Статья: Обнаружение аномалий трафика на основе обработки их фреймовых вейвлет-преобразований

Актуальность. Активный переход к массовой цифровой инфраструктуре, основанной на технологии интернета вещей (IoT), вывел телекоммуникационные сети на уровень доминирующих информационных ресурсов. Одновременное увеличение количества существующих интернет-сервисов неразрывно связано с ростом разнообразия сетевых аномалий на телекоммуникационное оборудование. В свою очередь, существующие методы обнаружения сетевых угроз не позволяют своевременно оценить сетевой трафик, который характеризуется большим количеством параметров, а выявляемые аномалии от внешнего вторжения не имеют явно выраженных закономерностей.

Целью (исследования) является повышение эффективности обнаружения аномалий трафика по результатам обработки его фреймового вейвлет-преобразования.

Научная задача состоит в разработке научно-методических подходов, позволяющих эффективно проводить анализ и своевременное обнаружение аномалий в сетевом трафике. В интересах исследования был проведен сравнительный обзор методов поиска обнаружения аномалий сетевого трафика, а также применены алгоритмы обнаружения неконтролируемых аномалий, методы анализа трафика на основе локального коэффициента выброса, бинарных деревьев, оптической эмиссионной спектроскопиии.

Решение. Рассматриваются результаты исследования возможности обнаружения аномалий в трафике битового потока по результатам его кратномастабного преобразования в базисе вейвлета Хаара. Обоснован выбор для дальнейшей обработки коэффициентов матрицы декомпозиции трафика вдоль переменной временно́го сдвига. Доказано, что кратномасштабные преобразования не только повышают структурные различия трафиков, но и открывают возможность локализации аномалий, вызвавшие указанные различия. Научная новизна работы определяется авторским подходом к обнаружению аномалий сетевого трафика при переходе от непосредственного представления сигнала в виде его дискретных отсчетов к коэффициентам, сформированным из матриц его вейвлет-преобразований, и, как результат, повышения его контрастности по отношению к другим сигналам с близкой структурой.

Теоретическая значимость. Доказана необходимость и достаточность использования вейвлет-коэффициентов вместо временны́х отсчетов сигналов в базисе материнского вейвлета из матрицы формируемого фрейма. Установлена взаимосвязь между показателями Херста и коэффициентами функций взаимной корреляции.

Практическая значимость. Полученные в работе результаты в перспективе могут быть использованы при построении моделей оценки сетевого трафика в условиях преднамеренных воздействий, а также методик поиска и синтеза эффективных методов защиты от них.