МАТЕМАТИЧЕСКАЯ МОДЕЛЬ АДАПТИВНОГО ОБНАРУЖЕНИЯ АНОМАЛИЙ СЕТЕВОГО ТРАФИКА НА ОСНОВЕ МОДИФИЦИРОВАННОГО ЭКСПОНЕНЦИАЛЬНОГО СГЛАЖИВАНИЯ

Резников М.Б., аспирант,

СПбПУ, Институт компьютерных наук и кибербезопасности,

Санкт-Петербург, Россия

Аннотация. В работе рассматривается задача математического моделирования процесса обнаружения аномалий в сетевом трафике. Предложена модификация метода экспоненциально взвешенного скользящего среднего (EWMA) с введением адаптивной оценки дисперсии и динамического коэффициента сглаживания (EWMA-AV). Проведён теоретический анализ свойств модели: доказана сходимость адаптивной дисперсии (Лемма 1, Теорема 1). Вычислительная сложность алгоритма составляет  на каждый отсчёт, что обеспечивает его применимость для мониторинга трафика на скорости 10+ Гбит/с в режиме реального времени. Численное моделирование на синтетических данных показало, что при нестационарном трафике с дрейфом среднего классические методы (σ-правило, EWMA с фиксированными параметрами) практически неработоспособны: доля ложных срабатываний достигает 0,84–0,96. Предложенная модель в этих условиях сохраняет F1-меру на уровне 0,92 при уровне ложных срабатываний 0,012. Установлены также границы применимости модели: медленные монотонные тренды и сценарии, требующие минимальной задержки обнаружения чистого сдвига среднего.

Ключевые слова: математическое моделирование, экспоненциальное сглаживание, временные ряды, адаптивная дисперсия, обнаружение аномалий, EWMA, сетевой трафик.

1. ВВЕДЕНИЕ

С ростом объёмов передаваемых данных в современных информационных системах задача математического моделирования сетевых процессов становится всё более актуальной. По данным Cisco Annual Internet Report, к 2026 году глобальный IP-трафик превысит 4,8 зеттабайт в год, при этом значительная доля корпоративных сетей работает на скоростях 10–100 Гбит/с [4]. Моделирование сетевого трафика как стохастического временного ряда позволяет выявлять аномалии — статистически значимые отклонения от нормального поведения, которые могут свидетельствовать о сбоях оборудования или кибератаках [2, 3]. Подробный обзор методов обнаружения сетевых аномалий и их классификация представлены в работе [1].

Классические методы мониторинга, такие как контрольные карты на основе экспоненциально взвешенного скользящего среднего (EWMA), предложенные Робертсом [9], хорошо зарекомендовали себя в стационарных процессах. Однако реальный сетевой трафик обладает высокой нестационарностью: наличием микровсплесков, суточной периодичностью и изменением дисперсии во времени [6]. В связи с этим применение классического EWMA с фиксированными параметрами приводит к высокому уровню ложных срабатываний (ошибка I рода) и запаздыванию обнаружения аномалий [5].

Целью данной работы является разработка математической модели обнаружения аномалий на основе модифицированного метода EWMA с адаптивными параметрами дисперсии и сглаживания (EWMA-AV).

...

полный текст во вложении

Вложения:

Резников М.Б. Математическая модель адаптивного обнаружения _Исправ 2.pdf

[ ]

664 Kb