С.Д. Ерохин1, Б.Б. Борисенко2, А.С. Фадеев3, Д.А. Крюков4

1–3 МТУСИ (Москва, Россия)
4 РТУ-МИРЭА (Москва, Россия)
1 esd@mtuci.ru, 2 fepem@yandex.ru, 3 aleksandr-sml@mail.ru, 4 dm.bk@bk.ru

Постановка проблемы. В условиях стремительного роста количества кибератак актуальной задачей является разработка методов своевременного обнаружения аномалий в сетевом трафике. В статье рассматривается применение теории разладки  (а именно: методов многомерного статистического контроля) для выявления компьютерных атак. Основной акцент сделан на многомерных контрольных картах кумулятивных сумм (MCUSUM, Multivariate Cumulative Sum), которые позволяют учитывать взаимосвязи между признаками сетевого трафика, обеспечивая тем самым более точное и раннее обнаружение аномалий по сравнению с одномерными подходами.

Цель. Провести анализ и дать сравнительную оценку эффективности различных реализаций MCUSUM-карт (методы Хили, Крозье, Пиньятелло–Рангера) и карты Хотеллинга для задач обнаружения компьютерных атак в многомерных данных сетевого трафика.

Результаты. В качестве экспериментального материала использован набор данных CSE-CIC-IDS2018, из которого были отобраны наиболее информативные признаки. Проведен сравнительный анализ чувствительности различных методов. Установлено, что методы Крозье и Пиньятелло–Рангера обладают высокой чувствительностью к малым и средним сдвигам, тогда как карта Хотеллинга показывает лучшую эффективность при резких изменениях, характерных для DDoS-атак.

Практическая значимость. Оптимизация систем обнаружения вторжений (СОВ) за счет внедрения многомерных методов, учитывающих корреляции параметров позволяет выявлять как известные, так и новые типы атак, включая скрытые и низкоинтенсивные угрозы. Результаты проведенных исследований применимы в области информационной безопасности для мониторинга сетевого трафика, защиты критически важных инфраструктур и адаптивного управления угрозами в реальном времени. Использование MCUSUM способствует минимизации ложных тревог и сокращению времени реагирования, что повышает устойчивость информационных систем к современным киберугрозам.

Ерохин С.Д., Борисенко Б.Б., Фадеев А.С., Крюков Д.А. Применение многомерных карт кумулятивных сумм при обнаружении компьютерных атак // Системы высокой доступности. 2025. Т. 21. № 2. С. 74−85. DOI: https://doi.org/ 10.18127/j20729472-202502-07

1. Борисенко Б.Б. Модификация карты Хотеллинга, нивелирующая влияние тренда, и ее применение при обнаружении цифровых водяных знаков // ПДМ. 2010. № 2(8). URL: https://cyberleninka.ru/article/n/modifikatsiya-karty-hotellinga-niveliruyuschaya-vliyanie-trenda-i-ee-primenenie-pri-obnaruzhenii-tsifrovyh-vodyanyh-znakov (дата обращения: 02.06.2024).
2. Duncan A.J. Quality control and industrial statistics. N.Y.: Irwin. 1974. 992 р.
3. Вальд А. Последовательный анализ. М.: Физматлит. 1960.
4. Robert S.W. Control chart tests based on geometric moving average // Technometrics. 1959. № 1. P. 239–250.
5. Patcha A., Park J.-M. (Jerry) An overview of anomaly detection techniques: Existing solutions and latest technological trends // Computer Networks. 2007. 51. 3448–3470. 10.1016/j.comnet.2007.02.001.
6. Tartakovsky A.G., Rozovskii B.L., Blažek R.B., Kim H. Detection of intrusions in information systems by sequential change-point methods // Statistical Methodology. 2006. V. 3. Iss. 3. P. 252–293, ISSN 1572-3127, https://doi.org/10.1016/j.stamet.2005.05.003 (https://www.sciencedirect.com/science/article/pii/S1572312705000493) (дата обращения: 02.06.2024).
7. Баранов В.А. Выявление разладки процесса наблюдений как метод определения вторжения // Проблемы информационной безопасности. Компьютерные системы. 2011. № 1. С. 7–16. EDN NZFZRJ.
8. Сундарон Э.М. Исследование влияния фактора сглаживания на параметры контрольной карты экспоненциально взвешенного скользящего среднего // МНИЖ. 2016. № 8-3(50). URL: https://cyberleninka.ru/article/n/issledovanie-vliyaniya-faktora-sglazhivaniya-na-parametry-kontrolnoy-karty-eksponentsialno-vzveshennogo-skolzyaschego-srednego (дата обращения: 04.06.2024).
9. Алпатов А.Н. Определение перегрузки в распределённых компьютерных системах на основе статистических методов // Современные тенденции развития науки и производства / Сб. материалов III Междунар. научно-практ. конф. Кемерово, 21–22 января 2016 г. Кузбасский гос. техн. ун-т им. Т.Ф. Горбачева. Т. II. Кемерово: ООО «Западно-Сибирский научный центр». 2016. С. 257–262. EDN VMSVMZ.
10. Аникеева О.В., Ивахненко А.Г., Сторублев М.Л. Методы оптимизации и принятия решений в управлении качеством. Курск: ЗАО «Университетская книга». 2015. 216 с.
11. Телков А.Ю., Данилова О.Ю., Телкова С.А. Обнаружение сетевых аномалий объема трафика методом контрольных карт универсальной системой мониторинга ZABBIX // Вестник ВИ МВД России. 2020. №3. URL: https://cyberleninka.ru/article/n/obnaruzhenie-setevyh-anomaliy-obema-trafika-metodom-kontrolnyh-kart-universalnoy-sistemoy-monitoringa-zabbix (дата обращения: 18.10.2024).
12. Клячкин В.Н., Карпунина И.Н. Использование методов статистического контроля для оценки стабильности работы агрегатов // Доклады АН ВШ РФ. 2016. №3 (32). URL: https://cyberleninka.ru/article/n/ispolzovanie-metodov-statisticheskogo-kontrolya-dlya-otsenki-stabilnosti-raboty-agregatov (дата обращения: 18.10.2024).
13. Шелухин О.И., Филинова А.С. Обнаружение сетевых аномальных выбросов трафика методом разладки Бродского–Дарховского // T-Comm. 2013. № 10. URL: https://cyberleninka.ru/article/n/obnaruzhenie-setevyh-anomalnyh-vybrosov-trafika-metodom-razladki-brodskogo-darhovskogo (дата обращения: 19.10.2024).
14. CSE-CIC-IDS2018 on AWS. A collaborative project between the Communications Security Establishment (CSE) & the Canadian Institute for Cybersecurity (CIC). URL:https://www.unb.ca/cic/datasets/ids-2018.html (дата обращения: 02.06.2024).
15. Борисенко Б.Б., Ерохин С.Д., Фадеев А.С., Мартишин И.Д. Обнаружение компьютерных атак при использовании многослойного персептрона и сетей с долгой краткосрочной памятью // Системы синхронизации, формирования и обработки сигналов. 2021. Т. 12. № 5. С. 4–13. EDN UUWXOH.
16. Ерохина О.В., Борисенко Б.Б., Мартишин И.Д., Фадеев А.С. Анализ влияния параметров многослойного персептрона на качество идентификации компьютерной атаки // Системы синхронизации, формирования и обработки сигналов. 2021. Т. 12. № 4. С. 19–26. EDN ZHTUIW.
17. Гетьман А.И., Горюнов М.Н., Мацкевич А.Г., Рыболовлев Д.А. Методика сбора обучающего набора данных для модели обнаружения компьютерных атак // Труды Института системного программирования РАН. 2021; 33(5): 83–104. https://doi.org/10.15514/ISPRAS-2021-33(5)-5 (дата обращения: 02.06.2024).
18. Erokhin S., Borisenko B., Fadeev A. Reducing the Dimension of Input Data for IDS by Using Match Analysis // Conference of Open Innovations Association, FRUCT. 2021. № 28. P. 96–102. EDN WBZWDT.
19. Ерохин С.Д., Борисенко Б.Б., Мартишин И.Д., Фадеев А.С. Анализ существующих методов снижения размерности входных данных // T-Comm: Телекоммуникации и транспорт. 2022. Т. 16. № 1. С. 30–37. DOI 10.36724/2072-8735-2022-16-1-30-37. EDN LEHFTU.
20. Ерохин С.Д., Борисенко Б.Б., Фадеев А.С., Мартишин И.Д. О разработке датасета для обнаружения сетевых атак // REDS: Телекоммуникационные устройства и системы. 2022. Т. 12. № 1. С. 18–25. EDN WZPCUS.
21. Münz G, Carle G. Application of forecasting techniques and control charts for traffic anomaly detection. Proceedings of the 19th ITC Specialist Seminar on Network Usage and Traffic. 2008. Berlin, Germany.
22. Клячкин В.Н. Статистические методы в управлении качеством: компьютерные технологии. М.: Финансы и статистика; ИНФРА-М. 2009. 304 с.
23. Алексеева А.В. Методы и алгоритмы повышения эффективности контроля многомерного рассеяния показателей функционирования сложных технических систем. Специальность 05.13.01 «Системный анализ, управление и обработка информации (по отраслям)». Дисс. на соискание ученой степени канд. тех. наук. 2022. 149 с. EDN LRCOLD.
24. Клячкин В.Н., Крашенинников В.Р., Кувайскова Ю.Е. Прогнозирование и диагностика стабильности функционирования технических объектов: монография. М.: РУСАЙНС. 2020. 200 с.
25. Kai Yang, Peihua Qiuges. Adaptive Process Monitoring Using Covariate Information // Technometrics. 2021. V. 63(3). P. 313–328.
26. Клячкин В.Н. Модели и методы статистического контроля многопараметрического технологического процесса. М.: ФИЗМАТЛИТ. 2011. 196 с.
27. Ahsan M., Mashuri M., Kuswanto H., Prastyo D. Intrusion Detection System Using Multivariate Control Chart Hotelling's T2 Based on PCA // International Journal on Advanced Science. Engineering and Information Technology. 2018. V. 8. № 5. P. 1905–1911. 10.18517/ijaseit.8.5.3421.
28. Ahsan M., Mashuri M., Khusna H. Intrusion detection system using bootstrap resampling approach of T2 control chart based on successive difference covariance matrix // Journal of Theoretical and Applied Information Technology. 2018. V. 96. № 8. P. 2128–2138.
29. Борисенко Б.Б., Ерохин С.Д., Фадеев А.С. Об обнаружении компьютерных атак с использованием теории разладки // Системы синхронизации, формирования и обработки сигналов. 2024. Т. 15. № 6. С. 4–9. EDN FBZLTK.
30. Клячкин В.Н. Компьютерные технологии многомерного контроля качества / Тр. 7-й Междунар. конф. «Информационные сети, системы и технологии». Минск: БГЭУ. 2001. Т. 2. С. 170–176.
31. Geza E. Multivariate Statistical Process Control of Platinum: A Case of a Mining Company in Zvishavane, Zimbabwe // International Journal of Research in Engineering and Applied Sciences. 2013. V. 3. P. 22–54.
32. Kim H., Rozovskii B., Tartakovsky A. A Nonparametric Multichart CUSUM Test for Rapid Detection of DoS Attacks in Computer Networks // International Journal of Computing and Information Sciences. 2004. V. 2. № 3. P. 149–158.
33. Bouyeddou B., Harrou F., Sun Y. and Kadri B. Detecting SYN flood attacks via statistical monitoring charts: A comparative study / 5th International Conference on Electrical Engineering – Boumerdes (ICEE-B). Boumerdes. Algeria, 2017. P. 1–5. doi: 10.1109/ICEE-B.2017.8192118
34. Moraes D.A.O., Oliveira F.L.P., Duczmal L.H. On the Hotelling’s T, MCUSUM and MEWMA control charts’ performance with different variability sources: a simulation study // Brazilian Journal of Operations & Production Management. 2015. 12(2). P. 196–212. https://doi.org/10.14488/BJOPM.2015.v12.n2.a2
35. Narvand A., Soleimani P., Raissi S. Phase II monitoring of auto-correlated linear profiles using linear mixed model // Journal of Industrial Engineering International. 2013. V. 9. № 1. P. 1–9. DOI 10.1186/2251-712x-9-12
36. Healy J.D. A Note on Multivariate CUSUM Procedures // Technometrics. 1987. 29:4. 409–412.
37. Fallahnezhad M.S., Ghalichehbaf A. A review on the MCUSUM Charts in Detecting the Shifts of the Process with Comparison Study // International Journal of Innovation in Engineering. 2023. V. 3. № 2. P. 30–38. DOI 10.59615/ijie.3.2.30
38. Crosier R.B. Multivariate Generalizations of Cumulative Sum Quality-Control Schemes // Technometrics. 1988. V. 30. № 3. P. 291–303.
39. Devianto D., Maiyastri Asdi Y., Maryati S., Sari S. P., Hidayat R. The Mixed MEWMA and MCUSUM Control Chart Design of Efficiency Series Data of Production Quality Process Monitoring // Int. J. Adv. Sci. Eng. Inf. Technol. Jun. 2024. V. 14. № 3. P. 841–846.
40. Lowry C., Woodall W., Champ C., Rigdon S. A Multivariate Exponentially Weighted Moving Average Control Chart // Technometrics. 2012. 34. 46–53. 10.1080/00401706.1992.10485232
41. Pignatiello J.J., Runger G.C. Comparisons of Multivariate CUSUM Charts // Journal of Quality Technology. 1990. 22(3). P. 173–186. doi: 10.1080/00224065.1990.11979237