Prezentujemy wykorzystanie probabilistycznego podejścia (PAD) do wykrywania anomalii. Stworzony przez nas system, poprzez analizę wybranych wywołań systemowych (wraz z ich argumentami), monitoruje wybrane aplikacje w środowisku Linux. Poprzez porównywanie ich działania z wcześniej zebranym profilem jest w stanie określić "normalność" ich zachowania. W dalszej części zamieszczono wyniki prezentujące praktyczną zdolność do rozpoznawania naruszeń bezpieczeństwa w spotykanych w rzeczywistym świecie atakach na systemy informatyczne.
Content available remote Anomaly detection in network traffic
The authors of this paper faced the problem of detecting anomalies, understood as potential attacks in network traffic occurring on a document-signing computing cluster. In an infrastructure exposed to the public world, it is extremely difficult to distinguish traffic generated by users from traffic generated by a network attack. The solution the authors present, based on the collected data, determines whether the traffic from the selected sample originated from an attack or not, based on ready-made clustering algorithms. The performance of the following algorithms was compared: DBSCAN, LOF, COF, ECOD and PCA.
Autorzy niniejszej pracy stanęli przed problemem wykrywania anomalii, rozumianych jako potencjalne ataki, w ruchu sieciowym zachodzącym na klastrze obliczeniowym podpisującym dokumenty. W infrastrukturze wystawionej na ´swiat publiczny niezwykle trudno odróźnić ruch generowany przez użytkowników od ruchu generowanego w ramach ataku sieciowego. Rozwiązanie jakie autorzy przedstawiają na podstawie zbieranych danych określa, czy ruch z wybranej próbki powstał w wyniku ataku czy nie, na podstawie gotowych algorytmów grupowania. Porównano działanie następujących algorytmów: DBSCAN, LOF, COF, ECOD oraz PCA.
Obecnie proponowany hybrydowy system wykrywania ataków robaków sieciowych, a wykorzystujący techniki eksploracji danych jest w fazie budowy. Jednak argumenty przedstawione w artykule pozwalają przypuszczać, że proponowany system wykaże się wysoką skutecznością i precyzją w wykrywaniu robaków internetowych. Opisany model charakteryzuje się stosunkowo małą złożonością w fazie detekcji, a algorytmy w wiekszości charakteryzują się liniową złożonością, dlatego powinien sprawdzić się w rzeczywistych sieciach komputerowych jako system alarmujacy o atakach. Szczególna zaleta oferowana przez system jest wykrywanie nieznanych dotąd robaków sieciowych. Kolejna ważną cechą systemu okazuje sie fakt, że faza uczenia oraz faza detekcji trzonu aplikacji bazującego na technikach eksploracji danych, przebiega całkowicie automatycznie. Co więcej system może być trenowany w każdej sieci, przy założeniu, że przez czas uczenia ruch sieciowy będzie wolny od wszelkich nieprawidłowości.
Internet worms are a serious threat in today’s world. Most of conventional security systems do not protects users from zero-day worms which can cause many damage. This article presents the concept of data mining based worm detection hybrid system. It profiles the network traffic and detects anomalies in traffic behaviour. Proposed system analysis both payload and packet header. It first builds the traffic profile using attack-free data and next during detection phase it compares new data with previously created profile. Network traffic profiling is performed using data mining techniques like statistical analysis, clustering and classification.
Network models aim to explain patterns of empirical relationships based on mechanisms that operate under various principles for establishing and removing links. The principle of preferential attachment forms a basis for the well-known Barabási–Albert model, which describes a stochastic preferential attachment process where newly added nodes tend to connect to the more highly connected ones. Previous work has shown that a wide class of such models are able to recreate power law degree distributions. This paper characterizes the cumulative degree distribution of the Barabási–Albert model as an invariant set and shows that this set is not only a global attractor, but it is also stable in the sense of Lyapunov. Stability in this context means that, for all initial configurations, the cumulative degree distributions of subsequent networks remain, for all time, close to the limit distribution. We use the stability properties of the distribution to design a semi-supervised technique for the problem of anomalous event detection on networks.
Przedstawiona jest koncepcja wysoce zautomatyzowanego rozwiązania pozwalającego na wykrywanie w przemysłowym ruchu sieciowym sytuacji odbiegających od stanu normalnego (anomalii). Omówione są zastosowania klasycznych sieci bayesowskich i sieci Multi-Entity Bayesian Networks (MEBN) wraz z dyskusją ich stosowalności w praktyce. Prace ilustrują również możliwość wykorzystania istniejącego oprogramowania (na przykładzie systemu Snort) oraz kwestie wymaganych modyfikacji związanych z pracą w sieciach nie-IP.
The paper presents a concept of a highly automated solution allowing detection, in industrial network traffic, of situations differing from the normal state (anomalies). It describes the use of classical Bayesian networks and Multi-Entity Bayesian Networks (MEBN), together with a discussion of their applicability in practice. The work also illustrates the possibility of using existing software (taking Snort system as an example) and the required modifications related to the support for non-IP networks.
One of the key parameters of algorithms for anomaly detection is the metric (norm) applied to calculate the distance between every two samples which reflect its proximity. It is especially important when we operate on real-valued high dimensional datasets, i.e. when we deal with the problem of intruders detection in computer networks. As observed, the most popular Euclidean norm becomes meaningless in higher than 15-dimensional space. This means that other norms should be investigated to improve the effectiveness of real-valued negative selection algorithms. In this paper we present results for the following norms: Minkowski, fractional distance and cosine.
Jednym z kluczowych parametrów algorytmów wykrywania anomalii jest metryka (norma) służąca do obliczania odległości pomiędzy dwiema próbkami, która odzwierciedla ich podobieństwo. Jest ona szczególnie istotna w przypadkach operowania na zbiorach o wielu wymiarach takich, z jakimi mamy do czynienia w przypadku wykrywania intruzów w sieciach komputerowych. Zaobserwowano, że najczęściej stosowana norma euklidesowa staje się bezużyteczna w przestrzeniach o wymiarach większych niż 15. Oznacza to konieczność stosowania innych norm, które pozwoliłyby na zwiększenie skuteczności algorytmu selekcji negatywnej o wartościach rzeczywistych. W artykule prezentujemy wyniki uzyskane dla normy Minkowskiego, Lm, przy zmianach parametru m w zakresie (0, 2] oraz dla odległości kosinusowej.
Rozwój sieci komputerowych oraz teleinformatyki umożliwił zdobywanie wielkiej ilości danych. Istotna jest jednak wiedza z ich pomocą zdobywana. Jest to możliwe dzięki zastosowaniu eksploracji danych. Przedstawiono podstawowy podział metod eksploracji danych oraz rozliczne ich zastosowania w telekomunikacji. Wśród przykładów można miedzy innymi wyróżnić klasyczny problem filtracji wiadomości elektronicznych, należący do szerszej rodziny wykrywania zdarzeń niepożądanych czy segmentację rynku na potrzeby marketingowe.
The modern development of computer networks and teleinformatics has enabled the acquisition of great amounts of data. However, the discovered knowledge is important. This is possible through the use of data mining. The article presents the basic division of data mining methods and their numerous applications in telecommunications. Examples include, among others, the classic problem of filtering emails, belonging to a wider family of detecting adverse events, and market segmentation for marketing purposes.
The ARIMA method, time series analysis technique, was proposed to perform short-term ionospheric Total Electron Content (TEC) forecast and to detect TEC anomalies. The success of the method was tested in two major earthquakes that occurred in India (M 7.7 Bhuj EQ, on Jan 26, 2001) and Turkey (M 7.1 Van EQ, on Oct 23, 2011). For ARIMA analysis, we have taken 18 and 29 days of TEC data with a 2-h temporal resolution and train the model with an accuracy of 5.1 and 2.7–2.9 TECU for India and Turkey EQs, respectively. After training the model and optimizing hyper model parameters, we applied on 8 and 9 days’ time-window to observe anomalies. In Bhuj EQ, the negative anomalies are recorded on Jan 19 and 22, 2001. Similarly, positive anomalies are recorded on Jan 23, 24, and 25, 2001. In Van EQ, we recorded a strong positive anomaly on Oct 21, 2011, and in the consecutive days before the earthquake, some weak negative anomalies have also observed. The results showed that ARIMA has an adequate short-term performance of the ionospheric TEC prediction and anomaly detection of the TEC time series.
Wszechobecne ryzyko ataków teleinformatycznych sprawia, że poprawa jakości algorytmów wykrywania staje się sprawą najwyższej wagi. Technologia Granular Computing (GrC) daje nadzieję na nowy sposób polepszenia klasyfikacji ruchu sieciowego, wykrywania włamań i zmniejszenia wymogów obliczeniowych analizy ruchu sieciowego w czasie rzeczywistym. Niniejszy artykuł przedstawia podstawy Granular Computing, propozycję taksonomii oraz dyskusję przydatności technologii do uogólniania danych. Następnie zaprezentowany jest przegląd najnowszych zastosowań Granular Computing.
With the prevailing risk of cybersecurity breaches, improving the detection algorithms is of utmost importance. We look forward to Granular Computing as a novel, promising way to improve network traffic classification, intrusion detection and reduction in the computational cost of real time traffic analysis. In this paper, a quick primer on granular computing is offered, its properties of abstracting data are looked into. Consecutively, a survey of the most recent Granular Computing implementations, and our proposal for taxonomy is presented.
Analiza samopodobieństwa i wykrywania nieprawidłowości działania sieci stanowi interesujący problem dla naukowców na całym świecie. W artykule pokazano wykorzystanie współczynnika Hursta, jako parametru na podstawie którego można wykryć wszelkie anomalia pracy sieci. Odchylenia od wartości bazowej parametru Hursta w czasie pracy mogą sygnalizować nieprawidłowości działania. Badania mogą obejmować dowolny typ ruchu np. usługi HTTP.
Self-similarity analysis and anomaly detection in networks are interesting field of research and scientific work of scientists around the world. Simulation studies have demonstrated that the Hurst parameter estimation can be used to detect traffic anomaly – the Hurst values are compared with confidence intervals of normal values to detect anomaly in few kinds of traffic: HTTP protocol, email, SSL.
W ostatnich latach sztuczna inteligencja znajduje zastosowanie w wielu dziedzinach. Jedną z nich są również systemy wykrywania intruzów IDS (Intrusion Detection System). Dzięki zdolności generalizacji metody sztucznej inteligencji umożliwiają klasyfikację ataków nie tylko według nauczonych wzorców, ale również wszelkich ataków podobnych do nich oraz niektórych nowych typów. IDS stosujące takie metody mogą się również w sposób dynamiczny dostosowywać do zmieniającej się sytuacji w sieci (np. uczyć się nowych zachowań użytkowników lub nowych ataków). Ich zaletą jest to, że nie wymagają budowy skomplikowanych zbiorów reguł i sygnatur odrębnych dla każdej instancji ataków, ponieważ dane niezbędne do wykrycia ataku są uzyskiwane automatycznie w procesie nauki. Artykuł zawiera podstawowe pojęcia związane z systemami wykrywania włamań oraz przegląd wyników dotyczących zastosowania w IDS metod sztucznej inteligencji, takich jak: drzewa decyzyjne, algorytmy genetyczne, systemy immunologiczne, sieci Bayesa oraz sieci neuronowe.
Last years one of the most extensively studied field of research is artificial intelligence. It is used in many practical applications, one of them is Intrusion Detection Systems (IDS). Thanks to their generalization feature artificial intelligence methods allow to classify not only the learned attacks patterns but also their modified versions and some new attacks. They could dynamically adapt to changing situation in the network (eg., learn new users' behaviors or new attacks). Ań advantage of application of the artificial intelligence methods in IDS is that they do not require generation of the rule or the signature for each new instance of an attack because they automatically update the IDS knowledge in the learning phase. The first part of this paper includes basic information about intrusion detection system. In the next sections we present application in IDS such artificial intelligence methods like: decision trees, genetic algorithms, immunology systems, Bayes networks, and neural networks.
Detekcja potencjalnych anomalii występujących w szeregach czasowych napływających z pomiarów ciśnienia porowego i temperatury w wale przeciwpowodziowym może pozwolić na ocenę jego stabilności. Wykrywanie potencjalnych anomalii wykonano z wykorzystaniem szybkiej transformaty Fouriera, wykonując następnie modele Fouriera. Opracowano bazę danych do przechowywania danych rzeczywistych z pomiarów, przebieg analizy pozwalającej na wykrywanie potencjalnych anomalii oraz gotową aplikację napisaną w języku C pracującą na plikach wsadowych.
Detection of potential anomalies occurring in pore pressure and temperature time series from measurement in flood embankments, could assess an embankment stability. Analysis was perform using Fast Fourier Transform (FFT). An essential element of the work was a database development and creating a C applications.
Systemy wykrywania włamań (IDS - z angielskiego Intrusion Detection Systems) to mechanizm nadzorowania bezpieczeństwa pozwalający na wykrywanie nieautoryzowanych dostępów do systemów lub sieci. IDS jest zdolny do wykrywania wszystkich typów wrogiego ruchu sieciowego i wrogiego użycia komputerów. Podstawowe przykłady wykrywanych nadużyć to: - ataki sieciowe na podatne usługi; - wirusy zakodowanie w niewinnie wyglądających danych; - nieautoryzowane logowania, eskalacja uprawnień; - złośliwe oprogramowanie w skład, którego zalicza się trojany, dialery, backdoory i wiele innych. Systemy detekcji włamań dzielą się na sieciowe (NIDS) oraz hostowe (HIDS) systemy wykrywania nadużyć. System wykrywania włamań sieciowych jest dynamicznie monitorującą jednostką, która uzupełnia statyczne właściwości ochronne firewalla. Gromadzone przez system pakiety sieciowe są analizowane pod kątem występowania ataku. Identyfikacja określonego połączenia, jako nadużycia najczęściej sprowadza się do włączenia alarmu. W przypadku systemów hostowych mamy do czynienie z analizowaniem sekwencji komend lub wywołań programów na danej maszynie.
General aim of this article is to present whole domain of intelligent intrusion detection systems. An intrusion detection system is a software tool used to detect unauthorized access to a computer system or network. Intrusion detection is classified into the following four broad categories: signature-based detection, anomaly-based detection, compound detection and ontology-based detection. The second part ofthe article presents criterions for comparing intelligent methods. Defined set of criterions is used to compare six machine learning algorithms and some ensemble approaches in the domain of intrusion detection.
The paper presents results of spatial analysis of huge volume of AIS data with the goal to detect predefined maritime anomalies. The maritime anomalies analysed have been grouped into: traffic analysis, static anomalies, and loitering detection. The analysis was carried out on data describing movement of tankers worldwide in 2015, using sophisticated algorithms and technology capable of handling big data in a fast and efficient manner. The research was conducted as a follow-up of the EDA-funded SIMMO project, which resulted in a maritime surveillance system based on AIS messages enriched with data acquired from open Internet sources.
W artykule zaprezentowano wyniki przestrzennej analizy dużej ilości danych AIS z jednego roku w celu wykrycia wybranych anomalii morskich. Anomalie podzielono na trzy grupy: związane z ruchem, statyczne i wykrywanie tzw. loiteringu-każda z nich została przetestowana na podstawie raportów wysyłanych przez tankowce w 2015 roku. Analizę przeprowadzono przy użyciu zaawansowanych algorytmów i technologii big data pozwalających na szybką ocenę dużych wolumenów danych morskich. Badanie zostało przeprowadzone jako kontynuacja projektu SIMMO, w ramach którego opracowano system nadzoru morskiego oparty na wiadomościach AIS wzbogaconych o dane pozyskiwane z otwartych źródeł internetowych.
The paper describes and compares two forms of wavelet transformation: discrete (DWT) and continuous (CWT) in the analysis of electrocardiograms (ECG) to detect the anomaly. The anomalies have been limited to two types: cardiac and congestive heart failure. Two independent approaches to the problem have been considered. One is based on discrete wavelet transformation and feature generation based on statistical parameters of the results of the transformed ECG signals. These descriptors, after selection, are delivered as the input attributes to different classifiers. The second approach applies continuous wavelet transformation of ECG signals and the resulting two-dimensional image formed in time-frequency dimensions represents the input to the convolutional neural network, which is responsible for the generation of the diagnostic features and final classification. The experiments have been performed on the publically available database Complex Physiologic Signals PhysioNet. The calculations have been done in Python. The results of both approaches: DWT and CWT have been discussed and compared.
Artykuł predstawia dwa podejścia do wykrywania anomalii w sygnalach ECG. Jako anomalie rozważane są: arytmia i zastoinowa niewydolność serca. Podstawą analizy jest sygnał ECG poddany transformacji falkowej w dwu postaciach: transformacja dyskretna oraz transformacja ciągła. W przypadku transformacji dyskretnej sygnał ECG poddany jest dekompozycji falkowej na kilku poziomach a wyniki tej dekompozycji (sygnały szczegółowe i sygnał aproksymacyjny ostatniego poziomu) podlegają opisowi statystycznemu tworząc zbiór deskryptorów numerycznych – potencjalnych cech diagnostycznych. Po przeprowadzonej selekcji stanowią one atrybuty wejściowe dla zespołu 9 klasyfikatorów. W drugim podejściu sygnał ECG jest poddany ciągłej transformacji falkowej generując dwuwymiarową macierz w postaci obrazu. Zbiór takich obrazów podawany jest na wejście głębokiej sieci neuronowej CNN, która w jednej strukturze dokonuje jednocześnie generacji cech diagnostycznych i klasyfikacji. Eksperymenty numeryczne przeprowadzone zostały na ogólnie dostępnej bazie danych Complex Physiologic Signals PhysioNet. Wyniki eksperymentów wykazały przewagę podejścia wykorzystujacego dyskretną transformację falkową.
Rozpatrywany jest problem wykrywania anomalii na podstawie zarejestrowanych obserwacji zachowania systemu. Problem jest sformułowany jako zadanie rozpoznawania wzorców zachowania normalnego i zachowania nietypowego. Obydwa wzorce są określane przez wskazanie odpowiednich przykładów. Osobliwość rozwiązywanego zadania wynika z faktu, że zwykle liczebność przykładów jest dużo mniejsza od wymiaru wektora obserwacji. W artykule zostały przedstawione dwie metody detekcji anomalii bazujące na wyznaczaniu rzutów obserwacji na podprzestrzenie wzorców. Wyróżnikiem pierwszej metody jest wykorzystywanie odległości wektora obserwacji od podprzestrzeni wzorców. Druga metoda polega na przeniesieniu zadania rozpoznawania wzorców do podprzestrzeni wzorców.
The paper considers the issue of anomalies detection based on registered observations of a system behavior. The problem is formulated as recognition of normal and anomalous behavior patterns. Both types of patterns are identified by indication of appropriate examples. A peculiarity of this task is that usually the number of examples is far lower than the dimension of vectors describing the observations. Two methods to solve this task have been presented in the paper, based on projecting the observations on the subspace of examples. The first method is based on a distance of the observation vector from the subspace of examples. The second method is based on transferring the pattern recognition problem to the subspace of examples.
Content available remote Analiza statyczna pracy sieci komputerowej w środowisku LabVIEW
Analiza ruchu sieciowego oraz metod wykrywania nieprawidłowości pracy urządzeń sieciowych stanowi ciekawy problem dla analityków badających sieci komputerowe. Poprawna interpretacja anomalii oraz odpowiednia reakcja na nie może poprawić jakość działania sieci, zapobiec awarii lub skrócić jej czas. W artykule przedstawiono oryginalną aplikację utworzoną w środowisku LabVIEW, z zaimplementowanymi algorytmami do wyznaczania współczynnika Hursta, będącego miarą samopodobieństwa i określenia zależności długoterminowych oraz multifraktalności ruchu sieciowego. Celem aplikacji było zaimplementowanie znanych metod wyznaczania współczynnika Hursta metody statystyki R/S, metody wartości bezwzględnej oraz zagregowanej wariancji - jako aparatu statystycznego do określenia cech ruchu sieciowego. W badaniach wykorzystano wirtualną sieć testową, której model utworzono w środowisku OPNET Modeler. Przeprowadzona w programie analiza statystyczna wskazała, że poziom samopodobieństwa ruchu sieciowego zawiera się w przedziale od 0,5 do 1, zaś jego wartość przybiera wyższe wartości wraz z rosnącym wypełnieniem pasma sieci. Nieprzerwany ruch sieciowy o małym natężeniu (np. ruch typu VoIP) posiada samopodobieństwo porównywalne do szumu białego równe 0,5 co zaprezentowano w artykule.
Network traffic analysis and the network devices working anomaly detection methods is an interesting problem for analysts researching computer networks. Proper interpretation of the anomalies and appropriate response to it can improve the quality of the network, to prevent a failure or shorten. The paper presents an original application created in the LabVIEW environment, with implemented algorithms to determine the Hurst coefficient, which is a measure of self-similarity and determine the long-range dependencies and multifractal traffic. The aim of the application was to implement known methods of determining the Hurst coefficient, e.g. the R/S statistics method, the absolute value method and the aggregate variance method, as a statistical apparatus to determine the characteristics of network traffic. The study used a virtual test network which model was created in the OPNET Modeler environment. Carried out in the application the statistical analysis indicated that the level of network traffic self-similarity is in the range from 0.5 to 1, and it’s value becomes higher with increasing fulfillment of the network bandwidth. Uninterrupted network traffic with a low intensity (e.g. VoIP traffic type) has a self-similarity comparable to the white noise equal to 0.5 which is presented in the article.
This book presents the author’s contribution to the - widely understood - problem of threat detection. The concept proposed, utilised and developed by the author is based on an extensive use of the Bayesian networks. As an illustration of this concept, four different projects carried out by the author are presented. In each case the problem addressed by the project is one that lacked satisfactory solution and the approach presented by the author has important elements of novelty Although the developed methods place the projects in the field of computer science, the applications encompass various problems, belonging to the fields of computer science and electrical engineering. In particular, the problem of detecting malfunctions in a selected class of underground power lines and the problem of detecting intrusions in networked environments are covered. In each project the Bayesian networks play a prominent part, but their role is not identical. This varied material allowed the author to discuss the advantages and limitations of the Bayesian networks, develop means for alleviating their shortcomings and put forward suggestions for their most efficient use in threat detection systems. In one of the projects, a novel extension to the classic Bayesian networks - Multi-Entity Bayesian Networks - is employed and its usefulness evaluated, which places the project among the first attempts in the world to use this soft computing method in a real-life application.
Książka przedstawia wkład autora do - szeroko rozumianego - problemu wykrywania zagrożeń. Podejście zaproponowane, zastosowane i rozwijane przez autora oparte jest na wszechstronnym wykorzystaniu sieci bayesowskich. Ilustrację podejścia stanowią cztery różne projekty zrealizowane przez autora. W każdym przypadku dotyczą one problemu, który nie doczekał się wcześniej zadowalającego rozwiązania, a rozwiązanie przedstawione przez autora ma istotne elementy nowości. Aczkolwiek opracowane przez autora metody zawierają się w dyscyplinie naukowej informatyki, przedstawione praktyczne aplikacje obejmują zróżnicowaną problematykę, mieszczącą się w kręgu zainteresowań informatyki i elektrotechniki. W szczególności przedstawiony jest problem wykrywania nieprawidłowości w działaniu wybranej klasy podziemnych linii energetycznych oraz problem wykrywania włamań w środowiskach sieciowych. W każdym projekcie sieci bayesowskie odgrywają znaczącą rolę, ale rola ta nie jest w każdym przypadku identyczna. Ten zróżnicowany materiał pozwolił autorowi omówić zalety i ograniczenia sieci bayesowskich, opracować sposoby łagodzenia ich niedociągnięć i przedstawić propozycję ich najbardziej efektywnego wykorzystania w systemach wykrywania zagrożeń. W jednym z projektów zastosowane zostało i ocenione nowe rozszerzenie klasycznych sieci bayesowskich - Multi-Entity Bayesian Networks - co stawia projekt wśród pierwszych prób w skali światowej wykorzystania tej metody w rzeczywistych aplikacjach.
This work presents an original model for detecting machine tool anomalies and emergency states through operation data processing. The paper is focused on an elastic hierarchical system for effective data reduction and classification, which encompasses several modules. Firstly, principal component analysis (PCA) is used to perform data reduction of many input signals from big data tree topology structures into two signals representing all of them. Then the technique for segmentation of operating machine data based on dynamic time distortion and hierarchical clustering is used to calculate signal accident characteristics using classifiers such as the maximum level change, a signal trend, the variance of residuals, and others. Data segmentation and analysis techniques enable effective and robust detection of operating machine tool anomalies and emergency states due to almost real-time data collection from strategically placed sensors and results collected from previous production cycles. The emergency state detection model described in this paper could be beneficial for improving the production process, increasing production efficiency by detecting and minimizing machine tool error conditions, as well as improving product quality and overall equipment productivity. The proposed model was tested on H-630 and H-50 machine tools in a real production environment of the Tajmac-ZPS company.
Clinical notes that describe details about diseases, symptoms, treatments and observed reactions of patients to them, are valuable resources to generate insights about the effectiveness of treatments. Their role in designing better clinical decision making systems is being increasingly acknowledged. However, availability of clinical notes is still an issue due to privacy violation concerns. Hence most of the work done are on small datasets and neither the power of machine learning is fully utilized, nor is it possible to vaidate the models properly. With the availability of Medical Information Mart for Intensive Care (MIMIC-III v1.4) dataset for researchers though, the problem has been somewhat eased. In this paper we have presented an overview of our earlier work on designing deep neural models for prediction of outcomes and hospital stay for patients using MIMIC data. We have also presented new work on patient stratification and explanation generation for patient cohorts. This is early work targeted towards studying trajectories for treatment for different cohorts of patients, which can ultimately lead to discovery of low-risk models for individual patients to ensure better outcomes.
