Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы

Изобретение относится к средствам мониторинга безопасности, а именно к имеющим компьютерную реализацию способам выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы и может быть применено в сетевых устройствах телекоммуникационных систем.

Известен способ обнаружения компьютерных атак (1 - Патент РФ №2683631, МПК: (2019.02) G06F 21/55, G06N 3/02. Способ обнаружения компьютерных атак. Патентообладатели - ФГКВОУВО Военная академия связи МО РФ, ФГБУН Институт проблем транспорта РАН. Дементьев В.Е., Киреев С.Х., Коцыняк М.А., Лаута О.С., Малыгин И.Г. Публ. - 29.03.2019 г.), в котором устанавливают и запоминают пороговые значения параметров, необходимое число определяемых типов атак, для которых задают количество обучающих и контрольных примеров для нейронной сети, подготавливают характеристические векторы для каждого типа атаки, определяют виды протоколов и информативные параметры для пакетов данных. Затем задают структуру нейронной сети, включающую входные, скрытые и выходные нейроны, и проводят ее обучение с использованием предварительно подготовленных примеров по достижении требуемой достоверности распознавания. При наличии компьютерной атаки определяют одиночный или комбинированный тип атаки по сочетанию рассчитанных значений параметров на выходных нейронах нейронной сети.

Способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.

Недостатком способа в этом случае является невозможность определения неизвестной аномалии, которая не была распознана на стадии обучения нейронной сети.

Также известен способ обнаружения аномального поведения устройства в компьютерной системе (2 - патент США № US 20170230392 A1, G06F 21/55. Anomaly alert system for cyber thread detection / Tom Dean, Jack Stockdale; Pub 30.06.2020). Этот способ включает в себя выявление вредоносной активности и представление результатов выявления аномалий для пользователя системы. Выявление вредоносной активности включает в себя сбор метрик сетевого трафика, построения на его основе нормального профиля активности и анализ поведения каждого устройства сети с целью выявления аномалии в его поведении. При сборе метрик сетевого трафика в качестве метрик используют непосредственно измеряемые метрики сети передачи данных (например, количество пакетов, полученных и отправленных сетевым устройством, объем передаваемых и получаемых данных), а также вычисляемые метрики, в качестве которых используют результаты работы классических алгоритмов выявления аномалий во входных данных (например, метод опорных векторов, локальный уровень выброса). В результате для каждого сетевого устройства формируют набор присвоенных ему метрик с историей их измерений. Затем применяют метод пиков над порогами (англ. - Peak Over Threshold, РОТ) для выявления аномальных значений текущего замера наблюдаемого параметра, путем вычисления вероятности и сравнения этой вероятности с некоторым пороговым значением. Если наблюдаемое значение вероятности ниже порога, то фиксируют аномалию в работе сети. Использование метода РОТ позволяет также автоматически менять пороговые значения для параметров сетевых устройств, учитывая историю измерения параметров. Это позволяет проводить модификацию моделей распознавания аномалий, на основе фиксированных данных без участия оператора. Представление результатов выявления аномалий для пользователя системы включает в себя ранжирование наблюдаемых событий в сети по степени влияния на аномалию в работе сетевого устройства, и вывод пользователю тех событий, вклад которых в обнаружение аномалии превышает пороговое значение. Этот способ можно применить для выявления аномалий в работе сети автоматизированной телекоммуникационной системы.

Недостатком способа в этом случае является ограниченный перечень метаданных, по которому выявляются аномалии, что приводит к повышению вероятности возникновения ошибок первого и второго рода.

Известен способ обнаружения кибер-атак в автоматизированных системах управления технологическими процессами (3 - патент США № US 10015188, H04L 63/1441. Method for mitigation of cyber attacks on industrial control systems / Omer Schneider, Nir Giller; Pub 03.07.2018). В способе описаны два режима: обучения и защиты.

В режиме обучения перехватывают сетевые пакеты, являющиеся сетевым трафиком промышленных систем автоматизации и управления (ПСАиУ), и формируют для каждого перехваченного пакета характеристический вектор на основе параметров такого пакета. В качестве параметров пакета используют поля протокола, которые могут быть выявлены методом глубокой инспекции пакетов (англ. - Deep Packet Inspection, DPI), метаданные пакета (частота, время, источник и приемники пр.), контекстно-зависимую информацию, связанную с предшествующими перехваченными пакетами. На основе характеристического вектора пакета вычисляют новое наблюдаемое состояние ПСАиУ, при этом модель защищаемой ПСАиУ рассматривают в качестве конечного автомата. Результатом вычисления является выявление соответствия нового состояния одному из числа ранее наблюдаемых состояний или вывод о том, что новое состояние ранее не было выявлено и зафиксировано. В последнем случае для конечного автомата создают еще одно состояние и ребро, соответствующее переходу системы из предшествующего состояния в новое. Вес для такого ребра принимают за единицу. Если новое состояние ранее было зафиксировано, то для ребра, соответствующему переходу из предшествующего состояния в новое, увеличивают вес на единицу. Режим обучения завершается, когда для конечного автомата ПСАиУ не происходит создания новых ребер и состояний.

В режиме защиты перехватывают сетевые пакеты ПСАиУ и формируют для каждого из них характеристический вектор, используя параметры пакета аналогичным образом, как и в режиме обучения. На основе характеристического вектора вычисляют новое наблюдаемое состояние ПСАиУ, в результате вычисления определяют ребро конечного автомата, соединяющее предыдущее и текущее состояние ПСАиУ, а также вес этого ребра. Для ребра определяют вероятность перехода из предыдущего в текущее состояние, при этом принимают, что чем выше вес ребра, тем выше вероятность перехода. Дополнительно вычисляют вероятность перехода для цепочки из нескольких предыдущих состояний. Значения полученных вероятностей сравнивают с установленными в режиме обучения граничными значениями. Если вычисленное значение вероятности перехода ниже соответствующего граничного значения, то оповещают оператора о выявлении аномалии в работе, защищаемой ПСАиУ.

Недостатком способа является непредсказуемо длительное время обучения и высокая вероятность возникновения ошибок второго рода (ложноотрицательных срабатываний), что обуславливает невозможность его применения в случаях, когда сеть автоматизированной системы является высоконагруженной.

Известен способ выявления аномалий в работе сети автоматизированной системы (4 - Патент РФ №2738460, МПК: H04L 1/00 (2006.01), G06F 21/00 (2013.01). Способ выявления аномалий в работе сети автоматизированной системы. Патентообладатель - ООО «Сайберлимфа». Антипинский А.С., Домуховский Н.А., Комаров Д.Е., Синадский А.Н. Публ. - 14.12.2020 г.), принятый за прототип. Для его реализации при применении в высоконагруженной сети автоматизированной телекоммуникационной системы:

- принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя;

- выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета;

- выявляют реакцию узла-получателя на выявленную запись словаря сигналов и сопоставляют эту реакцию с ожидаемой реакцией на эту запись, заложенную для узла-получателя в соответствующем для него агенте из многоагентной модели сети автоматизированной телекоммуникационной системы;

- возвращают пользователю карточку аномалии при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: автоматически сформированные правила разбора сетевого пакета, структура которого не была известна и для которого не были выявлены адресные поля и поля данных; адрес и/или интерфейс узла-источника и/или узла-получателя, не найденные в каталоге интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы; отклонение между наблюдаемой и ожидаемой реакцией на запись словаря сигналов в случае выявления такого отклонения при заданном значении погрешности для отклонения;

- причем многоагентная модель сети автоматизированной телекоммуникационной системы состоит из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для которых определена их ожидаемая реакция на выходе при поступлении на их вход записи словаря сигналов.

Способ-прототип позволяет выявлять аномалии в работе сети автоматизированной телекоммуникационной системы на основе многоагентной модели сети.

Недостатком способа-прототипа является невозможность его применения в случаях, когда сеть автоматизированной телекоммуникационной системы является высоконагруженной, поскольку применение многоагентной модели сети автоматизированной телекоммуникационной системы, состоящей из соответствующих узлам сети автоматизированной телекоммуникационной системы программных агентов, для выявления ожидаемой реакции на выходе для каждой пары "узел-источник узел-получатель" в принимаемом трафике, требует больших вычислительных ресурсов.

Технической проблемой является отсутствие технических средств выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.

Для решения технической проблемы предлагается способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, при котором принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя, выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы, для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: адрес и/или интерфейс узла-источника и/или узла-получателя.

Согласно изобретению, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.

Техническим результатом является выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.

Указанный технический результат достигают за счет введения новых операций:

- на основе приема и обработки сетевого трафика формирования словаря сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы;

- накопления статистики по сетевым пакетам;

- формирования на основе обработки накопленных сетевых пакетов текущего частотного N-граммного портрета сетевого трафика пары «узел-отправитель» - «узел-получатель»;

- на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формирования множество характеристик схожести, сравнивая их с пороговым значением;

- при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы;

- предоставления пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального;

- добавления сформированного частотного N-граммного портрета сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.

На фигуре приведена структурная схема устройства, реализующего предлагаемый способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы.

Сочетание отличительных признаков и свойств предлагаемого способа из литературы не известны, поэтому он соответствует критериям новизны и изобретательского уровня.

Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы реализуется следующим образом:

1 На основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы.

2 Принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя.

3 Выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета.

4 В процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам.

5 Формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель».

6 На основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением.

7 Возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:

7.1 адрес и/или интерфейс узла-источника и/или узла-получателя;

7.2 множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.

8 Предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального.

9 Добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.

Для реализации пункта 1 на основе принятых и обработанных сетевых пакетов i=1,2,…,

где i - номер пакета;

- байт i-го пакета;

k_i - номер байта в пакете;

формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой j-й допустимой пары узлов сети автоматизированной телекоммуникационной системы:

где E_j - j-й эталонный частотный N-граммный портрет;

- значение частоты использования уникальной l-ой последовательности значащих символов длиной не более N для j-го подмножества пакетов.

Для реализации пункта 2 так же, как и в способе-прототипе, принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет

где i - номер пакета;

b_ki - байт i-го пакета;

k_i - номер байта в пакете,

на основе правил разбора выявляют в нем адресные поля и поля данных

где Ф - правило разбора;

- адресные поля по меньшей мере одного узла-источника и одного узла-получателя;

- байты адресных полей;

- данные;

- байты данных.

Для реализации пункта 3 так же, как и в способе-прототипе, из адресных полей i-го пакета выявляют адрес и интерфейс узла-отправителя и адрес, и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель", т.е. выполняют

где Ψ - словарь сигналов;

- "узел-источник";

- "узел-получатель".

Для реализации пункта 4 множество перехваченных пакетов

где I - количество перехваченных пакетов, разделяют на подмножества для всех выявленных j-х пар ("узел-источник - узел-получатель"): j=1,2,…,

где - количество пакетов в подмножестве j;

j - номер подмножества.

При этом подмножество считается сформированным, если выполняется условие , где С - минимально допустимое количество пакетов в подмножестве.

Для реализации пункта 5 частотный N-граммный портрет сетевого трафика j-й пары «узел-отправитель» - «узел-получатель» представляется в виде множества значений абсолютных или относительных частот использований уникальных последовательностей значащих символов длиной не более N для j-го подмножества

В качестве значащих символов могут использоваться значения бита, тетрады байта, байта и т.д. В частности, если в качестве значащих символов выбраны значения байта, то возможные значащие символы находятся в интервале [0, 256[. Тогда количество уникальных последовательностей значащих символов длиной не более N можно вычислить по формуле , где I(N) - количество уникальных последовательностей.

Обозначим все уникальные последовательности значащих символов длиной не более N:

Для каждого j-го подмножества подсчитывается количество использований N-грамм

Тогда значение частот использований уникальных последовательностей значащих символов для каждого j-го подмножества определяются выражением:

а частотный N-граммный портрет для каждого j-го подмножества выражением:

Для реализации пункта 6 выполняют на основе сравнения всех j-х частотных N-грамнных портретов (G_j) с j-ми эталонными портретами (E_j).

Для этого формируют множество характеристик схожести. К ним можно отнести коэффициент взаимной корреляции Пирсона, оценку схожести по методу наименьших квадратов или другие характеристики схожести. Мощность множества характеристик схожести должна быть не менее 1.

Если в качестве характеристики схожести выбран коэффициент взаимной корреляции Пирсона, то его вычисляют по выражениям:

где κ_j - коэффициент взаимной корреляции, который в данном случае является характеристикой схожести, а множество характеристик состоит из одного элемента: X={κ_j}.

Частотные N-граммные портреты G_j и E_j считаются схожими, если выполняется условие κ_j≥e_j для X, состоящего из одного элемента, где e_j - пороговое значение для j-го эталона.

Для реализации пункта 7 проверяют условие κ_j<e_j. Если условие выполняется, то j-ое подмножество пакетов считается аномальным. В этом случае так же, как и в способе-прототипе, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы:

- адрес и/или интерфейс узла-источника и/или узла-получателя;

- множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы.

Для реализации пункта 8 по решению пользователя производят действия над частотным N-граммным портретом или пороговым значением. А именно, если пользователь принимает решение, что аномалии нет, то он может изменить пороговое значение или скорректировать эталонный частотный портрет, в противном случае фиксирует аномалию для адресов и/или интерфейсов узла-источника и/или узла-получателя.

Для реализации пункта 9 при условии, что пользователь принял решение скорректировать эталонный частотный N-граммный портрет, он может заменить текущий эталонный частотный портрет на новый G_j → E_j, пересчитать E_j с учетом G_j, например, вычислить среднее арифметическое: или средневзвешенное.

Предлагаемый способ имеет следующие отличительные признаки в последовательности его реализации от способа-прототипа, которые представлены в таблице 1.

Из представленной таблицы 1 сравнения последовательностей реализации способа-прототипа и предлагаемого способа видно, что в предлагаемом способе, относительно способа-прототипа, дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.

Структурная схема устройства, реализующего предлагаемый способ, изображена на фигуре. В состав устройства входят:

01 - модуль перехвата сетевых пакетов (МПСП);

02 - модуль обработки сетевых пакетов и выделения адресной информации (МОПиВАИ);

03 - модуль формирования статистики и частотных N-граммных портретов (МФСиЧП);

04 - модуль сравнения частотных N-граммных портретов (МСЧП);

05 - база эталонных частотных N-граммных портретов (БЭЧП);

06 - модуль управления (МУ);

07 - модуль ввода вывода (МВВ).

Вход МПСП 01 соединен с сетью автоматизированной телекоммуникационной системы. Выход МПСП 01 соединен с входом МОПиВАИ 02. Выход МОПиВАИ 02 соединен с входом МФСиЧП 03. Выход МФСиЧП 03 соединен с первым входом МСЧП 04. Выход МСЧП 04 соединяется с первым входом МУ 06. Первый выход МУ 06 соединяется с входом БЭЧП 05. Выход БЭЧП 05 соединен со вторым входом МСЧП 04. Второй выход МУ 06 соединяется с входом МВВ 07. Выход МВВ 07 соединяется со вторым входом МУ 06.

МПСП 01 перехватывает в сети автоматизированной телекоммуникационной системы сетевые пакеты и передает их на вход МОПиВАИ 02. МОПиВАИ 02 обрабатывает и выявляет в них адресные поля и поля данных на основе правил разбора сетевого пакета. Для каждого сетевого пакета МОПиВАИ 02 выявляет адреса и интерфейсы узлов-отправителя и адреса, и интерфейсы узлов-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы для выявленной пары "узел-источник - узел-получатель". Выявленные пары "узел-источник - узел-получатель" и перехваченные сетевые пакеты передаются на вход МФСиЧП 03. МФСиЧП 03 разделяет сетевые пакеты на группы по выявленным парам "узел-источник - узел-получатель" и для каждой группы накапливает статистику до тех пор, пока не накопит для группы минимально допустимое количество пакетов. По завершению накопления МФСиЧП 03 формирует частотный N-граммный портрет и передает его и пару "узел-источник - узел-получатель" на вход МСЧП 04. МСЧП 04 запрашивает эталонный частотный N-граммный портрет в БЭЧП 05 для пары "узел-источник - узел-получатель". Если эталонный частотный N-граммный портрет найден в БЭЧП 05, то МСЧП 04 сопоставляет сформированный частотный портрет с эталонным, формирует множество характеристик схожести и сравнивает их с пороговым значением. Если характеристики схожести не превышают пороговое значение, то выявляется аномалия,, в таком случае МСЧП 04 выдает на первый вход МУ 06 карточку аномалии (адрес и/или интерфейс узла-источника и/или узла-получателя и множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы). Если эталон не найден в БЭЧП 05, то текущий частотный N-граммный портрет автоматически добавляется в БЭЧП 05. МУ 06 обеспечивает взаимодействие МСЧП 04, БЭЧП 05 и МВВ 07. МВВ 07 обеспечивает взаимодействие с Пользователем, возвращает ему карточки аномалий и принимает от него команды управления.

Приведем пример использования способа для пары "узел-источник - узел-получатель", в которой аномалии нет (пара А), и для пары, в которой аномалия есть (пара Б).

Выполняя действия п. 1 сформируем эталонные частотные N-граммные портреты для пар А и Б, т.е перехватим для каждой пары не менее С=1000 пакетов, примем, что длина последовательностей значащих символов будет равна N=1. В качестве значащих символов будет использоваться значения байта, тогда количество уникальных последовательностей значащих символов I(N)=256.

Сформируем частотные портреты, считая количество использований всех значений байт для всех перехваченных сетевых пакетов пар А и Б, и сохраним их, соответственно, в словари сигналов как эталонные (таблица 2).

Проведем еще один перехват в сети автоматизированной телекоммуникационной системы сетевых пакетов для ранее выбранных пар А и Б и, выполняя пункты 2-5, так же сформируем частотные N-граммные портреты (таблица 2). Выполняя пункт 6, сравним сформированные частотные N-граммные портреты для пар А и Б с эталонными, соответственно, и сформируем множество характеристик схожести. В качестве порогового значение выберем 0,9.

В этом примере множество характеристик схожести состоит из одного элемента - коэффициента взаимной корреляции (КВК) Пирсона.

КВК между эталонным и частотным N-граммным портретом для пары А равен 0,97976, что больше порогового значения, исходя из этого делается вывод, что аномалии нет.

КВК между эталонным и частотным N-граммным портретом для пары Б равен 0,46552, что меньше порогового значения, исходя из этого делается вывод, что аномалия выявлена. Выполняя пункты 7-9, пользователю предоставляется: карточка аномалии, возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, возможность добавления его в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.

Таким образом, предлагаемый способ, относительно способа-прототипа, позволяет реализовать выявление аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, которое основано на анализе частотных характеристик битового потока трафика сети без предварительного выделения из него отдельных элементов и без применения многоагентной модели этой сети.

Способ выявления аномалий в работе высоконагруженной сети автоматизированной телекоммуникационной системы, при котором принимают перехваченный в сети автоматизированной телекоммуникационной системы сетевой пакет, выявляют в нем адресные поля и поля данных на основе правил разбора сетевого пакета, при этом адресные поля пакета включают адрес и интерфейс по меньшей мере одного узла-источника и адрес, и интерфейс по меньшей мере одного узла-получателя, выявляют адрес и интерфейс узла-отправителя и адрес и интерфейс узла-получателя на основе поиска по каталогу интерфейсов сетевых узлов сети автоматизированной телекоммуникационной системы, для выявленной пары "узел-источник - узел-получатель" находят запись в словаре сигналов, причем запись словаря сигналов включает адреса и интерфейсы этих узлов и поля данных принятого сетевого пакета, возвращают пользователю карточку аномалии, при этом карточка аномалии включает в себя сведения, включающие по меньшей мере один из видов сведений, выбранных из группы: адрес и/или интерфейс узла-источника и/или узла-получателя, отличающийся тем, что дополнительно на основе приема и обработки сетевого трафика формируют словарь сигналов эталонных частотных N-граммных портретов нормального и/или аномального сетевого трафика для каждой допустимой пары узлов сети автоматизированной телекоммуникационной системы, где частотные N-граммные портреты представлены в виде множества значений абсолютных или относительных частот использований уникальных последовательностей значащих символов длиной не более N для j-го подмножества сетевых пакетов, в процессе приема сетевых пакетов и выявления адресов и интерфейсов накапливают статистику по сетевым пакетам, после чего формируют на основе обработки накопленных сетевых пакетов текущий частотный N-граммный портрет сетевого трафика пары «узел-отправитель» - «узел-получатель», на основе сопоставления сформированного частотного портрета с эталонными частотными N-граммными портретами сетевого трафика из словаря сигналов формируют множество характеристик схожести, сравнивают их с пороговым значением, при возвращении пользователю карточки аномалии в нее включают множество характеристик схожести сформированного частотного N-граммного портрета с эталонными частотными N-граммными портретами сетевого трафика узлов сети автоматизированной телекоммуникационной системы, после чего предоставляют пользователю возможность отметки сформированного частотного N-граммного портрета как нормального или аномального, добавляют сформированный частотный N-граммный портрет сетевого трафика в словарь сигналов эталонных частотных N-граммных портретов с карточкой аномалии.