×

网络流量异常检测和评估。 (英语) Zbl 1190.68007号

Berichte aus der Kommunikationstechnik公司; TIK-Schriftenreihe 91号。亚琛:Shaker Verlag;苏黎世:ETH Eidgenössische Technische Hochschule Zürich(Diss.ETH No.17386)(ISBN 978-3-8322-8977-5/pbk)。xx,280页。(2010).
文本简介:当处理来自可能多个路由器的大规模网络数据时,维度灾难使异常检测问题变得相当复杂。提出了主成分分析(PCA)来处理这一问题。然而,由于后续工作发现了所提出的PCA方法中的一些缺陷,因此仍有改进的余地。第二个挑战来自上述异常检测的基本假设,但不幸的是,这种假设在实践中并不总是成立的。
这种情况的直接后果是,用户经常被虚假警报淹没。为了应对高误报警率,可以尝试减少误报警的数量,也可以尝试最小化解决报警所需的时间。这是我们看到研究与实践之间最大差异的地方,因为科学界普遍忽视了虚假警报问题。最后,当异常检测等研究领域达到一定的成熟度时,应该对所提出的方法进行合理的评估。评估方面的主要挑战是,实际上没有标记的真实世界数据集可用。
我们的贡献如下。在本文的第一部分中,我们回顾了主成分分析方法及其基本假设。我们发现,由于网络流量统计数据通常具有很强的时间相关性,因此没有给出测量点之间独立性的假设。因此,我们将主成分分析方法扩展到随机过程,并在模型中包括时间和空间相关性。使用我们的扩展方法,我们的精确度提高了20%。在本文的第二部分中,我们解决了虚警问题。我们介绍了一种使用基于直方图的异常检测器和关联规则来帮助管理员识别异常流和事件根源的方法。
通过我们的方法,我们能够将警报解决时间从通常的一小时减少到几分钟。本文的第三部分描述了我们直接从流迹中导出的几种模拟现实异常模型。此外,我们还引入了FLAME,这是一种将异常注入到真实轨迹中的工具,一些研究人员已经使用它来评估其算法的假阴性率。

MSC公司:

68米10 计算机系统中的网络设计和通信
68-02 与计算机科学有关的研究展览会(专著、调查文章)

软件:

火焰
PDF格式BibTeX公司 XML格式引用
全文: 链接