Информационная безопасность

Оценка вносимой избыточности инвариантов подобия


При реализации стеков сетевых протоколов в современных операционных системах принят де-факто принцип разбиения обработки передаваемых данных на уровни, соответствующие функциональной нагрузке. На каждом этапе обработки к результату предыдущего уровня добавляется служебная информация, и весь блок данных как неделимое целое передается на следующий этап обработки. Кроме этого при переходе между уровнями обработки возможен выбор протокола, который будет реализовывать функциональность конкретного уровня. Поэтому согласно стандарту "Взаимодействие Открытых Систем" (Open Systems Interconnection - OSI) международного Института Стандартизации ISO разделим контролируемые вычислительные процессы на семь уровней. При этом обозначим процессы, соответствующие уровням обработки данных как "pK7", "pK6", … , "pK1" на передающей стороне, и "pL1", "pL2", … , "pL7" согласно очередности их исполнения в системе. Тогда алгоритм обнаружения аномалий на основе инвариантов подобия принимает следующий вид.

А л г о р и т м .

  • Параллельно исчислению реализаций уровней pK7 , pK6 , … , pK1 вычислить на станции K (отправителе) элементы F(pK7) (sK7) , F(pK6) (sK6) , … , F(pK1) (sK1).
  • Проверить выполнение критерия

    23

  • Параллельно передаче на станцию L информационного сообщения с промежуточными результатами работы реализации передать вектор элементов X=(sK7 , sK6 , … , sK1).
  • Проверить выполнение критерия



    24

    Вновь вводимой по сравнению с известными подсистемами в данном алгоритме является подсистема передачи на станцию-получатель L вектора элементов X. Физическое представление данного элемента - это вектор из семи матриц системы ограничений размерности. Данная информация должна каким-либо образом быть закодирована и передана на приемную сторону с приемлемой задержкой относительно передачи основного пакета. При этом заметим, что матрицы sKi достаточно сильно разрежены в связи с характером взаимосвязей переменных в данной предметной области.
    Количество ненулевых элементов в строке не превышает 4 при общем количестве переменных от 5 до 30. В связи с этим предлагается следующая схема кодирования элементов вектора X на этапе передачи. На станцию-получатель L передается:



    • количество задействованных в каждой системе sKi переменных;


    • позиции переменных в заголовках сетевого пакета;

      количество строк в каждой из матриц sKi;

      значения элементов матриц sKi.


    Количество задействованных в системе переменных передается в двоичном коде. Позиции переменных передаются двумя векторами VP и VL. Каждый элемент VPi вектора VP соответствует смещению в битах от начала заголовка соответствующего уровня до начала поля соответствующей переменной и кодируется двоичным кодом. Каждый элемент VLi вектора VL соответствует длине в битах поля соответствующей переменной в заголовке и кодируется двоичным кодом.

    Количество строк в каждой матрице кодируется двоичным кодом. Для эффективного построчного кодирования матриц sKi предлагается следующая методика исходя из:



    • сильной разреженности матриц;


    • целочисленности коэффициентов в матрицах;

      группирования значений коэффициентов матриц вблизи числа 0.


    Для каждой строки матрицы в пакет записываются векторы VN и VK. Каждый элемент вектора VN соответствует ненулевому коэффициенту текущей строки матрицы и хранит порядковый номер столбца с таким элементом в двоичном коде. Каждый элемент вектора VK хранит значение ненулевого коэффициента, соответствующего элементу вектора VN с тем же индексом, в каком-либо эффективном коде, например, коде Хаффмана.

    Матрицы sK7 и sK6 (прикладного и представительского уровней модели OSI) передаются на станцию-получатель L однократно в момент установки соединения прикладного уровня. Для многих протоколов это соответствует установлению соединения сеансового уровня. Матрицы sK5 и sK4 вычисляются и передаются в начале каждого сообщения. Матрицы sK3 , sK2 , sK1 необходимо передавать для каждого пакета сообщения.

    Произведем оценку объемов дополнительного трафика, необходимого к передаче на станцию-получатель L для реализации предлагаемого в данной работе метода.


    Доля трафика, порождаемого СОАФ, в общем сетевом потоке вычисляется как отношение его объема к сумме трех основных компонент трафика:



    • собственно передаваемому информационному сообщению (M);


    • служебной информации стека сетевых протоколов (TY(M));

      дополнительному трафику СОАФ (TV(M)).


    Пусть E - максимальный размер пакета сетевого уровня, VAVG и VMAX - средний и максимальный объем закодированной матрицы sKi , YAVG и YMIN - средний и минимальный объем служебной информации сетевого протокола i-го уровня, KAAVG и KAMIN - среднее и минимальное количество сессий сеансового уровня, приходящихся на одно соединение прикладного уровня. Тогда средняя (PAVG) и верхняя (PMAX) оценки доли дополнительного трафика как функции от величины M - длины передаваемого сообщения - будут иметь следующий вид:

    25
    26
    где TVAVG и TVMAX - среднее и максимальное значения дополнительного трафика как функции от M (квадратные скобки означают округление в большую сторону).

    Для расчета величины V, исходя из описанной выше методики кодирования, справедлива следующая формула:

    27
    где NС - количество строк в матрице sKi, KB - средняя энтропия одного символа эффективного кода для значений коэффициентов матрицы sKi, NK - среднее количество ненулевых коэффициентов в строке матрицы, NV - количество переменных в системе ограничений размерности, описываемой матрицей sKi. Для расчета величины Y воспользуемся следующей формулой:

    28
    где KP - доля переменных от общего числа, передаваемых в пакете, L - средняя длина одного поля (переменной) в пакете в битах.

    Для определения VAVG, VMAX, YAVG, YMIN примем следующие значения данных коэффициентов (табл. 2.).

    Коэффициент Значение
    при расчете VAVG При расчете VMAX
    NC 12 18
    KB 2 2,5
    NK 2,5 4
    NV 12 24
    KP 0,5 0,3
    L 14 8
    Исходя из этих данных, получаем значения, сведенные в таблицу 3.

    Т а б л и ц а 3.

    Оценки объема служебного трафика, добавляемого при обработке информации

    Величина Значение
    при расчете VAVG При расчете VMAX
    Трафик сетевогопротокола, Y 84 (бит) = 11 (байт) 29 (бит) = 4 (байт)
    трафик СОАФ,V 215 (бит) = 27 (байт) 825 (бит) = 103 (байта)
    <


    С учетом E = 1500 (байт), KAAVG = 3, KAMIN = 1 формулы (29) и (30) примут вид

    28
    29
    Графики зависимостей - на рис. 7 (шкала длины исходного сообщения - логарифмическая



    Рис. 7. Зависимость средней (PAVG) и верхней (PMAX) оценок

    доли дополнительного трафика от длины сообщения, в %

    Асимптотический предел средней оценки доли дополнительного трафика при длине сообщения стремящейся к бесконечности равен

    30
    асимптотический предел верхней оценки доли дополнительного трафика при тех же условиях равен

    31
    Таким образом, предложенная методика кодирования дополнительной информации обеспечивает приемлемый накладной прирост объема трафика при длинах сообщений, составляющих наибольшую долю в среднестатистическом сетевом трафике. Это подтверждает практическую применимость рассмотренной методики обнаружения аномалий на основе инвариантов подобия.


    Содержание раздела