Применение метода кумулятивных сумм для определения аномалий HTTP транзакций¹

Мазалов В.В.
Институт прикладных математических исследований КарНЦ РАН, Петрозаводск
Журавлев Д.Н.
КарНЦ РАН, Петрозаводск

Аннотация

Статистические исследования HTTP транзакций показали, что такие параметры, как количество пакетов с флагом SYN, количество встроенных ссылок в документах (Embedded References) и интервалы времени между выбором документов (Inactive OFF Times) имеют Парето распределения с соответствующими параметрами k и a [5,6]. При этом известно, что степенной параметр Парето распределения отклоняется в результате аномальной работы пользователя.

То есть применяя метод кумулятивных сумм, мы имеем возможность определять следующие аномальные поведения пользователя:
1) SYN Flood атака;
2) пользователь подряд выкачивает документы, не ознакомившись с ними;
3) структура данных, получаемая пользователем не соответствует структуре данных Web сервера.

Пусть q - случайная величина, принимающая значения 0,1,ј, а наблюдения x₁,x₂,ј таковы, что при условии q = n величины x₁,x₂,ј,x_n-1 независимы и одинаково распределены с Парето функцией распределения F₀(x)=1-([k/x])^a, где 0 < a < 2, k > 0, x > k. x_n,x_n+1,ј - также независимы и одинаково распределены, но с функцией распределения F₁(x)=1-([k/x])^b, 0 < b < 2, k > 0, x > k и a № b. Таким образом, в момент q происходит разладка, то есть изменение вероятностных характеристик наблюдаемого процесса.

Рассмотрим задачу определения по наблюдениям x₁, x₂, ј,x_q, x_q+1, ј момента изменения t настолько точно, насколько это возможно. Для решения этой задачи применим метод кумулятивных сумм. Идея метода состоит в определении момента t в форме:

t = inf {n і 1: Sn і m},

где

Sn= max м н о 1,Sn-1 p1(xn) p0(xn) ь э ю , n і 1

и S₀ О [1,m], m > 1, p₀(x)=ak^a x^(-a-1),p₁(x)=bk^b x^(-b-1)- плотности соответствующих законов распределения [4, 5].

Задача сводится к определению оптимального в определенном смысле параметра m. Характеристиками метода кумулятивных сумм являются:
1) среднее время задержки определения разладки

E0t = E{t|q = 0};

2) среднее время между "неправильными определениями"

EҐt = E{t|q = Ґ}.

Для приложений важно найти такую процедуру, чтобы среднее время между "неправильными определениями" E_Ґt не было меньше некоторого значения R > 0 (выбирается экспертом), а время задержки E₀t было минимальным.

Обычно для определения параметра m используют численные методы, но в работе [7] для случая с Парето распределениями было получено аналитическое выражение основных характеристик метода E₀t и E_Ґt. Данный результат позволяет значительно снизить вычислительные затраты.

Литература

1

Shiryaev A.N. Detection of Spontaneous-arising Effects // Dokladyi USSR Academy of Sci, 1961, №4, p.173-174.

2

Shiryaev A.N. Statistical Sequential Analysis, Nauka, 1969, p.232.

3

Page E.S. Continuous inspection schemes // Biometrika, 1954, N41, p.100-114.

4

Mazalov V.V. Method of cumulative sums and problems of optimal control by technological processes // Software Engineering and Knowledge Engineering, 1997, №2, p.219-229.

5

Crovella M., Bestavros A. Self-similarity in world wide web traffic: evidence and possible causes // IEEE/ACM Transactions on networking. 1997, №6, p.835-847.

6

Barford P. Modeling, measurement and performance of world wide web transactions, http://www.cs.colorado.edu/ carlosm/thesis.ps.gz.

7

Мазалов В.В., Журавлев Д.Н. О методе кумулятивных сумм в задаче обнаружения изменения трафика компьютерных сетей // Программирование.-2002.-No.6 (принята к опубликованию)

Примечание

¹

Работа была поддержана грантами РФФИ (проект 01-01-00126 и 01-01-00113.

Ваши комментарии Обратная связь

[Головная страница] [Конференции] [СО РАН]

© 2002, Сибирское отделение Российской академии наук, Новосибирск
© 2002, Объединенный институт информатики СО РАН, Новосибирск