Detection of anomalies in IP networks via parametrized

• Autorzy: Bereziński P. , Piotrowski R. , Pawelec J.

Warianty tytułu

PL

Detekcja anomalii w sieciach IP z wykorzystaniem parametrycznych entropii

• Języki publikacji: EN

Abstrakty

EN

The SECOR project goals include novel methods of anomalous traffic detection in IP networks. Recently, entropy measures have shown significant promise in detecting diverse set of network anomalies. While many different forms of entropy exist, only a few have been studied in the context of network anomaly detection. In the paper results of our studies on entropy-based IP traffic anomaly detection are presented. Results suggest that parameterized entropies with a set of correctly selected feature distributions perform better than the traditional approach based on Shannon entropy or counters.

PL

W ramach projektu SECOR1 podjęto prace nad nowatorskimi metodami wykrywania anomalii w sieciach IP. Ostatnie badania wskazują, że odpowiednie do tego celu jest wykorzystanie miar entropijnych. W artykule zaprezentowano wyniki badań autorskiej detekcji anomalii bazującej na miarach entropijnych. Wyniki wskazują, że wykorzystanie parametrycznych entropii dla rozkładów wybranych cech ruchu sieciowego daje lepsze wyniki niż tradycyjne podejścia bazujące na entropii Shannona czy też licznikach wolumenu.

Słowa kluczowe

EN

anomaly detection; entropy; netflow; network traffic measurement

PL

detekcja anomalii; netflow; pomiar ruchu sieciowego

• Wydawca: Oficyna Wydawnicza Europejskiej Uczelni
• Czasopismo: Studia i Materiały / Europejska Uczelnia Informatyczno-Ekonomiczna w Warszawie
• Rocznik: 2014
• Tom: Nr 1(7)
• Strony: 73--82
• Opis fizyczny: Bibliogr. 16 poz., rys., tab., wykr.

Twórcy

autor

Bereziński P.

• Military Communication Institute, ul. Warszawska 22A, 05-130 Zegrze, Poland

autor

Piotrowski R.

• Military Communication Institute, ul. Warszawska 22A, 05-130 Zegrze, Poland

autor

Pawelec J.

• Europejska Uczelnia Informatyczno-Ekonomiczna w Warszawie, ul. Białostocka 22, 03-741 Warszawa
• Military Communication Institute, ul. Warszawska 22A, 05-130 Zegrze, Poland

Bibliografia

• [1] Brauckhoff D. et al., Impact of packet sampling on anomaly detection metrics, in ACM SIGCOMM conference on Internet Measurement, 2006.
• [2] Brauckhoff D., Network Traffic anomaly Detection and Classification, Dis. Th., Elektro-Technische Hohschule, Zurich 2010.
• [3] Dimitropoulos X. et al., The eternal sunshine of the sketch data structure, “Computer Networks”, Vol. 52, No. 17, 2008.
• [4] Eimann R., Network Event Detection with Entropy Measures, Dis. Th., University of Auckland, 2008.
• [5] Lakhina A. et al., Mining anomalies using traffic feature distributions, in ACM SIGCOMM conference on Internet Measurement, 2005.
• [6] Maszczyk T., Duch W., Comparison of Shannon, Renyi and Tsallis Entropy used in Decision Trees, “Lecture Notes in Computer Science”, Vol. 5097, 2008.
• [7] Nychis G. et al., An Empirical Evaluation of Entropy-based Traffic Anomaly Detection, in ACM SIGCOMM conference on Internet Measurement, 2008.
• [8] Renyi A., Probability Theory, North-Holland, Amsterdam 1970.
• [9] Ruoyu Y. et al., Multi-scale entropy and renyi cross entropy based traffic anomaly detection, in IEEE International Conference on Communication Systems (ICCS), 2008.
• [10] Shafiq M. et al., Improving accuracy of immune-inspired malware detectors by using intelligent features, in GECCO conference on Genetic and evolutionary computation, 2008.
• [11] Stoecklin M. et al., A two layered anomaly detection technique based on multi-modal flow behavior models, in PAM conference on Passive and active network masurement, Springer, 2008.
• [12] Tellenbach B. et al., Accurate Network Anomaly Classification with Generalized Entropy Metrics, “Computer Networks” 55 (15), 2011.
• [13] Tsallis C., Possible Generalization of Boltzmann-Gibbs Statistics, “J. Statistical Physics”, Vol. 52, No. 1-2, 1988.
• [14] Winter P. et al., On Detecting Abrupt Changes in Network Entropy Time Series, “Communications and Multimedia Security Lecture Notes in Computer Science”, Vol. 7025, 2011.
• [15] Weka project homepage, http://www.cs.waikato.ac.nz/ml/weka/.
• [16] IETF IPFIX Working Group, http://datatracker.ietf.org/wg/ipfix/charter/.