ ïðèðîäó: IP-àäðåñà, íîìåðà ïîðòîâ, ÷èñëî ïåðåäàâàåìûõ áàéò, êà-
÷åñòâåííûå îöåíêè, ïðåîáðàçîâàíèå ïåðåìåííûõ, êðèòåðèè ÊÀ è äð. )
Âàæíîå çíà÷åíèå äëÿ àíàëèçà òðàôèêà ÊÑ èìååò ïðàâèëüíûé âûáîð
ñóììàðíîãî ÷èñëà êëàñòåðîâ, íà êîòîðûé âëèÿþò ÷èñëî êîìïîíåíò òðà-
ôèêà, ó÷èòûâàþùåå ñèñòåìû ìîíèòîðèíãà, è ÷èñëî îòñ÷åòîâ îòäåëüíûõ
êîìïîíåíò òðàôèêà. Âî âñåõ ñëó÷àÿõ æåëàòåëüíî èìåòü âîçìîæíîñòü ïî-
ñòðîåíèÿ èåðàðõè÷åñêîé ñòðóêòóðû ïî ïðèíöèïó îäèí êëàñòåð íà îäèí
îáúåêò. Çàìåòèì, ÷òî â ñóùåñòâóþùèõ ñèñòåìàõ ìàòåìàòè÷åñêîãî ìîäåëè-
ðîâàíèÿ ÷èñëî êëàñòåðîâ îãðàíè÷åíî (30—40).
Íåäîñòàòîê ìåòîäîâ ÈÊÀ ñîñòîèò â òîì, ÷òî îäèí è òîò æå âèä òðàôèêà
ìîæåò èìåòü ðàçëè÷íûå ñòðóêòóðû äëÿ ðàçëè÷íûõ ìåòîäîâ êëàñòåðèçàöèè,
òåì íå ìåíåå, îíè îäíàçíà÷íî èäåíòèôèöèðóþò ôàêò ïîÿâëåíèÿ àíî-
ìàëèè. Îäíàêî íå èñêëþ÷åíû ñëó÷àè íåîäíîçíà÷íîé èíòåðïðåòàöèè ïîëó-
÷åííûõ ìîäåëåé (ñòðóêòóð).  íàñòîÿùåå âðåìÿ àêòóàëüíà ïðîáëåìà êëàñ-
òåðíîãî êîíñåíñóñà, òàê êàê ñèòóàöèÿ, êîãäà ÷èñëî äîñòóïíûõ ïðîãðàìì
êëàñòåðèçàöèè, ðåàëèçóþùèõ ðàçëè÷íûå ìåòîäû, ôîðìèðóþùèå íà îäíèõ
è òåõ æå äàííûõ ðàçëè÷íûå êëàñòåðíûå ñòðóêòóðû, íå ìîæåò ñ÷èòàòüñÿ
íîðìàëüíîé â ïðèêëàäíîì ïëàíå.
Íå ðåøèâ âîïðîñà î âûáîðå ôèíàëüíîé ñòðóêòóðû, íàèëó÷øèì îáðà-
çîì ïðåäñòàâëÿþùåé âñå âîçìîæíûå ñòðóêòóðû, ñëîæíî ãîâîðèòü î âîç-
ìîæíîñòè îäíîçíà÷íîãî îïðåäåëåíèÿ àíîìàëèé òðàôèêà. Êëàñòåðíûé êîí-
ñåíñóñ — ýòî àãðåãèðîâàíèå ìíîæåñòâà êëàñòåðíûõ ñòðóêòóð â åäèíóþ
ñòðóêòóðó, íàèëó÷øèì îáðàçîì èõ ïðåäñòàâëÿþùóþ.
Ïðè èäåíòèôèêàöèè àíîìàëèé òðàôèêà â ðàññìàòðèâàåìîì ñëó÷àå
ñòàâèòñÿ ñëåäóþùàÿ çàäà÷à. Äàíû äâà ìíîæåñòâà ñòðóêòóð: S S
j
( ) ( ){ }1 1� , j =
= 1, n, è S S
j
( ) ( ){ }2 2� , j = 1, m. Êàæäàÿ èç ñòðóêòóð S S
j
( ) ( )1 1� è S S
j
( ) ( )2 2�
ïðåäñòàâëÿåò àíîìàëüíûé è íîðìàëüíûé òðàôèê. Èäåíòèôèêàöèÿ òðàôèêà
ðåàëèçîâàíà â âèäå ñëåäóþùåãî ïðàâèëà:
åñëè ñòðóêòóðà òðàôèêà S(*), ïîëó÷åííàÿ, íàïðèìåð, ìåòîäîì íàèáîëåå
óäàëåííîãî ñîñåäà (ÍÓÑ), áëèçêà ê ñòðóêòóðå S S
j
( ) ( ),1 1� j = 1, n, ïîëó÷åí-
íîé òåì æå ìåòîäîì, ò.å. abs P S S j
j S[ ( )] ( )( ) (*)1 � � �� , ãäå P — ïàðàìåòð,
õàðàêòåðèçóþùèé ñòðóêòóðó èíòåãðàëüíîãî òðàôèêà; �S — íåêîòîðûé ïî-
ðîã, òî òðàôèê àíîìàëüíûé;
åñëè ñòðóêòóðà òðàôèêà S (*), ïîëó÷åííàÿ ìåòîäîì ÍÓÑ, áëèçêà ê ñòðóê-
òóðå S Sj
( ) ( ),2 2� j � 1, n, ïîëó÷åííîé òåì æå ìåòîäîì, ò.å. abs P S
j
[ ( ( )2 �
� � �P S jS( )] ( )(*) � , ãäå P — íåêîòîðûé ïàðàìåòð, õàðàêòåðèçóþùèé ñòðóê-
òóðó èíòåãðàëüíîãî òðàôèêà, �S — íåêîòîðûé ïîðîã, òî òðàôèê íîðìàëüíûé.
Êëàñòåðíûé êîíñåíñóñ ïðè òàêîé ïîñòàíîâêå çàäà÷è ñâîäèòñÿ ê ïîèñ-
êó ãèïîòåòè÷åñêîé ñòðóêòóðû S0, äëÿ êîòîðîé abs P S P S
j
( ( ) ( ))( ) ( )2 0� �
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 81
� �min ( )j â ñëó÷àå íîðìàëüíîãî òðàôèêà è abs P S P S
j
( ( ) ( ))( ) ( )1 0� �
� �min ( )j â ñëó÷àå àíîìàëüíîãî òðàôèêà. Àíàëîãè÷íî ôîðìóëèðóåòñÿ
çàäà÷à è äëÿ ñëó÷àÿ èäåíòèôèêàöèè àíîìàëüíîãî òðàôèêà ïî îäíîé èëè
íåñêîëüêèì åãî êîìïîíåíòàì.
Èäåíòèôèêàöèÿ àíîìàëüíîãî òðàôèêà ñóùåñòâåííî çàâèñèò îò êîð-
ðåêòíîé èíòåðïðåòàöèè ðåçóëüòàòîâ ÊÀ. Ñëåäóåò çàìåòèòü, ÷òî â íàñ-
òîÿùåå âðåìÿ íåäîñòàòî÷íî âíèìàíèÿ óäåëÿåòñÿ ìåòîäàì èíòåðïðåòàöèè.
 ðàáîòå [12] ïîêàçàíî, ÷òî â îáùåì ñëó÷àå âîçìîæíû ïÿòü óðîâíåé
èíòåðïðåòàöèè êëàñòåðîâ. Ñòðóêòóðíûé àíàëèç òðàôèêà äîëæåí â îáùåì
ñëó÷àå ïîçâîëèòü îïðåäåëèòü ïðèçíàêè (êîìïîíåíòû òðàôèêà), âíîñÿùèå
íàèáîëüøèé âêëàä â èçìåíåíèå ñòðóêòóðû.
Èíòåðïðåòàöèÿ êëàñòåðîâ íà óðîâíå ð-àäè÷åñêèõ ìîäåëåé. Ìíîæåñò-
âî X ñ çàäàííîé â íåì ìåòðèêîé d íàçûâàåòñÿ ìåòðè÷åñêèì ïðîñòðàíñòâîì
(ÌÏ). Îäíî è òî æå ìíîæåñòâî X ìîæåò ñîäåðæàòü ðàçëè÷íûå ñòðóêòóðû ÌÏ
(X, d). Îáû÷íîå ðàññòîÿíèå ìåæäó ðàöèîíàëüíûìè ÷èñëàìè îïðåäåëÿåòñÿ ïî
ôîðìóëå d r r r r( , ) | |1 2 1 2� � , îäíàêî åãî ìîæíî îïðåäåëèòü ïî òàê íàçûâàå-
ìîé ð-àäè÷åñêîé íîðìå [15].
Èçâåñòíî, ÷òî ëþáîå ðàöèîíàëüíîå ÷èñëî r îäíîçíà÷íî çàïèñûâàåòñÿ â
âèäå äðîáè r p m nk� ( / ), ãäå k Z� ; m n/ — íåñîêðàòèìàÿ äðîáü, ÷èñëèòåëü è
çíàìåíàòåëü êîòîðîé âçàèìíî ïðîñòû ñ âåëè÷èíîé ð; p k� — ð-àäè÷åñêàÿ
íîðìà ÷èñëà r, îáîçíà÷àåìàÿ êàê r
p
. Â [15] ïîêàçàíî, ÷òî ðàññòîÿíèå, îïðå-
äåëÿåìîå èç âûðàæåíèÿ | |r r p1 2� , îáëàäàåò ñâîéñòâàìè îáû÷íîãî ðàññòîÿ-
íèÿ, ò.å. óäîâëåòâîðÿåò, â ÷àñòíîñòè, àêñèîìå òðåóãîëüíèêà d r rp ( , )1 2
�d r r d r rp p( , ) ( , )2 3 1 3 .
Îäíàêî åñòü ïðèíöèïèàëüíûå îòëè÷èÿ âíîâü îïðåäåëåííîãî ðàññòîÿ-
íèÿ îò îáû÷íîãî, à èìåííî íàëè÷èå ó ð-àäè÷åñêîãî ðàññòîÿíèÿ òàê íàçû-
âàåìûõ íåàðõèìåäîâûõ ñâîéñòâ (óëüòðàìåòðèêè).  ÷àñòíîñòè, â îòëè÷èå
îò îáû÷íîãî ðàññòîÿíèÿ â ð-àäè÷åñêîì öåëûå ÷èñëà îáðàçóþò îãðàíè÷åí-
íîå ìíîæåñòâî äèàìåòðà åäèíèöà. Åñëè ê ýòîìó ìíîæåñòâó ïðèìåíèòü
ïðîöåäóðó ïîïîëíåíèÿ, òî ïîëó÷èì êîìïàêò Q p , ýëåìåíòû êîòîðîãî — öå-
ëûå ð-àäè÷åñêèå ÷èñëà. Îíè äîïóñêàþò çàïèñü â ð-è÷íîé ñèñòåìå ñ÷èñëå-
íèÿ, ò.å. öåëîå ð-àäè÷åñêîå ÷èñëî c îäíîçíà÷íî çàïèñûâàåòñÿ â âèäå áåñêî-
íå÷íîé âëåâî ïîñëåäîâàòåëüíîñòè � �a a a a c pn 2 1 0 0 1, � � � . Ýòó ïîñëå-
äîâàòåëüíîñòü ðàññìàòðèâàþò êàê ñóììó ñõîäÿùåãîñÿ ðÿäàa a p a p0 1 2
2
...
... ...
a pn
n , ñõîäèìîñòü êîòîðîãî âûòåêàåò èç óñëîâèÿ a p pn
n n� � .
Óëüòðàìåòðè÷åñêîå ðàññòîÿíèå ñîîòâåòñòâóåò ñòåïåíè äåëèìîñòè ðàöèî-
íàëüíîãî ÷èñëà íà äâà. ×åì ëó÷øå ÷èñëî äåëèòñÿ íà äâà, òåì îíî áëèæå ê
íóëþ: íàïðèìåð, 8 23� áëèæå ê íóëþ, ÷åì 1
2
12� � ; 16 = 24 áëèæå ê íóëþ,
÷åì 8; 480 áëèæå ê íóëþ, ÷åì 16; 384 áëèæå ê íóëþ, ÷åì 480 è ò. ä.
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
82 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
Öåëûå ð-àäè÷åñêèå ÷èñëà ìîæíî ñêëàäûâàòü, âû÷èòàòü è óìíîæàòü,
òàê êàê â îáùåì ñëó÷àå îíè îáðàçóþò êîëüöî, îäíàêî â îòëè÷èå îò Z â Q p
îòñóòñòâóåò åñòåñòâåííûé ïîðÿäîê, ïîíÿòèÿ ïîëîæèòåëüíîãî è îòðèöà-
òåëüíîãî ÷èñåë â Q p íå èìåþò ñìûñëà, ò.å. –1 = lim (pn – 1) ïðè n � �.
Âàæíûì ñâîéñòâîì ð-àäè÷åñêèõ ÷èñåë ÿâëÿåòñÿ òî, ÷òî ìíîãèå èç íèõ â
îòëè÷èå îò îáû÷íûõ öåëûõ ÷èñåë îáðàòèìû, ò.å. åñëè sgnp a � 0, òî à–1 —
öåëîå ïîëîæèòåëüíîå ÷èñëî. Êðîìå òîãî, âñå ðàöèîíàëüíûå ÷èñëà ñî çíà-
ìåíàòåëåì, âçàèìíî ïðîñòûì ñ ð, ÿâëÿþòñÿ öåëûìè ð-àäè÷åñêèìè. Íå-
òðóäíî âèäåòü, íàñêîëüêî ýôôåêòèâíûì ìîæåò áûòü ïðèìåíåíèå ð-àäè÷åñêèõ
÷èñåë ê àíàëèçó íå÷åòêèõ ÷èñåë, äëÿ êîòîðûõ âîïðîñû îáðàòèìîñòè íå
ðåøåíû îòíîñèòåëüíî èäåíòèôèêàöèè àíîìàëüíîãî òðàôèêà â óñëîâèÿõ
íåîïðåäåëåííîñòè.
Àðèôìåòè÷åñêèå äåéñòâèÿ ñ ð-àäè÷åñêèìè ÷èñëàìè âûïîëíÿþòñÿ, êàê
ñ îáû÷íûìè äåñÿòè÷íûìè äðîáÿìè, òîëüêî âñå îïåðàöèè íà÷èíàþòñÿ ñ
ïîñëåäíåé öèôðû. Íàèáîëåå ïîëíûé íàáîð ïðîöåäóð, ñâÿçàííûõ ñ ð-àäè-
÷åñêèì àíàëèçîì, ñîäåðæèòñÿ â ðàçäåëå Number ïàêåòà ìàòåìàòè÷åñêîãî
ìîäåëèðîâàíèÿ Mapple. Âàæíîå ñâîéñòâî ð-àäè÷åñêîãî àíàëèçà ñîñòîèò â
òîì, ÷òî åñòåñòâåííûì àíàëîãîì îòðåçêà [0,1] ÿâëÿåòñÿ ìíîæåñòâî Qp.
Îïðåäåëåíèå. Íîðìà íàçûâàåòñÿ íåàðõèìåäîâîé, åñëè äëÿ âñåõ õ è ó
âûïîëíåíî íåðàâåíñòâî || x + y || � max (|| x ||, || y ||).
Ðàññòîÿíèå, èíäóöèðîâàííîå íåàðõèìåäîâîé íîðìîé, íàçûâàåòñÿ
óëüòðàìåòðèêîé. Íåðàâåíñòâî òðåóãîëüíèêà äëÿ îáû÷íîé ôóíêöèè ðàñ-
ñòîÿíèÿ d (x, z) � d (x, ó) + d (y, z) òðàíñôîðìèðóåòñÿ â ñèëüíîå íåðàâåíñòâî
òðåóãîëüíèêà d (x, z) � max (d (x, ó), d (y, z)). Ñîîòâåòñòâóþùèå ÌÏ íàçû-
âàþòñÿ óëüòðàìåòðè÷åñêèìè ïðîñòðàíñòâàìè. Ñëåäóåò çàìåòèòü, ÷òî ôóíê-
öèÿ | � |p ìîæåò ïðèíèìàòü òîëüêî äèñêðåòíîå ìíîæåñòâî çíà÷åíèé, à èìåí-
íî { p nn , {� �Z }0 }. Åñëè a b, �N, òî a b pn� (mod ) òîãäà è òîëüêî òîãäà,
êîãäà | | /a b pp
n� �1 . Òàêèì îáðàçîì, à ìîæíî ïðåäñòàâèòü â âèäå ñõîäÿùå-
ãîñÿ (ïî ð-àäè÷åñêîé íîðìå) ðÿäà
a a p
n
n
n�
�
�
�
0
,
à ìíîæåñòâîöåëûõ ð-àäè÷åñêèõ ÷èñåë — â âèäå
Z p
i
i
ia p�
!
"
#
$
%�
�
�
0
, Z Qp p pa a� � �{ :| | }1 .
Âñå ð-àäè÷åñêèå ÷èñëà èìåþò èåðàðõè÷åñêóþ ñòðóêóòóðó [16, 17] è,
âìåñòå ñ òåì, âñå èåðàðõè÷åñêèå ñòðóêòóðû îïèñûâàþòñÿ ð-àäè÷åñêèìè
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 83
÷èñëàìè. Íà ðèñ. 5 ïðåäñòàâëåíû ÷èñëà 710 è 1410 â 2-àäè÷åñêîì áàçèñå. Â
ðàáîòàõ [16, 17] ïðåäëîæåíî êàæäîå ÁÄð õàðàêòåðèçîâàòü ÷åòûðüìÿ ïàðà-
ìåòðàìè: ðàíã r; ð-àäè÷åñêîå ÷èñëî,
p a p
n
n
n�
�
�
�
0
;
ôðàêòàëüíàÿ ðàçìåðíîñòü,
N
N
�
�
lim
log ( )
log ( / )&
&
&0 1
,
ãäå N ( )& — ÷èñëî êóáîâ (êâàäðàòîâ), íåîáõîäèìûõ äëÿ ïîêðûòèÿ âñåãî
ìíîæåñòâà êóáàìè (êâàäðàòàìè) {Bi} ñ âåëè÷èíîé ðåáðà (ñòîðîíû), íå ïðå-
âûøàþùåé &; ñòðóêòóðó S. Çàìåòèì, ÷òî ôðàêòàëüíàÿ ðàçìåðíîñòü N âû÷èñ-
ëÿåòñÿ äëÿ áèíàðíîãî èçîáðàæåíèÿ ìàòðèöû ÁÄð.
Äëÿ ïðèíÿòîãî ÷èñëà ñêàíèðîâàíèé òðàôèêà ìîæíî ïîñòðîèòü çàâèñè-
ìîñòè r ( j ), p ( j ), N (s), S ( j ), j = 1, c, è òàêèì îáðàçîì ïîëó÷èòü çàêîíîìåð-
íîñòè èçìåíåíèÿ äàííûõ ïàðàìåòðîâ òðàôèêà äëÿ íîðìàëüíîãî è àíîìàëü-
íîãî ñîñòîÿíèé. Ôðàêòàëüíàÿ ðàçìåðíîñòü èçîáðàæåíèÿ ÁÄð, ñîîòâåòñòâóþ-
ùèõ ÷èñëàì 7 è 14 â 2-àäè÷åñêîì áàçèñå, ñîâïàäàåò ñ òîïîëîãè÷åñêîé, â ÷åì
ìîæíî óáåäèòüñÿ, âû÷èñëèâ ýòó âåëè÷èíó ñ ïîìîùüþ ïðîãðàììû fractdim ( ),
âõîäÿùåé â ñîñòàâ ñòàíäàðòíîãî ïàêåòà ÌàòËàá.
Èäåíòèôèêàöèÿ àíîìàëüíûõ ñîñòîÿíèé òðàôèêà. Äëÿ èäåíòèôè-
êàöèè àíîìàëüíûõ ñîñòîÿíèé òðàôèêà ÊÑ òðåáóåòñÿ âûïîëíåíèå íåîáõî-
äèìîãî ÷èñëà ñêàíèðîâàíèé, êîòîðîå ñëåäóåò ìèíèìèçèðîâàòü, òàê êàê
áîëüøîå èõ ÷èñëî ïðèâîäèò ê ìíîãîìåðíûì ìàññèâàì ñâåðõâûñîêîé ðàç-
ìåðíîñòè, à ìàëîå — ê èñêàæåíèþ ðåàëüíîé ñòðóêòóðû òðàôèêà (ñòðóêòó-
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
84 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
2,0
1,5
1,0
0,5
0
1 2 3 4
1
1
10
0
0
Ð
àí
ãè
r p N S, , , r p N S, , ,
0 0 0 1
0 0 1 0
0 1 0 0
2
1
0
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
'
(
)
)
)
)
*
+
,
,
,
,
0 0 0 1
0 0 1 0
0 1 0 0
0 0 0 0
3
2
1
0
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
�
'
(
)
)
)
)
*
+
,
,
,
,
Ðèñ. 5. Ìàòðè÷íîå è ãðàôè÷åñêîå (èåðàðõè÷åñêîå äåðåâî) ïðåäñòàâëåíèå ñòàíäàðòíûõ
(÷åòêèõ) ÷èñåë 710 = 0 + 20 + 21 + 22 (à) è 1410 = 0 + 21 + 22 + 23 (á) â 2-àäè÷åñêîì áàçèñå
3
2
2
1
1,
,0
,5
,0
,5
0
1 2 3 4
1
1
10
0
0
Ð
àí
ãè
à á
Óíèâåðñàëüíîå ìíîæåñòâî Óíèâåðñàëüíîå ìíîæåñòâî
Ð
à
í
ã
è
Ð
à
í
ã
è
ðà òèïà îäíî ñêàíèðîâàíèå íà îäèí êëàñòåð íå àäåêâàòíà ñòðóêòóðå òèïà 20
ñêàíèðîâàíèé íà îäèí êëàñòåð è òàê äàëåå). Â ðàáîòå [18] ââåäåíî ïîíÿòèå
ìàñøòàáèðóåìîãî ïðîñòðàíñòâà, êîòîðîå ïîçâîëÿåò â èçâåñòíîé ìåðå ïðî-
ÿñíèòü âîïðîñ âûáîðà ðàöèîíàëüíîãî ÷èñëà ñêàíèðîâàíèé â êîíöåïöèè
èäåíòèôèêàöèè àíîìàëèé íà îñíîâå ñòðóêòóðíûõ ñâîéñòâ êîìïîíåíò òðà-
ôèêà èëè âñåãî òðàôèêà â öåëîì.
Òåîðèÿ ìàñøòàáèðóåìîãî ïðîñòðàíñòâà îñíîâàíà íà òîì, ÷òî âàæíûå
äëÿ èññëåäîâàòåëÿ ñâîéñòâà ñèãíàëà (ïîíèìàåìîãî îáîáùåííî) ñóùåñò-
âóþò òîëüêî â îïðåäåëåííîì äèàïàçîíå ìàñøòàáîâ. Åñëè ýòîò ìàñøòàá
íåèçâåñòåí, ïðèìåíåíèå êëàññè÷åñêèõ ìåòîäîâ àíàëèçà ñ âû÷èñëåíèåì
èíòåãðàëüíûõ õàðàêòåðèñòèê íå äàñò æåëàåìûõ ðåçóëüòàòîâ. Íàïðèìåð,
ñêàíèðîâàíèå òðàôèêà ÊÑ, íå ñîâïàäàþùåå âî âðåìåííîì ìàñøòàáå ñî
ñêàíèðîâàíèåì çëîóìûøëåííèêà, íå ïîçâîëèò èäåíòèôèöèðîâàòü åãî äî-
ñòàòî÷íî áûñòðî.
Ïðè àïðèîðíî íåèçâåñòíîì ìàñøòàáå âàæíûõ îñîáåííîñòåé òðàôèêà
ÊÑ íàèáîëåå ýôôåêòèâíî ìóëüòèìàñøòàáíîå îïèñàíèå òðàôèêà: ðàçëè÷-
íîå ÷èñëî êëàñòåðîâ, ðàçíîîáðàçíûå ìåòðèêè, àëüòåðíàòèâíûå êðèòåðèè
ïîñòðîåíèÿ èåðàðõè÷åñêîé ñòðóêòóðû. Îêîí÷àòåëüíîé öåëüþ ìóëüòè-
ìàñøòàáíîãî îïèñàíèÿ ÿâëÿåòñÿ ïîñòðîåíèå èåðàðõèè îñîáåííîñòåé ïîâå-
äåíèÿ òðàôèêà íà îñíîâå àíàëèçà èõ âçàèìîñâÿçè â ðàçëè÷íûõ ìàñøòàáàõ,
â ÷àñòíîñòè íà îñíîâå ôðàêòàëüíûõ õàðàêòåðèñòèê åãî ñòðóêòóð.
Ñóùåñòâåííîå çíà÷åíèå èìååò âèçóàëüíîå ïðåäñòàâëåíèå ñòðóêòóð-
íûõ õàðàêòåðèñòèê. Â ñîîòâåòñòâèè ñ êîíöåïöèåé ìàñøòàáèðóåìîãî ïðîñò-
ðàíñòâà òðåáóåòñÿ âûïîëíåíèå ñëåäóþùèõ ïðàâèë:
1. Ìàêñèìàëüíî âîçìîæíîå ÷èñëî ñêàíèðîâàíèé è îïðåäåëåíèå ýëå-
ìåíòàðíûõ îáúåêòîâ òðàôèêà (êîìïîíåíò, ÷èñëà ïàêåòîâ), îò êîòîðûõ çà-
âèñèò òèï èåðàðõè÷åñêîé ñòðóêòóðû òðàôèêà, äîñòóïíûõ äëÿ âîñïðèÿòèÿ
÷åëîâåêîì (äîëæíû áûòü ðàññ÷èòàíû èñõîäÿ èç ðàçðåøàþùåé ñïîñîá-
íîñòè ñîîòâåòñòâóþùåãî îðãàíà âîñïðèÿòèÿ).
2. Ïðè îãðóáëåíèè ìàñøòàáà âîñïðèÿòèÿ, íàïðèìåð ïðè çàìåíå n ñêà-
íèðîâàíèé îäíèì óñðåäíåííûì èëè ñëó÷àéíî âçÿòûì èç ðàññìàòðèâàå-
ìîãî ìíîæåñòâà ýëåìåíòàðíûå îáúåêòû ñëèâàþòñÿ, îáúåäèíÿÿñü â îáúåê-
òû áîëåå âûñîêîãî óðîâíÿ èåðàðõèè.
Âòîðîå ïðàâèëî ñïðàâåäëèâî äëÿ ëþáûõ îáúåêòîâ. Áûâàþò ñèòóàöèè,
êîãäà ÷èñëî îáúåêòîâ ïðè îãðóáëåíèè óðîâíÿ âîñïðèÿòèÿ ìîíîòîííî óáû-
âàåò, ïðèâîäÿ ê ïîÿâëåíèþ íîâûõ îáúåêòîâ (â äàííîì ñëó÷àå êëàñòåðîâ),
íå ÿâëÿþùèõñÿ îáúåêòàìè ïðåäûäóùåãî óðîâíÿ èåðàðõèè. Òàêèå ñèòóà-
öèè íåäîïóñòèìû è äîëæíû áûòü èñêëþ÷åíû, òàê êàê ïðè ýòîì íàðó-
øàåòñÿ àêñèîìà ïðè÷èííîñòè.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 85
Ñëåäóåò çàìåòèòü, ÷òî òåîðèÿ ìàñøòàáèðóåìîãî ïðîñòðàíñòâà òðåáóåò
âûïîëíåíèÿ àêñèîìû èçîòðîïíîñòè, â ñîîòâåòñòâèè ñ êîòîðîé çàêîí îáúå-
äèíåíèÿ îáúåêòîâ â èåðàðõè÷åñêóþ ñòðóêòóðó íå äîëæåí çàâèñåòü íè îò
ïðîñòðàíñòâåííîãî íàïðàâëåíèÿ, íè îò ìàñøòàáà óðîâíÿ èåðàðõèè. Ïðè
èññëåäîâàíèè òðàôèêà ñìûñë àêñèîìû èçîòðîïíîñòè íåñêîëüêî èçìåíÿåò-
ñÿ è ñâèäåòåëüñòâóåò î íåâîçìîæíîñòè èññëåäîâàíèÿ ðàçëè÷íûõ ÷àñòåé
òðàôèêà ñ ïîìîùüþ ðàçëè÷íûõ ìåòðèê.
 îáùåì ñëó÷àå îïåðàöèÿ ðàçëîæåíèÿ ìíîãîìåðíîãî òðàôèêà â ñå-
ìåéñòâî óïðîùàþùèõñÿ âåðñèé ñòðóêòóðíîãî îïèñàíèÿ âîçìîæíà äî òåõ
ïîð, ïîêà íå íà÷íåòñÿ ñóùåñòâåííîå óìåíüøåíèå ( > 20 %) ðàçìåðíîñòè
ð-àäè÷åñêîé ìàòðèöû.
Íà ðèñ. 6 ïðèâåäåíû âðåìåííûå ðÿäû (ÂÐ) è èõ ÁÄð ïðè èåðàðõè-
÷åñêîé êëàñòåðèçàöèè ïî ìåòîäó ÍÓÑ. Êàê âèäíî èç ðèñ. 6, ïðåäñòàâëåíèå
ÂÐ èç 150 ýëåìåíòîâ 30-þ ýëåìåíòàìè ñ òî÷êè çðåíèÿ ñòðóêòóðíîé áëè-
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
86 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
Ðèñ. 6. Ïðèìåðû ïîñòðîåíèÿ óïðîùàåìûõ âåðñèé ñòðóêòóðíîãî îïèñàíèÿ òðàôèêà, ñêàíè-
ðîâàííîãî â èíòåðâàëå îò 1 äî 150 óñë. åä. âðåìåíè, ïîñëåäîâàòåëüíî ïðåäñòàâëåííîãî
ðÿäîì èç 150 (à), 30 (á) è 15 (â) çíà÷åíèé: ôðàêòàëüíûå ÷èñëà è ôðàêòàëüíûå ðàçìåðíîñòè
ñîîòâåòñòâåííî: à — 91 è 1,1123; á — 101 è 1,0745; â — 32 è 0,9745
çîñòè âïîëíå äîïóñòèìî, òàê êàê ôðàêòàëüíûå ÷èñëà è ôðàêòàëüíûå ðàç-
ìåðíîñòè îòëè÷àþòñÿ íå áîëåå ÷åì íà 10 %, ÷òî äëÿ ïðèáëèæåííûõ ðàñ÷å-
òîâ âïîëíå äîïóñòèìî. Â òî æå âðåìÿ, ïðåäñòàâëåíèå ÂÐ èç 150 ýëåìåíòîâ
15-þ ýëåìåíòàìè ñ òî÷êè çðåíèÿ ñòðóêòóðíîé áëèçîñòè íåäîïóñòèìî, òàê
êàê ôðàêòàëüíûå ÷èñëà è ôðàêòàëüíûå ðàçìåðíîñòè îòëè÷àþòñÿ áîëåå ÷åì
íà 10 %, ÷òî íåäîïóñòèìî äàæå äëÿ ïðèáëèæåííûõ ðàñ÷åòîâ.
Àäåêâàòíàÿ ôîðìàëèçàöèÿ äèíàìè÷åñêèõ êëàñòåðîâ ðàññìàòðèâàåòñÿ
ñ ïîìîùüþ ïîñòðîåíèÿ óñëîæíÿþùèõñÿ âåðñèé ñòðóêòóðíîãî îïèñàíèÿ
ïîñðåäñòâîì íàðàùèâàíèÿ ÷èñëà ýëåìåíòîâ â ÂÐ (òàáë. 1). Àíàëèçèðóÿ
äàííûå, ïðåäñòàâëåííûå â òàáë. 1, âèäèì, ÷òî ãèïîòåçà ýêâèâàëåíòíîñòè
ñòðóêòóð — S (1) - S (2) - S (3) - S (4) — ïðè çàäàííîì ÷èñëå êëàñòåðîâ (â äàííîì
ñëó÷àå èõ 10) âûïîëíÿåòñÿ, ÷òî ñâèäåòåëüñòâóåò î êîððåêòíîñòè ìîäåëè-
ðîâàíèÿ.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 87
Íîðìàëüíûé òðàôèê Èåðàðõè÷åñêàÿ ñòðóêòóðà Õàðàêòåðèñòèêà òðàôèêà
Áàçîâûé òðàôèê x1(t) =
�
�
x t
t
t
( )
0
1 è ñîîòâåòñòâóþùàÿ
ñòðóêòóðà S (1)(k) (÷èñëî
êëàñòåðîâ çàäàíî)
Äèíàìè÷åñêè èçìåíåííûé
òðàôèê x t x t x t
t t
t
2 1 1
2( ) ( ) ( )� �
è ñîîòâåòñòâóþùàÿ ñòðóêòó-
ðà ñ çàäàííûì ðàíåå ÷èñëîì
êëàñòåðîâ S k( ) ( )2 (ãèïîòåçà
S S
S
( ) ( )
( )
2 1
1�
� )
Äèíàìè÷åñêè èçìåíåííûé
òðàôèê x t x t x t
t t
t
3 2 2
3( ) ( ) ( )� �
è ñîîòâåòñòâóþùàÿ ñòðóêòóðà
ñ çàäàííûì ðàíåå ÷èñëîì
êëàñòåðîâ S k( ) ( )3 (ãèïîòåçà
S S
S
( ) ( )
( )
3 2
2�
� )
Äèíàìè÷åñêè èçìåíåííûé
òðàôèê x t x t x t
t t
t
4 3 3
4( ) ( ) ( )� �
è ñîîòâåòñòâóþùàÿ ñòðóêòó-
ðà ñ çàäàííûì ðàíåå ÷èñëîì
êëàñòåðîâ S k( ) ( )4 (ãèïîòåçà
S S
S
( ) ( )
( )
4 3
3�
� )
Òàáëèöà 1. Âåðñèè ñòðóêòóðíîãî îïèñàíèÿ
Êëàñòåðû
t
Ðàññìîòðèì ïðèìåð èäåíòèôèêàöèè àíîìàëüíîãî ñîñòîÿíèÿ òðàôèêà
íà îñíîâå ñòðóêòóðíèõ õàðàêòåðèñòèê. Èçâåñòíû ïîòîêè äàííûõ, îòíîñè-
ìûå ýêñïåðòàìè ê êëàññó íîðìàëüíûõ è àíîìàëüíûõ. Ìàòðèöû äàííûõ
èìåþò ðàçìåðíîñòü 500 � 9, ãäå 500 — ÷èñëî ïàêåòîâ, 9 — ÷èñëî êîìïî-
íåíò òðàôèêà. Ôðàãìåíò ïîòîêà äàííûõ, ñîñòîÿùèé èç ïÿòè ïàêåòîâ, ïðè-
âåäåí â òàáë. 2. Êîìïîíåíòû òðàôèêà: X X i i� �{ } 1
9 , X1 — Protocol ID — ïðî-
òîêîë, ñâÿçàííûé ñ ñîáûòèåì (TCP = 0, UDP = 1, ICMP = 2, unknown = 3);
X2 — íîìåð ïîðòà èñòî÷íèêà; X3 — íîìåð ïîðòà õîñòà íàçíà÷åíèÿ; X4 —
IP-àäðåñ èñòî÷íèêà; X5 — IP-àäðåñ ïðèåìíèêà; X6 — ICMP Type — òèï
ICMP-ïàêåòà (Echo Request or Null); X7 — ICMP-Code — êîäîâîå ïîëå èç
ICMP-ïàêåòà (None or Null); X8 — Raw Data Length — äëèíà äàííûõ â
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
88 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
X �
� �{ }X i i 1
9
Òðàôèê, ñîñòîÿùèé èç ïàêåòîâ
1 2 3 4 5
Àíîìàëüíûé
X1 0 0 0 0 0
X 2 1788.00 1731.00 1668.00 1739.00 1791.00
X 3 6419.00 6478.00 6884.00 6219.00 6619.00
X 4 853890539.00 880594725.00 858785769.00 921460420.00 909228438.00
X 5 �930935380.00 �1039198847.00 �971792093.00 �1020585109.00 �1015310165.00
X 6 1.00 1.00 1.00 1.00 1.00
X 7 1.00 1.00 1.00 1.00 1.00
X 8 457.01 116.26 344.08 201.68 480.41
X 9 872.00 2912.00 2659.00 3012.00 2960.00
Íîðìàëüíûé
X1 0 0 0 0 0
X 2 2396.00 3010.00 3104.00 2359.00 3255.00
X 3 102.00 88.00 82.00 112.00 108.00
X 4 2338390598.00 1595431598.00 1760174623.00 2139448656.00 2275207188.00
X 5 �1686689687.00 �1882232220.00 �1639528692.00 �1933497671.00 �1599454967.00
X 6 1.00 1.00 1.00 1.00 1.00
X 7 1.00 1.00 1.00 1.00 1.00
X 8 481.00 503.00 567.00 415.00 539.00
X 9 4399.00 3887.00 4295.00 5144.00 5349.00
Òàáëèöà 2. Ôðàãìåíò ïîòîêà äàííûõ
ïàêåòå; X9 — Raw Data — ïîðöèÿ äàííûõ â ïàêåòå. Ðàñ÷åòíàÿ ìîäåëü
èìèòàöèè è àíàëèçà òðàôèêà ÊÑ ïðèâåäåíà íà ðèñ. 7, à ïîêîìïîíåòíàÿ è
ïîïàêåòíàÿ ñòðóêòóðèçàöèÿ ïîòîêà äàííûõ — â òàáë. 2.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 89
Ïîäñèñòåìà
âèçóàëèçàöèè
è óïðàâëåíèÿ
Ïîäñèñòåìà
àíàëèçàÁÄ
Çàõâàò è
ñòðóêòóðèçàöèÿ
òðàôèêà
Ðèñ. 7. Ñõåìà ðàñ÷åòíîé ìîäåëè èìèòàöèè è àíàëèçà òðàôèêà ÊÑ
Ðèñ. 8. Ðàñ÷åòíàÿ ìîäåëü ìíîãîìåðíîãî òðàôèêà ÊÑ: à — ïîòîê äàííûõ ñòðóêòóðèðîâàí
ïîïàêåòíî; á — ïîòîê äàííûõ ñòðóêòóðèðîâàí ïîêîìïîíåíòíî (èåðàðõè÷åñêèå ñòðóêòóðû
ïîñòðîåíû äëÿ ñòðîê è ñòîëáöîâ ìàòðèöû äàííûõ)
à á
à
â
á
ã
Ðèñ. 9. Âèçóàëèçàöèÿ àíîìàëüíîãî (à, â) è íîðìàëüíîãî (á, ã) òðàôèêîâ ïðè ðàçëè÷íûõ
ñïîñîáàõ ñòðóêòóðèçàöèè ìàòðèöû äàííûõ: à, á — ïîêîìïîíåíòíàÿ èåðàðõè÷åñêàÿ êëàñ-
òåðèçàöèÿ; â, ã — ïîïàêåòíàÿ èåðàðõè÷åñêàÿ êëàñòåðèçàöèÿ; ôðàêòàëüíûå ÷èñëà è ôðàê-
òàëüíûå ðàçìåðíîñòè ñîîòâåòñòâåííî: à — 8230 è 0,0011; á —15,00 è 0,8856; â —15,00 è
0,8856; ã —7,0 è 0,7740
Ðàññìîòðèì ñâîéñòâà ñòðóêòóðèðîâàííîãî òðàôèêà ñ öåëüþ îïðåäå-
ëèòü âîçìîæíîñòü èäåíòèôèêàöèè àíîìàëüíîãî ñîñòîÿíèÿ íà îñíîâàíèè
ñòðóêòóðíûõ õàðàêòåðèñòèê. Ïðè ýòîì íåîáõîäèìî âûïîëíèòü ïîñòðîåíèå
ÁÄð äëÿ äâóõ ñëó÷àåâ ñòðóêòóðèçàöèè ïîòîêà äàííûõ. Çàòåì ñëåäóåò âû-
÷èñëèòü ôðàêòàëüíûå ÷èñëà è ôðàêòàëüíûå ðàçìåðíîñòè ïîëó÷åííûõ
èåðàðõè÷åñêèõ ñòðóêòóð äëÿ ñðàâíåíèÿ è èäåíòèôèêàöèè àíîìàëüíûõ ñîñ-
òîÿíèé è ïîêàçàòü âîçìîæíîñòü âèçóàëüíîé èäåíòèôèêàöèè.
Âèçóàëüíîå èçîáðàæåíèå ñòðóêòóðíîé ìîäåëè òðàôèêà, ïîëó÷åííîå íà
îñíîâàíèè êîäèðîâàíèÿ äåíäðîãðîãðàìì, ôðàêòàëüíûå ÷èñëà è ôðàêòàëü-
íûå ðàçìåðíîñòè äëÿ ðàññìîòðåííûõ ñëó÷àåâ ïðèâåäåíû íà ðèñ. 8, ãäå òåì-
íûì öâåòîì âûäåëåíû ïàêåòû ïîòîêà äàííûõ, â êîòîðûõ êîìïîíåíòû òðà-
ôèêà íàõîäÿòñÿ âíå èíòåðâàëà íîðìàëüíûõ çíà÷åíèé: ( ) [ ]min max� .x x x xj j j j ,
j �1 5, . Ïîñëå êîäèðîâàíèÿ ÁÄð è ïîñòðîåíèÿ áèíàðíîé ìàòðèöû âûïîë-
íåíî çàòåìíåíèå êëåòîê ìàòðèöû, â êîòîðûõ íàõîäèòñÿ åäèíèöà. Òàêèì
îáðàçîì, ïîëó÷åíî âèçóàëüíîå èçîáðàæåíèå ñòðóêòóðíîé ìîäåëè òðàôèêà,
à òàêæå ôðàêòàëüíûå ÷èñëà è ôðàêòàëüíûå ðàçìåðíîñòè äëÿ ðàññìîòðåííûõ
ñëó÷àâ ñòðóêòóðèçàöèè (ðèñ. 9). Èç ðèñ. 9 âèäíî, íàñêîëüêî âèçóàëüíî ðàçëè÷-
íû èçîáðàæåíèÿ, èäåíòèôèöèðóåìûå êàê àíîìàëüíîå è íîðìàëüíîå ñîñòîÿ-
íèÿ. Òàêîé ïîõîä ïîçâîëÿåò äîñòàòî÷íî ïðîñòî èäåíòèôèöèðîâàòü ñîñòîÿíèå
ÊÑ, à ïîëó÷åííûå ÷èñëîâûå îöåíêè óñèëèâàþò ýôôåêò âèçóàëèçàöèè.
Âûâîäû
1. Ïîïûòêè ðàñïîçíàâàíèÿ ñîâðåìåííûõ ñõåì îðãàíèçàöèè àòàê è äðó-
ãèõ ïðîòèâîçàêîííûõ äåéñòâèé ñ ïîìîùüþ èçâåñòíûõ ìåòîäîâ ïðèâîäÿò ê
òîìó, ÷òî èñõîäíàÿ çàäà÷à ñòàíîâèòñÿ ïðàêòè÷åñêè íåðàçðåøèìîé. Ñîâðå-
ìåííîå ñîñòîÿíèå èññëåäîâàíèé â ýòîì íàïðàâëåíèè ìîæíî îõàðàêòå-
ðèçîâàòü êàê îñîáîå âíèìàíèå ê ìíîãîìåðíîìó òðàôèêó ÊÑ è åãî ñòðóê-
òóðå, òàê êàê òîëüêî ó÷åò âñåõ êîìïîíåíò è èõ âçàèìîñâÿçåé ïîçâîëÿåò
èäåíòèôèöèðîâàòü àíîìàëèþ.
2. Ïðåäëîæåííûé íîâûé ìåòîä èäåíòèôèêàöèè àíîìàëüíûõ ñîñòîÿ-
íèé òðàôèêà îñíîâàí íà àíàëèçå åãî ñòðóêòóðíûõ ñâîéñòâ — ðàçëè÷èå
ñîñòàâëÿåò ïðèáëèçèòåëüíî äâà ïîðÿäêà.
Ïðîâåäåííûå ïðàêòè÷åñêèå ýêñïåðèìåíòû ñ òðàôèêîì ðåàëüíîé ñåòè
è ìîäåëÿìè ðåàëüíîãî òðàôèêà ñâèäåòåëüñòâóþò î âûñîêîé ýôôåêòèâ-
íîñòè ïðåäëîæåííîé ìåòîäèêè.
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
90 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
The paper deals with the problem of identification of anomalous conditions of computer system
traffic based on its presentations in the manner of multivariate time series, which componentwise
and packagewise structuring enables to get hierarchical structured features of dataflow, used
herein after for identifications. A possibility of application of p-adical models for the analysis of
traffic, when using the preceding dataflow as dynamic pattern conditions, is shown.The examples
which evidence for efficiency of the offered methodology are presented.
ÑÏÈÑÎÊ ËÈÒÅÐÀÒÓÐÛ
1. Jiang D., Qin W., Nie L. et al. Time-frequency detection algorithm of network traffic anoma-
lies. Intern. Conf. on innovation and information management (ICIIM IPCSIT). — 2012. —
Vol. 36. — IACSIT Press, Singapore. — P. 110—116.
2. Âèòÿåâ Å.Å. , Êîâàëåð÷óê Á.ß., Ôåäîòîâ À.Ì. è äð. Îáíàðóæåíèå çàêîíîìåðíîñòåé è
ðàñïîçíàâàíèå àíîìàëüíûõ ñèòóàöèé â ïîòîêå äàííûõ ñåòåâîãî òðàôèêà//Âåñòíèê
ÍÃÓ. Ñåðèÿ: Èíôîðìàöèîííûå òåõíîëîãèè. — 2008. — 6, âûï. 2. — C. 57—70.
3. Ïðåäîòâðàùåíèå àòàê ñ ðàñïðåäåëåííûì îòêàçîì â îáñëóæèâàíèè (DDoS). Òåõíè-
÷åñêèé îò÷åò: Óãðîçû DDoS — ðèñêè, óñòðàíåíèå è ëó÷øèå ïðàêòè÷åñêèå ïðèåìû. —
Èíòåðíåòðåñóðñ: http://www.cisco.com/web/U/products/ps5887/products_white_paper0900
aecd8011e927_ .html
4. Âîçìîæíîñòè êëàññèôèêàöèè è èäåíòèôèêàöèè òðàôèêà,çàëîæåííûå â ïðîãðàììíîå
îáåñïå÷åíèå Cisco IOS. — Èíòåðíåò-ðåñóðñ: http://www.cisco.com/web/about/ac123/
%20ac114/ac173/Q3-04/dept_ttips_threat.html
5. Kim M.-S. , Kang H.-J., Hong S.-Ch. et al. A flow-based method for abnormal network traf-
fic detection. — Èíòåðíåò-ðåñóðñ: attack-analysis-v5-revision.pdf
6. De Almeida A.L.F., Favier G., Mota J.C.M. Tensor-decompositions and applications to
wireless communication systems//Telecommunications: advances and trend in transmission,
networking and applications. Edited by Charles Casimiro Cavalcante, Ricardo FialhoCo-
lares e Paulo Cesar Barbosa. — Fortalesa: Universidade de Fortalesa. - UNI-FOR, 2006. —
187 p.
7. Sidiropoulos N.D., Kyrillidis A. Multi-way compressed sensing for sparse low-rank tensors//
IEEE signal processing letters.— 2012. — Vol. 19, ¹ 11. — P. 757—760.
8. Sun J., Tao D., Faloutsos Ch. Beyond Streams and Graphs: Dynamic Tensor Analysis. —
Èíòåðíåò-ðåñóðñ: http://pdf.aminer.org/000/473/322/beyond_ streams_and_ graphs_dy-
namic_ tensor_analysis.pdf.
9. Gudkov V., Johnson E. Multidimensional Network Monitoring for Intrusion Detection.—
Èíòåðíåò-ðåñóðñ: http://www.necsi.edu/events/iccs/2002/NAp03_gudkov_iccsFixed02.20pdf.
10. Northcutt S., Novak J., McLachlan D. Network intrusion detection. An analyst’s handbook.
Indiapolis: New Riders Publishing, IN. — 2001. — P.
11. Ìèíàåâ Þ.Í, Òîëñòèêîâà Å.Â., Ôèëèìîíîâà Î.Þ., Ìèíàåâà Þ.È. Èíòåëëåêòóàëüíûå
ìåòîäû èäåíòèôèêàöèè àíîìàëüíîãî òðàôèêà íà îñíîâå ð-àäè÷åñêèõ ìîäåëåé// Òåçè
äîï. V ̳æíàðîäíî¿ íàóê.-òåõí. êîíô. «Êîìï/þòåðí³ ñèñòåìè òà ìåðåæí³ òåõíîëî㳿»
(CSNT-2012), Êè¿â, 13—15 ÷åðâíÿ 2012 ð. — Êèåâ: èçä. ÍÀÓ, 2012. — Ñ. 18—20.
12. Ìèðêèí Á.Ã. Ìåòîäû êëàñòåð-àíàëèçà äëÿ ïîääåðæêè ïðèíÿòèÿ ðåøåíèé: îáçîð. Ïðå-
ïðèíò WP7/ 2011/03. — Ì. : Èçä. äîì Íàö. èññëåä. óí-òà «Âûñøàÿ øêîëà ýêîíîìèêè»,
2011. — 88 ñ.
13. Äîêóìåíòàöèÿ ÌàòËàá: matlab: indexhelper(‘C:/MatLab7/Toolbox/Stats’, ” , ’statistics’,
’Cluster Analysis’,’html/clusterdemo.html)
14. Kolacek J., Zelinka J. Kernel Smoothing Toolbox for MATLAB. — Èíòåðíåò-ðåñóðñ:
http://www.math.muni.cz/english/science-andresearch/developed-software/232-matlabtoolbox.
html.
Èäåíòèôèêàöèÿ àíîìàëèé òðàôèêà êîìïüþòåðíûõ ñèñòåì
ISSN 0204–3572. Ýëåêòðîí. ìîäåëèðîâàíèå. 2013. Ò. 35. ¹ 4 91
0
15. Êàòîê Ñ.Á. Ð-àäè÷åñêèé àíàëèç â ñðàâíåíèè ñ âåùåñòâåííûì./Ïåð.ñ àíãë. Ï.À. Êîë-
ãóøêèíà. — Ì. : ÌÖÍÌÎ, 2004. —112 ñ.
16. Âëàäèìèðîâ Â.Ñ., Âîëîâè÷ È.Â., Çåëåíîâ Å.È. Ð-àäè÷åñêèé àíàëèç è ìàòåìàòè÷åñêàÿ
ôèçèêà. — Ì. : Ôèçìàòëèò, 1994. — 352 ñ.
17. Õðåííèêîâ À.Þ. Íåàðõèìåäîâ àíàëèç è åãî ïðèëîæåíèÿ. — Ì. : Ôèçìàòëèò, 2003. —
216 ñ.
18. Ñêóðèõèí À.Â. Ïðèìåíåíèå ìåòîäîâ ìàñøòàáèðóåìîãî ïðîñòðàíñòâà â îáðàáîòêå ñèã-
íàëîâ. —Èíòåðíåò-ðåñóðñ: http://www.spiiras.nw.ru/rus/conferences/ict/Skurihin110604.
ppt.
19. MySQL:6.3.3.2. Ìàòåìàòè÷åñêèå ôóíêöèè. — Èíòåðíåò-ðåñóðñ: http://phpclub.ru/mysql/
doc/mathematical-functions.html.
Ïîñòóïèëà 20.03.13;
ïîñëå äîðàáîòêè 21.05.13
ÌÈÍÀÅÂ Þðèé Íèêîëàåâè÷, ä-ð òåõí. íàóê, ïðîôåññîð êàôåäðû êîìïüþòåðíûõ ñèñòåì è
ñåòåé Íàöèîíàëüíîãî àâèàöèîííîãî óíèâåðñèòåòà.  1959 ã. îêîí÷èë Õàðüêîâñêèé ïîëèòåõ-
íè÷åñêèé èí-ò. Îáëàñòü íàó÷íûõ èññëåäîâàíèé — èíòåëëåêòóàëüíûé àíàëèç äàííûõ, ïðèìå-
íåíèå èíòåëëåêòóàëüíûõ òåõíîëîãèé â ñèñòåìàõ ïðèíÿòèÿ ðåøåíèé.
ÔÈËÈÌÎÍÎÂÀ Îêñàíà Þðüåâíà, êàíä. òåõí. íàóê, äîöåíò Êèåâñêîãî íàöèîíàëüíîãî óíèâåð-
ñèòåòà ñòðîèòåëüñòâà è àðõèòåêòóðû.  1989 ã. îêîí÷èëà Êèåâñêèé èíæåíåðíî-ñòðîè-
òåëüíûé èí-ò. Îáëàñòü íàó÷íûõ èññëåäîâàíèé — èíòåëëåêòóàëüíûé àíàëèç äàííûõ.
ÌÈÍÀÅÂÀ Þëèÿ Èâàíîâíà, êàíä. òåõí. íàóê, è. î. äîöåíòà êàôåäðû îñíîâ èíôîðìàòèêè Êèåâñ-
êîãî íàöèîíàëüíîãî óíèâåðñèòåòà ñòðîèòåëüñòâà è àðõèòåêòóðû, êîòîðûé îêîí÷èëà â 2008 ã.
Îáëàñòü íàó÷íûõ èññëåäîâàíèé — èíòåëëåêòóàëüíûé àíàëèç äàííûõ.
Þ.Í. Ìèíàåâ, Î.Þ. Ôèëèìîíîâà, Þ.È. Ìèíàåâà
92 ISSN 0204–3572. Electronic Modeling. 2013. V. 35. ¹ 4
|
| id | nasplib_isofts_kiev_ua-123456789-100856 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 0204-3572 |
| language | Russian |
| last_indexed | 2025-12-07T16:08:47Z |
| publishDate | 2013 |
| publisher | Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| record_format | dspace |
| spelling | Минаев, Ю.Н. Филимонова, О.Ю. Минаева, Ю.И. 2016-05-27T17:44:53Z 2016-05-27T17:44:53Z 2013 Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика / Ю.Н. Минаев, О.Ю. Филимонова, Ю.И. Минаева // Электронное моделирование. — 2013. — Т. 35, № 4. — С. 73-92. — Бібліогр.: 19 назв. — рос. 0204-3572 https://nasplib.isofts.kiev.ua/handle/123456789/100856 621.394, 621.395; 004.056, 004.512.2, 004.588 Идентификация аномальных состояний трафика компьютерной системы при его представлении в виде многомерного временного ряда, структурированного покомпонентно и попакетно, дает возможность получить структурные характеристики потока данных, используемые в дальнейшем для идентификации. Показана возможность применения р-адических моделей для анализа трафика при использовании в качестве динамического паттерна состояния предшествующего потока данных. Приведены примеры, свидетельствующие об эффективности предложенной методики. Ідентифікація аномальних станів трафіка компьютерної системи при його представленні у вигляді багатовимірного часового ряду, структурованого покомпонентно та попакетно, дає можливість отримати структурні характеристики потоку даних, які використовуються в подальшому для ідентифікації. Показано можливість застосування р-адичних моделей для аналізу трафіка при використанні в якості динамічного паттерна стану попереднього потоку даних. Наведено приклади, які свідчать про ефективність запропонованої методики. The paper deals with the problem of identification of anomalous conditions of computer system traffic based on its presentations in the manner of multivariate time series, which componentwise and packagewise structuring enables to get hierarchical structured features of dataflow, used herein after for identifications. A possibility of application of p-adical models for the analysis of traffic, when using the preceding dataflow as dynamic pattern conditions, is shown.The examples which evidence for efficiency of the offered methodology are presented. ru Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України Электронное моделирование Вычислительные процессы и системы Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика Article published earlier |
| spellingShingle | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика Минаев, Ю.Н. Филимонова, О.Ю. Минаева, Ю.И. Вычислительные процессы и системы |
| title | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| title_full | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| title_fullStr | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| title_full_unstemmed | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| title_short | Идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| title_sort | идентификация аномалий трафика компьютерных систем на основе методики структурирования многомерного трафика |
| topic | Вычислительные процессы и системы |
| topic_facet | Вычислительные процессы и системы |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/100856 |
| work_keys_str_mv | AT minaevûn identifikaciâanomaliitrafikakompʹûternyhsistemnaosnovemetodikistrukturirovaniâmnogomernogotrafika AT filimonovaoû identifikaciâanomaliitrafikakompʹûternyhsistemnaosnovemetodikistrukturirovaniâmnogomernogotrafika AT minaevaûi identifikaciâanomaliitrafikakompʹûternyhsistemnaosnovemetodikistrukturirovaniâmnogomernogotrafika |