Аннотация:
В статье определены правила нахождения пороговых значений для основных сетевых переменных, используемых для обнаружения сетевых вторжений в условиях ограниченной выборки данных. Технология sFlow оперирует с ограниченной выборкой пакетов, причем анализироваться может один пакет из 50, но это значение может доходить и до 5000. Наш основной вывод состоит в том, что произведение порогового значения и разрешения выборки остается постоянной величиной. В работе определен размер максимального разрешения, при котором атака с заданным порогом может быть обнаружена. На основании собранных во время эксперимента данных было проведено тестирование данной гипотезы. С учетом ошибки эксперимента эта гипотеза подтверждается.
Ключевые слова:пороговые значения для распознания DDoS атак, выборка данных sFlow, ранговые распределения в сетевой безопасности.
УДК:
004.7
Поступила в редакцию: 21.03.2023 Принята в печать: 29.05.2023
Полный текст:
PDF файл (1265 kB)