Предлагаемый в проекте подход направлен на обнаружение аномалий в сетевом трафике путем единовременного анализа набора различных временных рядов, с контролем следующих характеристик трафика:
а) количество сетевых пакетов на маршрутизаторе за период;
б) интенсивность сетевого трафика за период;
в) количество используемых сетевых протоколов;
г) процентное соотношение сетевых протоколов;
д) значения данных транспортного уровня.
Данный подход позволяет повысить эффективность обнаружения сетевых атак за счет единовременного выявления различных инвариантов сетевого трафика, контроль множества инвариантов повышает точность обнаружения сетевых атак. При этом, подход на основе временных рядов позволяет сократить размерность данных, тем самым, увеличивая скорость анализа безопасности.
Для обнаружения отклонений в сетевом трафике, представленном набором временных рядов, предлагается вычислять следующие эвристики:
1) мультифрактальные эвристики, обеспечивающие выявление нескольких шаблонов трафика с различной фрактальной размерностью. Получение нескольких фрактальных инвариантов трафика, которые определяют период самоподобия, позволит сформировать мультифрактальные эвристики и наиболее полно характеризовать поведение трафика как на больших временных промежутках, так и на маленьких. Контроль таких характеристик позволит обнаруживать даже быстрые атаки и атаки с небольшой интенсивностью.
2) вейвлет-эвристики, обеспечивающие формирование множества выборок, единовременная оценка отклонения статистических параметров которых повышает эффективность обнаружения сетевых атак. Предлагаемый метод устраняет недостаток существующего подхода к вейвлет-анализу сетевого трафика, обеспечивая возможность его единовременного анализа в частотном и временном измерениях, вследствие чего повышается эффективность обнаружения сетевых атак.
Использование в разрабатываемом подходе технологии «больших данных», обеспечивающей возможность накопления сверхвысоких объемов трафика и его анализ, повышает точность анализа безопасности за счет получения репрезентативной выборки.
Подход обеспечивает получение множества наборов временных рядов сетевого трафика за различные периоды, и тем самым увеличивает объем обучающей выборки минимум на порядок, позволяет получить множество характеристик сетевого трафика и существенно повысить точность обнаружения сетевых атак за счет вычисления эффективных эвристик, глубокого машинного обучения и интеграции с гетерогенным кластером.
Предлагаемое решение является новым и обладает следующими конкурентными преимуществами по сравнению с существующими аналогами:

  • оптимизация распределения ресурсов на узлы вычислительного кластера;
  • поддержка режима реального времени;
  • возможность обработки сетевого трафика со скоростью до 100 Гб/с;
  • точность обнаружения сетевых атак не ниже 97%.