Системи обробки інформації (May 2019)
Розробка шаблонів ідентифікації аномального стану комп’ютерної системи на основі контрольних карт
Abstract
Одною з причин, які впливають на ефективність роботи обчислювальної мережі, є аномалії трафіку. Аномалії трафіку можуть бути викликані несправністю мережевого обладнання, випадковими чи навмисними діями зі сторони користувачів, невірною роботою програм, діями зловмисників та ін. Відомо, що для виявлення аномалій в управлінні виробництвом, бізнес-процесами широко використовують статистичний контроль на основі контрольних карт. Причина проста – це відносно доступний спосіб збору та аналізу даних в реальному часі, який, крім того, ще й дає можливість приймати, на основі отриманих результатів, негайні коригуючі і / або превентивні заходи. Контрольні карти мають ряд переваг. Зокрема, вони дають можливість візуально визначити момент зміни процесу, створюють основу для поліпшення процесу, виявляють відмінності між випадковими і системними порушеннями в процесі, знижують втрати за рахунок запобігання появи дефектів. До недоліків контрольних карт можна віднести більш високі вимоги до підготовки персоналу та необхідність роботи в реальному часі. Метою статті є дослідження аномалій трафіка комп'ютерної системи на основі контрольних карт на прикладі DDoS-атак. В роботі запропоновано метод ідентифікації стану комп’ютерної системи на основі контрольних карт EWMA та КУСУМ карт. Розроблено програмне забезпечення для побудови шаблонів фіксації аномальної стану комп’ютерної системи на основі аналізу трафіка. Проведено тестування в умовах довгострокової та короткострокової атаки DOS-атаки, яке показало працездатність системи. Отримано, що в умовах короткострокової атаки, функціонування системи повертається в межі обох карт. Експериментальні дослідження показали: короткостроковий вплив вірусів на комп'ютерну систему призводить до виходу графіка за контрольні межі для карт КУСУМ та EMWA. Після закінчення короткострокової вірусної атаки графік повертається в межі для обох карт; довгостроковий вплив вірусів на комп'ютерну систему призводить до зміни кута нахилу графіка так званих “локальних середніх”, що визначається за послідовним точкам для карт КУСУМ та EMWA або вихід графіка за контрольні межі карт КУСУМ та EMWA. Аналіз отриманих результатів показав, що розроблені експрес методи на основі контрольних карт підвищили достовірність прийняття рішень про стан КС до 10%.
