Trafikdagi trend tarkibiy qismlarini olib tashlash uchun tekshirish davrlarining sifati statistik ishonchlilik ma'lumotlarda yo'naltirish mavjudligiga juda bog'liq.
Shuning uchun, tekshirishdan oldin trenddan trendni olib tashlash kerak. Buning uchun harakatlanuvchi o'rtacha qiymatdan chetga chiqish usulini qo'llash mumkin. Bunday holda, harakatlanuvchi o'rtacha ma'lumotdagi o'sish kuchlarini aks ettiradi, shuning uchun uni ma'lumotlardan chiqarib tashlash trend tarkibiy qismini ham olib tashlaydi. Shunday qilib, ma'lumotlarning tendentsiyasini olib tashlash uchun har bir topilgan chastota uchun silliqlash nuqtalari soni bilan ma'lumotlar seriyasining uchun harakatlanuvchi o'rtacha qiymatini hisoblash kerak. :
,
natijada olingan ma'lumotlar seriyasi asl nusxadan punktlari bo'yicha qisqaroq bo'ladi:
,
Keyinchalik, dastlabki ma'lumotlar seriyasidan olingan harakatlanuvchi o'rtacha qiymatini chiqarib olinadi :
.
Ma'lumotlardagi o'sish kuchlarini olib tashlagan holda, topilgan tsikllarni statistik ahamiyatga ega tekshirishni boshlash mumkin.
Statistik ahamiyatga ega sikllarni tekshirishda odatda F-faktor va x - kvadrat testlaridan foydalaniladi, shuning uchun ular tarmoq trafigidagi paketni tekshirishda ham foydalaniladi.
Sinov natijalari ma'lumotlarning takrorlanish soniga bog'liqligini unutmaslik lozim. Bunday takrorlashlar qanchalik ko'p bo'lsa, ushbu sikl shunchalik statistik ahamiyatga ega.
Ttrafikni bashorat qilish sikllarni birlashtirish va loyihalash bosqichida sodir bo'ladi. Buning uchun sikllar birlashtiriladi va olingan natijaga ko'ra ularning kelajakdagi xatti-harakatlarini taxmin qilish mumkin. Proektsiya uchun sikllar matematik ravishda bitta umumiy egri chiziqqa birlashtiriladi.
Aytaylik, testlar D sikllaridan o'tdi. Tasdiqlangan sikllar bir qator ma'lumotlar davriyligini tavsiflovchi umumiy egri chiziqqa prognoz qilinadi:
.
Ushbu funksiya ma'lum bir vaqt davomida T ma'lumotlari asosida topilgan trafikdagi chastotani tavsiflaydi. Natijada paydo bo'lgan funksiya kelajakka ekstrapolyatsiya qilinishi mumkin va kelajakda vaqt oralig'ida trafikning taxmin qilingan qiymatini olishga imkon beradi:
,
qayerda (3 – rasm).
Tarmoq trafigini bashorat qilishning matematik modelini aniqlab, anomaliyani izlash va baholash uchun qarorlarni qo'llab-quvvatlash tizimini (DSS) ko'rib chiqing 4 – rasm.
4 – rasm. Anomaliyaning kattaligini qidirish va baholash
Tarmoq paketlari haqida chiqarilgan ma'lumot real vaqtda keladigan trafik miqdorini aniqlash uchun ishlatiladi. Qabul qilingan trafik ma'lumotlariga va joriy prognozga asoslanib, anomaliya o'tkazib yuboriladi. Agar anomaliya topilgan bo'lsa, anomaliyani qidirish natijasi anomaliya manbalarini qidirish bo'limiga uzatiladi. Anomaliya manbalari anomaliyani qidirish natijalari va real vaqtda keladigan tarmoq paketlari haqidagi ma'lumotlarga qarab aniqlanadi. Keyinchalik, anomaliyaning kattaligi taxmin qilinadi. Baholashda buzuvchilar to'g'risida olingan ma'lumotlar, paketlar to'g'risidagi ma'lumotlar, shuningdek qaror qabul qiluvchi (DM) va ekspert foydalaniladi. Anomaliyaning kattaligi haqidagi ma'lumotlar umumlashtirilib, undan keyingi foydalanish uchun uzatiladi.
Anomaliyani qidirish real vaqt rejimida kiruvchi trafikni taxmin qilingan qiymat bilan taqqoslashga asoslangan. Buning uchun vaqt birligida qiymatlari joriy trafik hajmi bilan taqqoslanadi va hajmning taxmin qilingan qiymati. G'ayritabiiy, berilgan qiymatdan oshgan yoki unga teng bo'lgan hajmning og'ishi deb hisoblanadi.
Prognoz nisbatan silliq egri chiziq sifatida taqdim etiladi. O'z navbatida, trafik qisqa muddatli tasodifiy tebranishlardan iborat. Agar ushbu ikki qator ma'lumotlarni taqqoslasak, anomaliyalarning noto'g'ri ta'riflari mumkin (5-rasm, a). Bunga yo'l qo'ymaslik uchun haqiqiy trafik harakatlanuvchi o'rtacha usul bilan tekislanadi, yangi trafik kelishi bilan tekislash oynasi siljiydi (5-rasm, b).
a) Yumshatilishdan oldin tirbandlik b) Yumshatgandan keyin tirbandlik
5 – rasm. Trafik anomaliyasi
Agar anomaliya topilsa, u anomaliya manbalarini qidiradi. Manbalarni qidirish joriy trafikdan olingan ma'lumotlar asosida aniqlanadi.
Anomaliyaning kattaligini baholash ishlab chiqarish qoidalari bazasiga asoslangan. Uni dastlabki to'ldirish mutaxassis tomonidan amalga oshiriladi. Kelajakda qaror qabul qiluvchi BPni trafikni filtrlash natijalariga ko'ra sozlashi mumkin.
Keling, BP tuzilishini batafsil ko'rib chiqaylik. Anomaliyaning kattaligini baholash uchun tegishli terminlar to'plamiga ega bo'lgan quyidagi lingvistik o'zgaruvchilar qo'llaniladi:
og'ish miqdori. V = {past, o'rtacha, o'rtacha, o'rtacha, yuqori}.
anomaliyaning paydo bo'lish chastotasi. M = {past, o'rtacha darajadan past, o'rtacha, o'rtacha qiymatdan yuqori, doimiy}.
anomaliya manbalari soni. I = {ozgina, o'rtacha qiymatdan past, o'rtacha, o'rtacha qiymatdan yuqori, katta}.
bitta manbadan o'rtacha trafik hajmi. W = {ozgina, o'rtacha darajadan past, o'rtacha, o'rtacha darajadan yuqori, yuqori}.
Chiqish parametri: Anomaliyaning kattaligi E = {ahamiyatsiz, o'rtacha, o'rtacha, o'rtacha, yuqori}.
Kiritilgan o'zgaruvchilar asosida qoidalar to'plami shakllantiriladi. Qoidalarga misol:
AGAR V = {pastdan o'rtadan pastgacha} va M = {pastdan o'rtaga} va I = {ahamiyatsizdan o'rtaga} va W = {ahamiyatsizdan o'rtaga} THEN E = {ahamiyatsiz};
Agar V = {O'rtachadan yuqori darajaga} va M = {FROM doimiydan TO doimiyga}
va I = {O'rtachadan yuqorigacha katta} va W = {O'rtachadan yuqori darajadan yuqoriga} THEN E = {baland};
- Qoidalar to'plamini shakllantirishda asos sifatida N mutaxassislar bilan sxemadan foydalanilgan, ularning har biri bir-biridan mustaqil ravishda qoidalar to'plamini ishlab chiqaradi [5].
Ushbu yondashuvning mohiyati quyidagicha. Har bir mutaxassis o'ziga xos qoidalarni yaratadi. Har bir keyingi ekspert maslahatchisi tomonidan yaratilgan qoidalar to'plami qoidalar bazasini yangi qoidalar bilan to'ldiradi va shu bilan modelning to'liqligini oshiradi. Mutaxassislar qoida bazasini mustaqil ravishda to'ldirganligi sababli, har bir keyingi qoidalar to'plami mavjud qoidalarni takrorlashi mumkin bo'lgan qoidalarni o'z ichiga olishi mumkin. Shuningdek, yangi qoidalar to'plamida boshqa to'plamlarning qoidalariga zid bo'lgan qoidalar bo'lishi mumkin. Shunday qilib, qoidalar bazasini nomuvofiqlik, ortiqcha va to'liqligi uchun tekshirish muammosi mavjud.
Noyoblik kontseptsiyasi shuni anglatadiki, V, M, I, W koordinatalarning har bir kombinatsiyasi chiqish koordinatasining faqat bitta qiymatiga mos keladi. lingvistik o'zgaruvchilarning bilimlari va qiymatlari, qisman noaniqlikka yo'l qo'yiladi.
Ishdan bo'shatish, bitta qoida umumiy to'plamdagi boshqa qoidalarni o'z ichiga olgan holatni nazarda tutadi, masalan:
1-qoida:
Agar V = {O'rtachadan past TO} va M = {O'rtacha past} va I = {O'rtacha past} va W = {O'rtacha past} O'ZINGIZDA E = {Kichik}
2-qoida:
Agar V = {O'rtachadan past TO} va M = {O'rta TO past} va I = {O'rta TO past} va W = {Past TO past} THEN E = {Past}
Misoldan ko'rinib turibdiki, dastlabki uchta koordinatada qoidalar to'liq bir xil, ammo birinchi qoida uchun "bir manbadan o'rtacha trafik hajmi" parametri "FROM ahamiyatsizdan TO 'gacha", ikkinchi holda bu parametr "FROM unignificant to ahamiyatsiz" oralig'iga ega. Shubhasiz, ikkinchi qoida birinchi qoidaga o'tadi.
Mos kelmaslik tushunchasi. Agar ikkita qoida kiritishda V, M, I, W koordinatalarning bir xil qiymatlariga ega bo'lsa va chiqishda E qiymati har xil bo'lsa (noaniqlik gipotezasining buzilishi), unda ushbu qoidalar qarama-qarshi hisoblanadi:
1 – qoida:
Agar V = {O'rtachadan past TO} va M = {O'rta TO past} va I = {O'rta TO past} va W = {Past TO past} THEN E = {Past}
2 – qoida:
IF V = {O'rtachadan past TO} va M = {O'rta TO past} va I = {O'rta TO past} va W = {Past TO past} THEN E = {O'rtacha}
To'liqlik deganda, chiqish koordinatalarini bilim qamrovi ulushining mumkin bo'lgan echimlarning umumiy doirasiga nisbati tushuniladi.
Qoida bazasining to'liqligini tekshirish uchun mavjud qoida bazasi uchun chiqishlar sonining barcha mumkin bo'lgan qiymatlar soniga nisbatini topishingiz kerak.
Mavjud natijalar sonini aniqlash uchun siz yaratgan har bir qoidadan barcha echimlarni qo'shishingiz kerak:
Mumkin bo'lgan echimlarning to'liq to'plamini kirish koordinatalarining barcha mumkin bo'lgan qiymatlarini sanab chiqish yo'li bilan hisoblash mumkin:
,
bu erda – lingvistik o'zgaruvchilar qiymatlari soni. Keyin mumkin bo'lgan echimlarning to'liq to'plami quyidagilarga teng:
Keyin qoida bazasining to'liqligi quyidagicha hisoblanadi:
Agar bu nisbat 100% dan kam bo'lsa, mutaxassislar tomonidan hisobga olinmagan qoidalar bo'yicha qidiruv o'tkaziladi. Olingan natijaga asoslanib ekspertlar baholash uchun yuboriladigan yangi qoidalar to'plami shakllantiriladi. Keyin qoida bazasi yana mos kelmaslik, ortiqcha va to'liqligi uchun tayanch to'liq shakllanmaguncha tekshiriladi.
Ekspert qoidalarining barcha individual to'plamlarini ko'rib chiqqandan so'ng, qoidalarni shakllantirish tugaydi.
Agar ish paytida vaziyat yuzaga kelsa, uning echimi qoidalar bazasida bo'lmaydi (masalan, mashg'ulotlar paytida xatolar), harakatlarning ikkita varianti taklif etiladi: g'ayritabiiy trafikni blokirovka qilish va qaror qabul qiluvchining harakatlarini kutish. Yechimni olgan tizim uning asosida qoida hosil qiladi va qoida bazasini to'ldiradi. Ikkinchi holda, tizim qoida bazasidan eng mos qoidani tanlaydi va topilgan echim asosida harakatni amalga oshiradi. Bunday holda, qaror qabul qiluvchi yoki qoida bazasiga yangi qoida qo'shishi yoki DSS tanlovini tasdiqlashi mumkin, shunda yangi qoida avtomatik ravishda qo'shiladi.
Shunday qilib, tarmoq trafigi hajmidagi anomaliyaning kattaligi tizim sifatida ifodalanishi mumkin:
.
Quyidagi {V}, {M}, {I}, {W} trafik hajmining anomaliyasini baholash uchun ishlatiladigan lingvistik o'zgaruvchilar, {E} - bu chiqish qiymatlarini belgilaydigan lingvistik o'zgaruvchining qiymatlari to'plami. qoida bazasidan, real vaqt rejimida tarmoqdan keladigan trafik hajmi, trafikning taxmin qilingan qiymati, tarmoqdan keladigan trafikning taxmin qilingan qiymatdan qanday og'ishini hisobga oladigan qiymat g'ayritabiiy.
Anomaliyaga javob berish jarayoni uchta asosiy blok shaklida ifodalanishi mumkin:
filtrlash zarurligini aniqlash;
paketlarni filtrlash;
anomaliya hisobotini tayyorlash.
Filtrlash zarurati anomaliya haqidagi ma'lumotlar asosida, shuningdek qaror qabul qiluvchining sozlamalari tufayli aniqlanadi, buning asosida {Z} filtrlash uchun istisnolar hosil bo'ladi (bloklangan manbalar ro'yxati; blokirovka qilish taqiqlangan manbalar), va boshqalar.). Keyinchalik, trafikni to'g'ridan-to'g'ri filtrlash va anomaliya hisobotini tayyorlash mavjud.
Filtrlash birligini ko'rib chiqamiz (6-rasm).
6 – rasm. Trafikni filtrlash
Birinchi qadam filtrlash ro'yxatini yangilashdir. Ushbu blokda filtrlash ro'yxatiga yangi manbalar qo'shiladi va blokirovka qilish muddati tugagan manbalar o'chiriladi. Keyinchalik, filtrlash parametrlari tayyorlanadi, buning asosida paket filtrida trafikni filtrlash qoidalari shakllanadi.
Trafikni turli xil ichki tarmoqlardan ajratish uchun siz IP-manzil va subnet maskasini ko'rib chiqishingiz kerak. Bu sizga har bir kichik tarmoq uchun trafikni filtrlashni alohida sozlash imkonini beradi. Shuningdek, kiruvchi va chiquvchi trafikni alohida kuzatib borish uchun shart bo'lishi kerak.
Chunki tashqi va ichki tarmoqlardan olingan trafik har xil axborot tarkibiga ega va natijada, prognoz modeli qurilishidagi farqlar, bu fundamentalga ega trafikni tashqi va ichki tarmoqlardan ajratish qiymati.
Shunday qilib, tarmoq trafigi hajmidagi anomaliyalarni izlashda quyidagi xususiyatlardan foydalanish kerak:
Haqiqiy trafikning prognoz qilinganidan og'ish miqdori;
Haqiqiy trafikni tekislash uchun oynaning kattaligi;
Subnet IP-manzili va maskalari;
Harakat yo'nalishi (kirish yoki chiqish);
Tashqi yoki ichki tarmoq.
Filtrlash parametrlarini aniqlash uchun anomaliyaning kattaligiga qarab filtrlash vaqtini belgilaydigan qoida bazasi ham ishlatiladi. Avvalroq tavsiflangan anomaliya qiymati kirish parametri sifatida ishlatiladi.
Agar E = {minor} THEN Bloklash vaqti = 1 daqiqa;
Agar E = {high} THEN Bloklash vaqti = 120 daqiqa;
…
Olingan yangi filtrlash parametrlari paket filtrini sozlash uchun ishlatiladi. Amalga oshirilgan filtrlash to'g'risida hisobot ham tuziladi.
Filtrlash qoidalarini shakllantirishning umumiy sxemasi quyidagicha ifodalanishi mumkin:
bu erda {Z} - anomaliya manbalarining tarmoq manzillari, F - filtrlash vaqti, e qiymatiga qarab aniqlanadi, {U} - filtrlash istisnolari ro'yxati.
Shunday qilib, vaqt qatorlarini siklik tahliliga asoslangan trafikni bashorat qilishning matematik modeli taklif etiladi, bu esa tarmoq trafigidagi davriylikni qidirish asosida tarmoq yukini aniqlashga imkon beradi. Shuningdek, anomaliyaning mavjudligi va uni yo'q qilish zarurligi to'g'risida DSS ishlab chiqilgan bo'lib, bu olingan prognoz asosida anomaliyaning kattaligini aniqlash va baholashga, shuningdek yuzaga kelishi mumkin bo'lgan favqulodda vaziyatlar to'g'risida ogohlantirishlarni yaratishga imkon beradi. kompyuter tarmog'ining ishlashida. Olingan natijalar tarmoq uskunalarini nosozliklarini tuzatish, dasturiy ta'minot konfiguratsiyasidagi xatolarni aniqlash, foydalanuvchilar tomonidan tasodifiy va qasddan qilingan harakatlar, shuningdek tajovuzkorlarning harakatlarini aniqlash uchun ishlatilishi mumkin.
Ishlab chiqilgan model va DSS trafikni boshqarish tizimida ishlatilishi mumkin, bu sizga tarmoq anomaliyalarini aniqlash uchun kompyuter tarmog'ining holatini tahlil qilish, xodimlarni anomaliyani yo'q qilish bo'yicha choralar ko'rish zarurligi to'g'risida ogohlantirish imkonini beradi.
Do'stlaringiz bilan baham: |