JP2008545343A - 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 - Google Patents

全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 Download PDF

Info

Publication number
JP2008545343A
JP2008545343A JP2008519568A JP2008519568A JP2008545343A JP 2008545343 A JP2008545343 A JP 2008545343A JP 2008519568 A JP2008519568 A JP 2008519568A JP 2008519568 A JP2008519568 A JP 2008519568A JP 2008545343 A JP2008545343 A JP 2008545343A
Authority
JP
Japan
Prior art keywords
communication network
network traffic
traffic
anomaly
entropy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008519568A
Other languages
English (en)
Inventor
クロベラ,マーク
ラクヒナ,アヌクール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Boston University
Original Assignee
Boston University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Boston University filed Critical Boston University
Publication of JP2008545343A publication Critical patent/JP2008545343A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本発明は、通信ネットワークにおいて普通でないネットワークイベント又はネットワークアノマリーを検出、監視、又は分析するための方法及び装置並びに他の人のためにそのようにするビジネスに関する。本発明の実施形態は、多くの統計的及び数学的方法を適用することによって、ネットワークアノマリーを検出、監視、又は分析することができる。本発明の実施形態は、ネットワークアノマリーを検出、監視、又は分析する方法及び装置の両方を含む。これらは、分類と局在化を含んでいる。
【選択図】図1

Description

[関連出願との相互参照]
この出願は、2005年6月29日に双方共に出願された米国仮出願第60/694,853号及び第60/694,840号の35USC§119(e)による利益を主張し、そして両者の開示は参照によってここに完全に組み入れられる。
[連邦補助研究または開発に関する表明]
この発明は、部分的に全米科学財団による許可番号ANI−9986397及びCCR−0325701の支援によって開発された。
[発明の背景]
ネットワークアノマリー(変則)は、ネットワークにおける普通でないイベントであり、これは、ネットワークプロバイダ、ネットワークユーザ、ネットワークオペレータ、又は法執行事務所のような者にとって興味がある。ネットワークアノマリーは、正規のネットワークトラフィック状態、例えばネットワーク資源のブレークダウンの結果として非意図的に創生されることがある。ネットワークアノマリーはまた、ハッカーや、ネットワークにダメージを与えたりネットワークの性能を害するように行動する個人による悪意の攻撃によって意図的に創生されることがある。
典型的に、ネットワークアノマリーは、ネットワーク要素、例えばネットワークの単一リンク又は単一ルータからデータを収集することによって、監視又は分析される。そのようなデータ収集は、他のネットワークデータ又は他のネットワーク要素から分離した状態でなされる。換言すれば、ネットワークアノマリーの発見は、リンクレベルのトラフィック特性と密接に関係付けられている。
ネットワークアノマリーを監視又は分析するもう1つのアプローチは、ネットワークアノマリーをトラフィックボリュームの偏差として扱う。このアプローチは、可視的に際立ったネットワークアノマリーの検出を可能にするが、低レートのネットワークアノマリー(ワーム、ポートスキャン、小さなアウテージ(品質劣化)イベント、等々)は、トラフィックボリュームに基づくアプローチによっては検出されない。
ネットワークアノマリーを監視又は分析する更にもう1つのアプローチは、マニュアル法であり、この場合には1つのルールが創生される。このルールの一致又は違反は、ネットワークアノマリーに遭遇しているか否かを決定する。しかしながら、ルールベースの方法は、新規な、それまで見られていないアノマリーを検出することができない。
多くの現在の方法は、ネットワークアノマリーの各クラスに対し、ネットワークの一要素について、1つの解を与えるが、ネットワークの多要素について1つの解となるが好ましい。
[発明の簡単な要約]
本発明は、通信ネットワークにおいて普通でないネットワークイベント又はネットワークアノマリーを検出、監視、又は分析するための方法及び装置並びに他の人のためにそのようにするビジネスに関する。本発明の実施形態は、多くの統計的及び数学的方法を適用することによって、ネットワークアノマリーを検出、監視、又は分析することができる。本発明の実施形態は、ネットワークアノマリーを検出、監視、又は分析する方法及び装置の両方を含む。これらは、分類と局在化を含んでいる。
この発明は、ネットワークにおける普通でないイベント(アノマリー)を効率の良い連続的手法で検出及び分類するための一般的技法である。この技法は、全ネットワークトラフィックの複数の特徴(アドレス、ポート、等)の分布的特性を分析することに基づいている。このトラフィック特徴の分布的分析は、ネットワークアノマリーの、有意なクラスタ(集団)への分類について2つの鍵となる要素を持つ。
ネットワークトラフィックは、同時に複数のトラフィック特徴(アドレス、ポート、プロトコル、等)の分布について分析される。特徴分布を使用したアノマリー検出は、ボリュームベースの方法によっては検出され得ない低レートの重要なアノマリーを暴くことによる、高感度な増補ボリュームベースの検出である。
ネットワークトラフィックの特徴分布は、アノマリーに関する構造的知識を抽出するために創生される。このアノマリーの構造的知識は、アノマリーを、明瞭に区別される構造的及び語義的に有意なクラスタに分類することに使用される。アノマリーの分類は、教師なしアプローチによって達成されるので、アノマリーを類別することに人的介入や先験的知識は必要とされない。この教師なしアプローチは、この発明が、新規な(これまでに見られない)アノマリー(例えば、新しいワーム)を認識及び分類することを可能にする。
更に、この発明は、全ネットワークデータ、即ちネットワーク中の複数の資源から収集されたデータ、の複数の特徴を分析する。全ネットワーク分析は、ネットワークの全域にわたるアノマリーの検出を可能にする。全ネットワーク分析は、特徴分布分析と結合して、この発明が、全ネットワークアノマリーを検出及び分類することを可能にし、大部分が単一資源データのボリュームベースの分析である現在の方式による検出を増補する。
複数のネットワーク資源(即ち、ネットワークリンク、ルータ、等)から収集されたデータデータの体系的分析は、この発明の鍵となる特徴である。全ネットワークデータを強化することによって、この発明は、ネットワーク全体にわたることがあるアノマリーを含む広範囲なアノマリーを診断することが可能になる。診断は、アノマリーが存在する時刻の識別と、ネットワーク内のアノマリの位置の識別と、アノマリータイプの識別とを可能にする。
アノマリーは、悪用(攻撃、ワーム、等)から故意でないもの(設備不良、人的エラー、等)まで種々の理由で起こり得る。この技術は、各タイプのアノマリーに対する個々の点の解に制限されるものではない。その代わりに、アノマリーを、確立された正規の挙動からの実質的偏差として扱うことによって、この発明は、大集合の変則的イベントを診断するための一般的な解を提供する。
1つの実施形態は、ネットワーク要素によって扱われる通信ネットワークトラフィックに対応した少なくとも1つの次元を持つ時系列を形成し、その時系列をそれらのネットワーク要素に存在するいくつかの通信ネットワークトラフィックパターンに分解する点について説明する。
もう1つの実施形態は、ネットワーク要素によって扱われる通信ネットワークトラフィックに対応した少なくとも1つの次元を持つユニ又はマルチ変量モデルを形成し、その通信ネットワークトラフィックのパターンのアノマリーを検出する。
更にもう1つの実施形態は、通信ネットワークトラフィックの特徴の偏差を見出す。
更にもう1つの実施形態は、通信ネットワークトラフィック特徴の分布を少なくとも発生し、通信ネットワークトラフィック特徴のエントロピーを推定し、通信ネットワークトラフィック特徴のエントロピーのしきい値を設定し、そして通信ネットワークトラフィック特徴のエントロピーが通信ネットワークトラフィック特徴のエントロピーの設定されたしきい値とは異なると見出された場合に、通信ネットワークトラフィック特徴を変則的であると指摘する。
この発明のこれら及び他の特徴は、以下、詳細な説明及び添付の図面において説明される。
[発明の詳細な説明]
本発明は、通信ネットワークにおいて普通でないネットワークイベント又はネットワークアノマリーを検出、監視、又は分析するための方法及び装置に関する。本発明の実施形態は、ネットワークアノマリーを検出、監視、又は分析する具体的な統計的技法を説明するが、他の既知の手法も使用可能である。本発明の実施形態は、ネットワークアノマリーを検出、監視、又は分析する方法及び装置の両方を含む。ここで使用されているように、全ネットワークという用語は、データ収集の基礎に適用されるときに、少なくともネットワークの実質的部分を意味して、データがアノマリー検出及び分析で有意となるようにする。
図1は、通信ネットワーク100を描いている。この通信ネットワーク100は、ルータ、サーバ等を持つノードa〜mのようなネットワーク要素を有する。トラフィックの流れの図解がルート118によって示されている。ネットワーク要素は、容量、フォーマット等の特徴が同様又は極めて異なるネットワークリンク102によって接続されている。与えられたネットワークでは、より多くの又はより少ないネットワーク要素とネットワークリンクがある。事実インターネットの世界では、これは現実の単純化された描写である。
1つの図解として、ネットワークノードjは、サブネットワーク、LAN(ローカルエリアネットワーク)、パーソナルコンピュータ、及びモバイルエージェントを持つ、低レベル通信ネットワークで構成されているように示されている。そのような低レベル通信ネットワークは、ネットワーク要素104によって表されるように、範囲、サーバ、ルータ又は他の手段が同様又は異なることがある(サブ)ネットワーク要素106で構成されている。これらは、この技術分野では既知であるように、ネットワークリンク108を持つ。各サブネットワーク要素は典型的に同様又は明瞭に区別されるパーソナルコンピュータ120、又はモバイルエージェント122で構成される。これらは、ワイヤレス又は通常のネットワークリンク110によってリンクされる。
そのネットワーク内の1つの計算設備124は、この発明のプログラミング112を、媒体114を介してアップロードして、この発明で使用されるデータに対するデータマイニング及び/又は分析を遂行することに使用され得る。この発明の分析は、そこでデータ116についてなされる。このデータは、ノード又は他の要素からパス130又は別の場所を経由して受信されたものである。別の場所とは、例えばそのデータ116が送信されるプロセッサ120である。そのようにデータを得ることが可能である場合には、そのデータへのアクセスはネットワークの手中にある。サードパーティが分析を実行している場合には、アクセス許可が必要とされる。
ここで留意されるべき点は、上記の説明は、通信ネットワーク100の図解的アーキテクチュアに対するだけのものである、ということである。通信ネットワーク100の成分のいずれかがより多いかより少ないこともあり得る。また、与えられたネットワーク要素及び与えられたネットワークリンクに対して、より低いレベルの多くの層があり得る。
図2A〜2Cは、通信ネットワーク100のトラフィック118等を監視するための方法を描いている。この監視は、ネットワーク全体を通してデータにアクセスすることを必要とする。そして、そのようなものとして、各ノードa〜mは、監視用プロセッサ(単数又は複数)にアクセス許可を与えなければならないか、与える必要がある。多量のデータは、このステップで収集され、そして典型的にはマトリクス形に組織化される。1以上の処理ステーション124を含むことができる収集マシン(単数又は複数)は、この目的のために使用される。
この発明を実施する場合、ステップ202で、時系列を形成するプロセスが開始される。この時系列は、通信ネットワーク100のトラフィックに対応した少なくとも1つの次元を、いくつかのネットワーク要素、例えばいくつかの期間の各々に対するフロー118におけるネットワークノードに持つものである。これらの要素は、この図解の目的のために、ソースと称される。ステップ202では、時系列用のデータは、いくつかのネットワーク要素ノードa〜mに存在する通信ネットワーク100のいくつかのトラフィックパターンに分解される。要素206は、このデータのマトリクス208に分解された後の数学的形態を描いて、時系列を表している。
マトリクス208は、各列に対して別々のソースを持ち、そして各行は、データが収集された1つの期間にわたってデータ収集される。データは、そのようなネットワークトラフィックの変数に関する情報を、トラフィックのバイトの数、パケットの数、及びレコードの数として含んでいる。データは、各ノード内において、各リンクのトラフィック及びポートアドレス、例えばPC110を搬送することに使用されるインターネットプロバイダ(IP)の情報を含んでいる。データは、多数の特徴、例えば発信元IP及び発信元ポートや、宛先IP及び宛先ポートを明らかにする。このデータの全ては、ネットワークトラフィックのブロック内で利用可能である。それは、リンク単位、即ち、起終点OD単位で収集される。
図2Bにおいて、マトリクス208はステップ212で処理され、各ソースに対するレベルを期間毎に見ることによって、共通パターンを経時的に抽出する。このことから、正規のパターンは抽出される。残りのパターンは、変則的と考えられる。正規のパターンは典型的に、ボリューム循環を規則的な時間、例えば24時間にわたって示す(図2H)。これらのタイプがデータから全体として抽出されるときに、残りのデータは、ランダムに近い分布を示すが、ボリュームピーク(図2Iの230)は、疑わしい又は識別されたアノマリーにある。
これは、期間毎に行われ、その結果ステップ214は、マトリクス208内の全ての期間を通して歩進することに使用される。各繰り返しにおいて、ステップ214は、各期間のソースデータの組全体がしきい値よりも高い(正常)か、低い(変則の可能性)かを判定する。このしきい値は、プリセットされるか、データマイニングの結果から経時的に更新される。
ボリューム数が1期間でしきい値を超えたときに、処理は図2Cのステップ216に移って、疑わしい各アノマリーが仮説プロセスによって評価される。仮説プロセスでは、一致を見つけようとして、多数の可能なサイトがテストされる。この結果、位置について一致を見つけるサブステップか、最もありそうな不一致を識別するサブステップのいずれかを生じる。
ステップ218は、正常トラフィックにおける疑わしいソースのボリュームとアノマリーボリュームとを比較することによって、ステップ216で見つけられたアノマリーを分析する。これは、そのソースにおけるアノマリーに対して、バイト、パケット又はレコードの数の値を与えることになる。そこから、ステップ220は、許可されたユーザにアノマリーの時刻、位置及び量を与える。ステップ220から、ステップ222は、次の期間の評価をするために、処理をステップ214に戻す。
正常及び変則トラフィックの分布のボリューム差が、図2D〜2Gに示されている。図2D〜2Eは、正常トラフィックパターンを、検出されたポケット、バイト(ポケット内容)又はフローの関数及びポートの関数としてそれぞれ示している。図2F〜2Gは、同じデータソースについて変則トラフィックを示している。図2H及び2Iは、正常トラフィックの検出された周期的挙動(2H)と、疑わしいアノマリーのある残りのスパイク230を持つランダムな性質(2I)とを示している。
この点に数学的に達するために、ある形の次元分析が典型的に使用される。この発明で使用される1つの形は、以下で説明されるPCA(主成分分析)である。
PCAは、データ点の与えられた組を新しい軸上にマッピングする座標変換法である。これらの軸は、主軸又は主成分と呼ばれる。ゼロ平均データを扱うとき、各主成分は、既に先行する成分で分散が説明されている場合には、そのデータに残存する最大分散の方向を指す特性を持つ。そのようなものとして、最初の主成分は、単一軸上で可能な最大級までデータの分散を捕捉する。次の主成分は、それから各々残る直交方向の最大分散を捕捉する。
我々は、PCAを我々のリンクデータマトリクス208に適用し、Yの各行を扱う。Yを調節して、その列がゼロ平均を持つようにする必要がある。このことにより、PCA次元が真の分散を捕捉し、そして平均リンク利用の差に起因する歪んだ結果を回避することを確実にする。Yは、平均中心的リンクトラフィックデータを示す。
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
部分空間法は、主軸を、トラフィックの正常及び変則的な変化に対応した2つの組に分離することによって機能する。正規の軸の組によって跨がれる空間は、正規の部分空間Sであり、また変則的な軸によって跨がれる空間は、変則的な部分空間Sである。このことは、図2Jに示されている。
データのUx投影は、有意な変則的挙動を呈する。トラフィック“スパイク”230は、アノマリーによって誘導された可能性のある、普通でないネットワーク状態を示す。部分空間法は、そのようなデータの投影を、変則的部分空間に属するものとして扱う。
2つのタイプの投影を正常及び変則的な組に分離することに、種々の処置が適用され得る。典型的及び非定型的な投影間の差を調べることに基づいて、単純なしきい値ベースの分離法が実際に良く機能する。この分離処置は、各主軸上への投影を、予測される最大広がりから最小広がりまで順に調べる。しきい値を超える(例えば、平均から3σの偏差を含む)投影が見つかるや否や、その主軸と全ての後続する軸は、変則的部分空間に割り当てられる。それから、全ての先行する軸は、正規の部分空間に割り当てられる。この処置の結果、主成分は正規の部分空間に早めに配置されることになる。
Figure 2008545343
ボリュームアノマリーを検出及び識別するために用いられた方法は、多変数プロセス制御における部分空間ベースの間違い検出用に開発された理論から得られたものである。
リンクトラフィックにおけるボリュームアノマリーの検出は、任意の時間ステップにおけるリンクトラフィックyを、正常及び変則的成分に分離することを使用する。これらは、yのモデル化された部分及び残りの部分である。
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
ネットワークトラフィックは、次の場合には正常である。
Figure 2008545343
Figure 2008545343
Figure 2008545343
但し、
Figure 2008545343
Figure 2008545343
この設定において、1−α信頼限界は、この結果が導き出された仮定が満たされるならば、間違い警報レートαに対応する。Q統計値に対する信頼限界は、サンプルベクターyが多変数ガウス分布に追従するという仮定の下で導き出される。しかしながら、元のデータの根元的分布がガウス分布と実質的に異なるときのQ統計値は、それほど変化しない、という点が指摘される。
部分空間フレームワークでは、ボリュームアノマリーは、状態ベクターyの、Sからの変位を表す。この変位の特別な方向は、アノマリーの性質に関する情報を与える。アノマリー識別に対するアプローチは、潜在的アノマリーの組のどのアノマリーが、正規の部分空間Sからのyの偏差を最も記述可能であるかを問うことである。
全ての可能なアノマリーの組は、{Fi,i=1,...,I}である。この組は、できるだけ完全になるように選択されるべきである。何故ならば、それは、識別され得るアノマリーの組を規定するからである。
図解を単純化するために、1次元のアノマリー、即ち付加的なリンク当たりのトラフィックが単一変数の線形関数として記述され得るアノマリーだけが考慮されている。このアプローチを多次元のアノマリーに一般化することは、以下に示されているように、簡単なことである。
それから、各アノマリーFは、このアノマリーがネットワーク中の各リンクにトラフィックを加える手法を規定する関連ベクターθを有する。θが単位ノルムを持つものと仮定すると、アノマリーFの存在下で、状態ベクターyは次のように表される。
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
Figure 2008545343
かくして、以上のことをまとめると、識別アルゴリズムは、次のものから構成される。
Figure 2008545343
特別なボリュームアノマリーFiの推定値により、このアノマリーを構成するバイトの数は推定される。選択されたアノマリーFiに起因する各リンク上の変則的トラフィックの推定された量は、次のように与えられる。
Figure 2008545343
Figure 2008545343
アノマリーがODフローの組によって規定される現在の場合、我々の定量化は、Aに依存する。我々は、Aを使用してルーティングマトリクスを示す。このルーティングマトリクスは、Aの各列が単位和を持つように、即ち次のように正規化されている。
Figure 2008545343
それから、アノマリーFiの識別が与えられると、我々の定量化推定値は、次のようになる。
Figure 2008545343
Figure 2008545343
上述の原理は、この発明のもう1つの形態にも使用されて、トラフィックフローデータの多特徴(多手法)、多ソース(多変数)分布を生成する。このプロセスは、図3Aのステップ310において、全ネットワークの複数の特徴にわたり且つ複数のソースに対してデータを収集することによって開始する。ステップ340では、データは3Dマトリクス形に組織化される。そのようなものの一例が図3Cに示されている。ここで、一連のマトリクス332が、各特徴に1つの割合で形成される。このマトリクス形は、ソースのOD対又はリンクを有する。これは、期間の数に対し各列に1つの割合で、各行に1つの割合で存在する。本発明の例では、これらの特徴は、発信元IP、発信元ポート、宛先IP及び宛先ポートである。他の特徴又はより少ない特徴が使用されることもある。
図3Dは、各マトリクス要素に対するデータの組を示している。これは、マトリクス332が実際には3次元であって、各マトリクス位置が一連のデータ点334を持つことを意味する。かくして、それは、ソース対期間のデータを示す上記のマトリクスに似ている。
図3Aのステップ344において、このデータは、各特徴分布を特徴付けるプロセス、この例ではエントロピーメトリックによって統計的に低減され、状態346の結果を与える。この結果、以下で論じられる図3Gに示された3Dマトリクス336の組が生じる。エントロピーメトリックは、次の式を用いて、各データ点を処理する。
Figure 2008545343
ここで、iは、n回起こり、またSは、マトリクス内の観察の総数である。図3Gの状態360における新しいマトリクス336は、同様に3D特性を持つ。
エントロピーメトリックによる2つの異なる分布の統計的単純化のプロセスが図3E及び3Fに示され、高及び低エントロピー特徴を描いている。分布ヒストグラムが分散されているとき(図3E)、ヒストグラムのエントロピー要約は高い。また、ヒストグラムが歪んでいるか、図3Fのように一握りの値に集中されているときは、ヒストグラムのエントロピー値は小さい。
後続のステップ338において、マトリックス336は、大きな2Dマトリクス342に“アンラップされる”。この大きな2Dマトリクスでは、各マトリクス336の行が、特徴から特徴へ連続することにより、長い行、例えば図3Gの行348に組み立てられている。図3Gでは、特徴は例示的あって、発信元IPアドレス及びポート並びに宛先IPアドレス及びポートを形成する。
マトリックス342は、それからステップ350及び352において、前述した原理に基づく部分空間クラスタ化技法によって処理される。これは、反復プロセスであって、ステップ352の処置を繰り返し歩進して、ステップ370及び380を経由するループを作る。
各検出されたアノマリーに対するアノマリー分類プロセスのステップ354において、残りの成分は、各々Kの特徴であると判明される。検出されたアノマリーは、マトリクス340内の特徴の各々に対し1つの割合となる、“K”数の組を生じる。K数は、K次元空間内の点を表すので、ステップ356においてそのように扱われる。即ち、K数は、K空間内のK軸に沿った位置として扱われ、それらは、ステップ358において、そのようにプロットされる。このプロットは、プロセッサ120のようなプロセッサと、関連するデータベースの中で起こる。
クラスタ化技法は、それからステップ360で適用されて、接近用しきい値に従って互いに接近したものとされる点のクラスタを識別する。そのようなしきい値用の値は、データ点から直接決定され、そしてまた使用プロセスからの学習の一部として、より正確な結果を求めて経時的に調整される。クラスタ化は、より低い次元の空間内で、例えば、それらを図3Hのように2D空間上に投影するように、実施されることがある。
図3Hのような結果としてのクラスタ(K=2次元の例が362に示されている)は、ルールによって解釈される。このルールは、最初はマニュアルな観察に関する知識によって確立されて、1つの領域を、アノマリーの人に親切な説明に相関付けるものである。1つの例は、“高い残り宛先IPエントロピー及び低い残り宛先ポートエントロピーの範囲に入るアノマリーは、ワームスキャンである”。図3Iは、実ネットワークトラフィックについてこの発明の評価によって得られた実際のデータ及びその解釈の表を示している。この表は、上述した4つの特徴について、いかにしてエントロピーメトリックレベル(−は低い、+は高い)が、図に示された種々のアノマリータイプ(複数のラベル)として解釈されるクラスタ化位置を規定するのかを示している。このことにより、クラスタ化中に特徴として位置が加えられたときに、アノマリー分類が達成されることが可能になる。本発明は、分類と局在化を同時に許容する。分離され得る他のアノマリータイプには、内容分布、ルーティングループ、トラフィックエンジニアリング、オーバーロードが含まれる。この発明は、上記以外の、又はクラスタ化ベースのアプローチを使用したこれまでに知られているもの以外のアノマリータイプにスポットを当てる。このことは、新しいヘットワークアノマリータイプの識別に対する教師なし学習アプローチを与える。
このようにして、この発明を承諾又は使用する種々のネットワーク用サービスプロバイダ(例えば、サービスプロバイダネットワークやケーブルプロバイダ)は、アノマリーを扱ったり、その能力の購入者に保証を与える改善工程をとることが可能である。このことにより、それらのサービスを潜在的に更にアピール性の高いものにすることができる。プロバイダはまた、独立したアナリストにネットワーク要素への必要なアクセスを与えることによって、この機能を彼らと契約し、これにより新しいビジネス機会を創生することができる。
この発明は、サービスプロバイダネットワークで使用されるものとして説明されてきたが、他のタイプのネットワーク、例えば輸送ハイウエイネットワーク、郵便サービスネットワーク、及びセンサネットワークでも等しく使用され得る。
この発明でアノマリー検出するためのデータソース用に使用される全ネットワークを描いている。 この発明の1つの形態によるネットワークデータの処理を描いている。 この発明の1つの形態によるネットワークデータの処理を描いている。 この発明の1つの形態によるネットワークデータの処理を描いている。 この発明を理解するに有用な分布である。 この発明を理解するに有用な分布である。 この発明を理解するに有用な分布である。 この発明を理解するに有用な分布である。 この発明によって得られた、正規のネットワーク通信トラフィックを示すデータを描いている。 この発明によって得られた、変則的なネットワーク通信トラフィックを示すデータを描いている。 2次元にわたるデータのクラスタ化を描いている。 この発明の別の形態によるネットワークデータに関する処理を描いている。 この発明の別の形態によるネットワークデータに関する処理を描いている。 この発明で創生された複数の特徴に対するデータの多次元マトリクスを描いている。 図3Cのマトリクスについてのマトリクス内容を描いている。 この発明によるエントロピーメトリックを使用した結果を描いている。 この発明によるエントロピーメトリックを使用した結果を描いている。 この発明で実行されたマトリクスアンラップ操作を描いている。 この発明で実行されたクラスタ化の結果を描いている。 この発明により特徴付けられたアノマリーについての例示的な表である。
符号の説明
a〜m ノード
100 通信ネットワーク
102 ネットワークリンク
104 ネットワーク要素
106 (サブ)ネットワーク要素
108 ネットワークリンク
110 ネットワークリンク
112 プログラミング
114 媒体
116 データ
118 ルート
120 パーソナルコンピュータ
122 モバイルエージェント
124 計算設備
130 パス

Claims (75)

  1. 通信ネットワークトラフィックを監視するための方法であって、
    複数のネットワーク要素上の通信ネットワークトラフィックを集合的に特徴付ける複数の時系列を形成する工程と、
    複数の時系列を複数のネットワーク要素の少なくとも2つに存在する少なくとも1つの通信ネットワークトラフィックパターンに分解する工程と
    を備えることを特徴とする方法。
  2. 複数の時系列は、データストリームからのものである請求項1に記載の通信ネットワークトラフィックを監視する方法。
  3. 複数の時系列は、複数のソースで形成される請求項1に記載の通信ネットワークトラフィックを監視する方法。
  4. 通信ネットワークトラフィックを監視するための方法であって、
    複数のネットワーク要素上の通信ネットワークトラフィックを時間によって集合的に特徴付ける複数の時系列を形成する工程と、
    複数の時系列を複数のネットワーク要素の少なくとも1つに存在する少なくとも1つの通信ネットワークトラフィックパターンに時間によって分解する工程と
    を備えることを特徴とする方法。
  5. 前記複数の時系列は、複数のネットワーク位置における通信ネットワークトラフィックに対応したデータによって形成される請求項1に記載の方法。
  6. 前記分解する工程は、前記時系列について主成分分析を実施する工程を含む請求項5に記載の方法。
  7. 複数のネットワーク要素内に存在する正規の通信ネットワークトラフィックパターンを表すデータモデルを構築する工程を更に備える請求項1に記載の方法。
  8. 前記構築する工程は、正規の通信ネットワークトラフィックの低次元近似を形成する工程を含む請求項7に記載の方法。
  9. 前記構築する工程は、前記時系列から、通信ネットワークトラフィック情報の一部分を表す少なくとも1つのパターンを抽出する工程を更に含む請求項8に記載の方法。
  10. 前記構築する工程は、前記時系列から、その一部分をエントロピーによって測定されたものとして表す少なくとも1つのパターンを抽出する工程を更に含む請求項8に記載の方法。
  11. アノマリーを検出する工程を更に備える先の請求項1〜10のいずれかに記載の方法。
  12. 前記アノマリーを検出する工程は、通信ネットワークトラフィックのデータフローを推定する工程を含む請求項11に記載の方法。
  13. 前記検出する工程は、少なくとも1つのパケットを計数する工程を含む請求項11に記載の方法。
  14. 前記検出する工程は、パケット内容を処理する工程を含む請求項13に記載の方法。
  15. 前記検出する工程は、前記アノマリーのタイプを検出する工程を含む請求項11に記載の方法。
  16. 前記検出する工程は、正規のネットワークトラフィックとは別の残りの通信ネットワークトラフィックを識別する工程を含む請求項11に記載の方法。
  17. 前記分析する工程は、前記残りの通信ネットワークトラフィックが統計的しきい値を超える時期を決定する工程を含む請求項16に記載の方法。
  18. 前記決定する工程は、前記アノマリーを、アノマリーによって影響される1以上のネットワーク要素に局在化する工程を含む請求項17に記載の方法。
  19. 前記局在化する工程は、前記アノマリーを、適合を見つけるために、少なくとも1つの学習された仮説と比較する工程を含む請求項18に記載の方法。
  20. 通信ネットワークトラフィックの特徴に偏差を見い出す工程を更に備える先の請求項1〜19のいずれかに記載の方法。
  21. 見い出す工程は、エントロピーを使用して、トラフィック特徴の分布を1つの数に要約する工程を含む請求項20に記載の方法。
  22. 特徴偏差を局在化する工程を更に含む請求項20に記載の方法。
  23. 前記分解する工程は、クラスタ化する工程を含む先の請求項1〜22のいずれかに記載の方法。
  24. 通信ネットワークトラフィックを分析するための方法であって、
    複数のネットワーク要素上の通信ネットワークトラフィックに対応した少なくとも1つの次元を有する1以上のソースからの1以上のデータタイプからモデルを形成する工程と、
    通信ネットワークトラフィックのモデル内のパターンとしてアノマリーを検出する工程と
    を備えることを特徴とする方法。
  25. 前記検出されたアノマリーパターンは、DoS攻撃、ワームスキャン、ポートスキャン、フラッシュクラウド、内容分布、大トラフィックシフト、オーバーロード、アウテージイベント、ルーティングループ、トラフィックエンジニアリングからなる群において1以上のアノマリーを特徴付けるパターンである請求項24に記載の方法。
  26. 前記パターンは、予め知られていないパターンである請求項24に記載の方法。
  27. 検出する工程は、通信ネットワークトラフィックのデータフローを推定する工程を含む請求項24に記載の方法。
  28. 検出する工程は、少なくとも1つのパケットを計数する工程を含む請求項24に記載の方法。
  29. 検出する工程は、パケット内容を処理する工程を含む請求項28に記載の方法。
  30. 検出する工程は、前記アノマリーのタイプを検出する工程を含む請求項24に記載の方法。
  31. 検出する工程は、正規のネットワークトラフィックとは別の残りの通信ネットワークトラフィックを識別する工程を含む請求項24に記載の方法。
  32. 分析する工程は、前記残りの又は前記正規の通信ネットワークトラフィックのいずれかが統計的しきい値を超える時期を決定する工程を含む請求項31に記載の方法。
  33. 前記決定する工程は、前記アノマリーを、アノマリーによって影響される1以上のネットワーク要素に局在化する工程を含む請求項32に記載の方法。
  34. 局在化する工程は、前記アノマリーを、適合を見つけるために、少なくとも1つの所定の仮説と比較する工程を含む請求項33に記載の方法。
  35. 通信ネットワークトラフィックの特徴に偏差を見い出す工程を更に備える請求項24〜34のいずれかに記載の方法。
  36. 前記見い出す工程は、エントロピーを使用して、分布を1つの数に要約する工程を含む請求項35に記載の方法。
  37. 特徴の偏差を、アノマリーによって影響される1以上のネットワーク要素に局在化する工程を更に含む請求項35に記載の方法。
  38. 前記検出する工程は、クラスタ化する工程を含む先の請求項24〜37のいずれかに記載の方法。
  39. 通信ネットワークのアノマリーを検出するための方法であって、
    通信ネットワークトラフィックの複数の特徴から決定されるパターンに偏差を見出す工程を備えることを特徴とする方法。
  40. 前記パターン偏差は、DoS攻撃、ワームスキャン、ポートスキャン、フラッシュクラウド、内容分布、大トラフィックシフト、オーバーロード、アウテージイベント、ルーティングループ、トラフィックエンジニアリングからなる群において1以上のアノマリーを特徴付けるパターンである請求項39に記載の方法。
  41. 前記パターンは、予め知られていないパターンを表す請求項40に記載の方法。
  42. 偏差を見出す工程は、発信元アドレス、宛先アドレス、アプリケーションポート、及びプロトコル情報の特徴を含む特徴の組から偏差を見出す請求項39に記載の方法。
  43. 偏差を見出す工程は、通信ネットワークトラフィックのデータフローを推定する工程を含む請求項39に記載の方法。
  44. 偏差を見出す工程は、少なくとも1つのパケットを計数する工程を含む請求項39に記載の方法。
  45. 偏差を見出す工程は、パケット内容を処理する工程を含む請求項44に記載の方法。
  46. 偏差を見出す工程は、前記アノマリーのタイプを検出する工程を含む請求項39に記載の方法。
  47. 偏差を、影響を受ける要素に局在化する工程を更に含む請求項39に記載の方法。
  48. 前記偏差を見出す工程は、クラスタ化する工程を含む先の請求項39〜47のいずれかに記載の方法。
  49. 通信ネットワークトラフィックを監視するための方法であって、
    通信ネットワークトラフィック特徴の分布を少なくとも発生する工程と、
    分布のエントロピーを推定する工程と、
    通信ネットワークトラフィック特徴のエントロピーがエントロピーのしきい値とは異なる場合、通信ネットワークトラフィック特徴を変則的であると指摘する工程と
    を備えることを特徴とする方法。
  50. 前記分布のエントロピーのしきい値をネットワークトラフィック履歴から確立する工程を更に備える請求項49に記載の方法。
  51. 前記ネットワークトラフィック特徴は、発信元IP、宛先IP、発信元ポート、宛先ポート、及び通信プロトコルの1以上からなる群から選択される請求項49に記載の方法。
  52. エントロピーを推定する工程は、通信ネットワークトラフィック特徴分布のエントロピーを通信ネットワークの単一要素に対して推定する工程を更に含む請求項49に記載の方法。
  53. エントロピーを推定する工程は、エントロピーが特徴分布内で高いか低いかを識別する工程を更に含む請求項49に記載の方法。
  54. 通信ネットワークトラフィック特徴のエントロピーを推定する工程は、マトリクス操作を更に含む請求項49に記載の方法。
  55. エントロピーを推定する工程は、時間の間隔に関する分布のエントロピーの推定を更に含む請求項49に記載の方法。
  56. アノマリー検出用の方法であって、
    複数のタイプ及び複数のソースに対応するネットワーク通信トラフィックのモデルを形成する工程と、
    前記モデルから1つのパターンを抽出する工程と、
    アノマリーを識別するために前記パターンにしきい値を設定する工程と
    を備えることを特徴とする方法。
  57. ネットワーク通信トラフィックを特徴付けるための方法であって、
    ネットワーク通信トラフィックの複数の特徴に関するデータをクラスター化する工程と、
    前記ネットワーク通信における正規のトラフィック状態を識別するために、そのモデルを形成する工程と
    を備えることを特徴とする方法。
  58. ネットワーク通信トラフィックを特徴付けるための方法であって、
    ネットワーク通信トラフィックの複数の特徴に関するデータをクラスター化する工程と、
    前記ネットワーク通信における変則的なトラフィック状態を識別するために、そのモデルを形成する工程と
    を備えることを特徴とする方法。
  59. 1以上のサービスプロバイダによって通信が提供されるネットワークにおいて、プロバイダの顧客に対するサービスを安全なものにする方法であって、
    請求項8〜58のいずれかの方法を実行する工程と、
    検出されたアノマリーを局在化する工程と
    を備えることを特徴とする方法。
  60. 前記ネットワークを通してデータへのアクセスを得る工程を更に備える請求項59に記載の方法。
  61. 通信ネットワークトラフィックの複数の特徴から決定されるパターンからしきい値を決定する請求項39に記載の方法。
  62. 先の請求項1〜61のいずれかに記載の方法を実行するための処理命令が符号化されていることを特徴とする装置。
  63. 前記符号化は、媒体の1以上の要素についてなされる請求項62に記載の装置。
  64. 前記符号化は、1以上のプロセッサにおいてなされるものであり、そしてこのように符号化された1以上のプロセッサは、前記方法を実行するように動作するものである請求項62に記載の装置。
  65. 通信ネットワークトラフィックを監視するための装置であって、
    複数のネットワーク要素上の通信ネットワークトラフィックを集合的に特徴付ける複数の時系列を形成する手段と、
    複数の時系列を複数のネットワーク要素の少なくとも2つに存在する少なくとも1つの通信ネットワークトラフィックパターンに分解する手段と
    を備えることを特徴とする装置。
  66. 複数の時系列は、データストリームからのものである請求項65に記載の通信ネットワークトラフィックを監視するための装置。
  67. 複数の時系列は、複数のソースで形成される請求項65に記載の通信ネットワークトラフィックを監視する装置。
  68. 通信ネットワークトラフィックを監視するための装置であって、
    複数のネットワーク要素上の通信ネットワークトラフィックを時間によって集合的に特徴付ける複数の時系列を形成する手段と、
    複数の時系列を複数のネットワーク要素の少なくとも1つに存在する少なくとも1つの通信ネットワークトラフィックパターンに時間によって分解する手段と
    を備えることを特徴とする装置。
  69. 通信ネットワークトラフィックを分析するための装置であって、
    複数のネットワーク要素上の通信ネットワークトラフィックに対応した少なくとも1つの次元を有する1以上のソースからの1以上のデータタイプからモデルを形成する手段と、
    通信ネットワークトラフィックのモデル内のパターンとしてアノマリーを検出する手段と
    を備えることを特徴とする装置。
  70. 通信ネットワークのアノマリーを検出するための装置であって、
    通信ネットワークトラフィックの複数の特徴から決定されるパターンに偏差を見出す手段を備えることを特徴とする装置。
  71. 通信ネットワークトラフィックを監視するための装置であって、
    通信ネットワークトラフィック特徴の分布を少なくとも発生する手段と、
    分布のエントロピーを推定する手段と、
    通信ネットワークトラフィック特徴のエントロピーがエントロピーのしきい値とは異なる場合、通信ネットワークトラフィック特徴を変則的であると指摘する手段と
    を備えることを特徴とする装置。
  72. アノマリー検出用の装置であって、
    複数のタイプ及び複数のソースに対応するネットワーク通信トラフィックのモデルを形成する手段と、
    前記モデルから1つのパターンを抽出する手段と、
    アノマリーを識別するために前記パターンにしきい値を設定する手段と
    を備えることを特徴とする装置。
  73. ネットワーク通信トラフィックを特徴付けるための装置であって、
    ネットワーク通信トラフィックの複数の特徴に関するデータをクラスター化する手段と、
    前記ネットワーク通信における正規のトラフィック状態を識別するために、そのモデルを形成する手段と
    を備えることを特徴とする装置。
  74. 通信ネットワークトラフィックを監視するための方法であって、
    発信元IP、発信元ポート、宛先IP及び宛先ポートからなる群から選択された通信ネットワークトラフィック特徴の分布を少なくとも発生する工程と、
    前記特徴に対して分布のエントロピーを推定する工程と、
    アノマリータイプをエントロピーに従って1以上のタイプから以下のように識別する工程と
    Figure 2008545343
     を備えることを特徴とする方法。
  75. 通信ネットワークトラフィックを監視するための装置であって、
    発信元IP、発信元ポート、宛先IP及び宛先ポートからなる群から選択された通信ネットワークトラフィック特徴の分布を少なくとも発生する手段と、
    前記特徴に対して分布のエントロピーを推定する手段と、
    アノマリータイプをエントロピーに従って1以上のタイプから以下のように識別する手段と
    Figure 2008545343
     を備えることを特徴とする装置。
JP2008519568A 2005-06-29 2006-06-29 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法 Pending JP2008545343A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US69485305P 2005-06-29 2005-06-29
US69484005P 2005-06-29 2005-06-29
PCT/US2006/025398 WO2007002838A2 (en) 2005-06-29 2006-06-29 Whole-network anomaly diagnosis

Publications (1)

Publication Number Publication Date
JP2008545343A true JP2008545343A (ja) 2008-12-11

Family

ID=37596051

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008519568A Pending JP2008545343A (ja) 2005-06-29 2006-06-29 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法

Country Status (9)

Country Link
US (1) US8869276B2 (ja)
EP (1) EP1907940A4 (ja)
JP (1) JP2008545343A (ja)
KR (1) KR20080066653A (ja)
AU (1) AU2006263653A1 (ja)
CA (1) CA2613793A1 (ja)
IL (1) IL188344A0 (ja)
IN (1) IN2015MN00459A (ja)
WO (1) WO2007002838A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011015047A (ja) * 2009-06-30 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> トラヒック特性計測方法および装置
JP6078179B1 (ja) * 2016-01-20 2017-02-08 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

Families Citing this family (84)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9037698B1 (en) 2006-03-14 2015-05-19 Amazon Technologies, Inc. Method and system for collecting and analyzing time-series data
KR101303643B1 (ko) * 2007-01-31 2013-09-11 삼성전자주식회사 침입 코드 탐지 장치 및 그 방법
TWI331868B (en) * 2007-06-11 2010-10-11 Univ Nat Pingtung Sci & Tech Detecting method of network invasion
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
EP2023572B1 (en) * 2007-08-08 2017-12-06 Oracle International Corporation Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor
US8954562B2 (en) * 2007-09-28 2015-02-10 Intel Corporation Entropy-based (self-organizing) stability management
US7996510B2 (en) * 2007-09-28 2011-08-09 Intel Corporation Virtual clustering for scalable network control and management
KR20090041198A (ko) * 2007-10-23 2009-04-28 한국정보보호진흥원 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
WO2009083022A1 (en) 2007-12-31 2009-07-09 Telecom Italia S.P.A. Method of detecting anomalies in a communication system using numerical packet features
EP2227889B1 (en) 2007-12-31 2011-07-13 Telecom Italia S.p.A. Method of detecting anomalies in a communication system using symbolic packet features
US8717913B2 (en) 2008-06-20 2014-05-06 T-Mobile Usa, Inc. Method and system for user based network analysis and planning
US20100031156A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. User Interface For Network Events and Tuning
WO2010084344A1 (en) 2009-01-20 2010-07-29 Secerno Ltd Method, computer program and apparatus for analysing symbols in a computer system
US8230272B2 (en) * 2009-01-23 2012-07-24 Intelliscience Corporation Methods and systems for detection of anomalies in digital data streams
US20100287416A1 (en) * 2009-03-17 2010-11-11 Correlsense Ltd Method and apparatus for event diagnosis in a computerized system
US8474041B2 (en) * 2009-04-22 2013-06-25 Hewlett-Packard Development Company, L.P. Autonomous diagnosis and mitigation of network anomalies
US8245302B2 (en) * 2009-09-15 2012-08-14 Lockheed Martin Corporation Network attack visualization and response through intelligent icons
US8245301B2 (en) * 2009-09-15 2012-08-14 Lockheed Martin Corporation Network intrusion detection visualization
US8666731B2 (en) * 2009-09-22 2014-03-04 Oracle International Corporation Method, a computer program and apparatus for processing a computer message
US7920983B1 (en) 2010-03-04 2011-04-05 TaKaDu Ltd. System and method for monitoring resources in a water utility network
GB2507184B (en) * 2010-03-04 2014-08-13 Takadu Ltd System and method for monitoring resources in a water utility network
CN101848160B (zh) * 2010-05-26 2012-07-18 钱叶魁 在线检测和分类全网络流量异常的方法
US8719930B2 (en) * 2010-10-12 2014-05-06 Sonus Networks, Inc. Real-time network attack detection and mitigation infrastructure
US8683591B2 (en) 2010-11-18 2014-03-25 Nant Holdings Ip, Llc Vector-based anomaly detection
US8583386B2 (en) * 2011-01-18 2013-11-12 TaKaDu Ltd. System and method for identifying likely geographical locations of anomalies in a water utility network
CN102130800B (zh) * 2011-04-01 2013-08-28 苏州赛特斯网络科技有限公司 基于数据流行为分析的网络访问异常检测装置及方法
US8737204B2 (en) 2011-05-02 2014-05-27 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
US9106689B2 (en) 2011-05-06 2015-08-11 Lockheed Martin Corporation Intrusion detection using MDL clustering
US20120283991A1 (en) * 2011-05-06 2012-11-08 The Board of Trustees of the Leland Stanford, Junior, University Method and System for Online Detection of Multi-Component Interactions in Computing Systems
CN102271091B (zh) * 2011-09-06 2013-09-25 电子科技大学 一种网络异常事件分类方法
US8817655B2 (en) 2011-10-20 2014-08-26 Telefonaktiebolaget Lm Ericsson (Publ) Creating and using multiple packet traffic profiling models to profile packet flows
EP2587751A1 (en) 2011-10-24 2013-05-01 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Method and arrangement for data clustering
US9141914B2 (en) 2011-10-31 2015-09-22 Hewlett-Packard Development Company, L.P. System and method for ranking anomalies
US8341106B1 (en) 2011-12-07 2012-12-25 TaKaDu Ltd. System and method for identifying related events in a resource network monitoring system
CN103186551B (zh) * 2011-12-28 2016-06-08 金蝶软件(中国)有限公司 基于web应用平台的异常分析方法及仿真系统
US9053519B2 (en) 2012-02-13 2015-06-09 TaKaDu Ltd. System and method for analyzing GIS data to improve operation and monitoring of water distribution networks
US9471544B1 (en) 2012-05-24 2016-10-18 Google Inc. Anomaly detection in a signal
US10242414B2 (en) 2012-06-12 2019-03-26 TaKaDu Ltd. Method for locating a leak in a fluid network
US9628499B1 (en) 2012-08-08 2017-04-18 Google Inc. Statistics-based anomaly detection
CN103051475B (zh) * 2012-12-20 2016-08-03 瑞斯康达科技发展股份有限公司 网管设备、分级网管系统及其查询被管设备状态的方法
US9614742B1 (en) * 2013-03-14 2017-04-04 Google Inc. Anomaly detection in time series data
US9380066B2 (en) 2013-03-29 2016-06-28 Intel Corporation Distributed traffic pattern analysis and entropy prediction for detecting malware in a network environment
US9503465B2 (en) 2013-11-14 2016-11-22 At&T Intellectual Property I, L.P. Methods and apparatus to identify malicious activity in a network
AU2014368581A1 (en) 2013-12-19 2016-07-07 Bae Systems Plc Method and apparatus for detecting fault conditions in a network
EP3085016A1 (en) * 2013-12-19 2016-10-26 BAE Systems PLC Data communications performance monitoring
EP2887579A1 (en) * 2013-12-19 2015-06-24 BAE Systems PLC Data communications performance monitoring using principal component analysis
US10972345B1 (en) * 2019-02-20 2021-04-06 Amdocs Development Limited System, method, and computer program for evaluating confidence level of predicting a network situation in a communication network managed using artificial intelligence
US9692674B1 (en) 2013-12-30 2017-06-27 Google Inc. Non-parametric change point detection
WO2015112162A1 (en) * 2014-01-24 2015-07-30 Hewlett-Packard Development Company, L.P. Identifying deviations in data
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US9503467B2 (en) 2014-05-22 2016-11-22 Accenture Global Services Limited Network anomaly detection
US9973520B2 (en) * 2014-07-15 2018-05-15 Cisco Technology, Inc. Explaining causes of network anomalies
US10230747B2 (en) 2014-07-15 2019-03-12 Cisco Technology, Inc. Explaining network anomalies using decision trees
CN105337951B (zh) * 2014-08-15 2019-04-23 中国电信股份有限公司 对系统攻击进行路径回溯的方法与装置
US9716721B2 (en) 2014-08-29 2017-07-25 Accenture Global Services Limited Unstructured security threat information analysis
US9407645B2 (en) 2014-08-29 2016-08-02 Accenture Global Services Limited Security threat information analysis
US10505819B2 (en) 2015-06-04 2019-12-10 Cisco Technology, Inc. Method and apparatus for computing cell density based rareness for use in anomaly detection
US9729571B1 (en) * 2015-07-31 2017-08-08 Amdocs Software Systems Limited System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms
US9979743B2 (en) 2015-08-13 2018-05-22 Accenture Global Services Limited Computer asset vulnerabilities
US9886582B2 (en) 2015-08-31 2018-02-06 Accenture Global Sevices Limited Contextualization of threat data
US10193780B2 (en) * 2015-10-09 2019-01-29 Futurewei Technologies, Inc. System and method for anomaly root cause analysis
US20180048530A1 (en) * 2015-10-23 2018-02-15 Nec Europe Ltd. Method and system for supporting detection of irregularities in a network
CN105808639B (zh) * 2016-02-24 2021-02-09 平安科技(深圳)有限公司 网络访问行为识别方法和装置
US11868853B2 (en) * 2016-02-26 2024-01-09 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
US10659333B2 (en) 2016-03-24 2020-05-19 Cisco Technology, Inc. Detection and analysis of seasonal network patterns for anomaly detection
US10659481B2 (en) 2016-06-29 2020-05-19 Paypal, Inc. Network operation application monitoring
US10079768B2 (en) 2016-07-07 2018-09-18 Cisco Technology, Inc. Framework for joint learning of network traffic representations and traffic classifiers
US10223191B2 (en) * 2016-07-20 2019-03-05 International Business Machines Corporation Anomaly detection in performance management
US20180077227A1 (en) * 2016-08-24 2018-03-15 Oleg Yeshaya RYABOY High Volume Traffic Handling for Ordering High Demand Products
US10505894B2 (en) 2016-10-13 2019-12-10 Microsoft Technology Licensing, Llc Active and passive method to perform IP to name resolution in organizational environments
KR101923776B1 (ko) * 2016-11-16 2018-11-29 순천향대학교 산학협력단 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법
KR20200007931A (ko) * 2017-05-18 2020-01-22 익스팬스 인코포레이티드 상관관계 중심 위협 평가 및 치료
US11934937B2 (en) 2017-07-10 2024-03-19 Accenture Global Solutions Limited System and method for detecting the occurrence of an event and determining a response to the event
WO2019026684A1 (ja) * 2017-08-04 2019-02-07 日本電信電話株式会社 経路制御方法及び経路設定装置
CN110110160B (zh) * 2017-12-29 2020-04-14 阿里巴巴集团控股有限公司 确定数据异常的方法及装置
US10547518B2 (en) * 2018-01-26 2020-01-28 Cisco Technology, Inc. Detecting transient vs. perpetual network behavioral patterns using machine learning
CN108566340B (zh) * 2018-02-05 2021-03-09 中国科学院信息工程研究所 基于动态时间规整算法的网络流量精细化分类方法和装置
US11005870B2 (en) * 2018-11-27 2021-05-11 General Electric Company Framework to develop cyber-physical system behavior-based monitoring
US11405413B2 (en) * 2019-02-01 2022-08-02 Microsoft Technology Licensing, Llc Anomaly lookup for cyber security hunting
WO2021133791A1 (en) * 2019-12-23 2021-07-01 Boon Logic Inc. Method for network traffic analysis
WO2021262136A1 (en) * 2020-06-22 2021-12-30 Hewlett-Packard Development Company, L.P. Monitoring an embedded system
US11652833B2 (en) 2020-07-24 2023-05-16 Microsoft Technology Licensing, Llc Detection of anomalous count of new entities
US11398970B2 (en) * 2020-08-05 2022-07-26 Cisco Technology, Inc. Internet last-mile outage detection using IP-route clustering

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
WO2002046928A1 (en) * 2000-12-04 2002-06-13 Rensselaer Polytechnic Institute Fault detection and prediction for management of computer networks
AU2002312567A1 (en) 2001-06-20 2003-01-08 Arbor Networks, Inc. Detecting network misuse
US8220052B2 (en) * 2003-06-10 2012-07-10 International Business Machines Corporation Application based intrusion detection
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7526807B2 (en) * 2003-11-26 2009-04-28 Alcatel-Lucent Usa Inc. Distributed architecture for statistical overload control against distributed denial of service attacks
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011015047A (ja) * 2009-06-30 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> トラヒック特性計測方法および装置
JP6078179B1 (ja) * 2016-01-20 2017-02-08 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム
JP2017130037A (ja) * 2016-01-20 2017-07-27 西日本電信電話株式会社 セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム

Also Published As

Publication number Publication date
IL188344A0 (en) 2008-04-13
AU2006263653A1 (en) 2007-01-04
US20100071061A1 (en) 2010-03-18
WO2007002838A3 (en) 2007-12-06
EP1907940A4 (en) 2012-02-08
EP1907940A2 (en) 2008-04-09
IN2015MN00459A (ja) 2015-09-04
WO2007002838A8 (en) 2008-07-31
KR20080066653A (ko) 2008-07-16
CA2613793A1 (en) 2007-01-04
WO2007002838A2 (en) 2007-01-04
US8869276B2 (en) 2014-10-21

Similar Documents

Publication Publication Date Title
JP2008545343A (ja) 全ネットワークアノマリー診断用の方法及び装置並びにトラフィック特徴分布を使用してネットワークアノマリーを検出及び分類する方法
Saxena et al. Intrusion detection in KDD99 dataset using SVM-PSO and feature reduction with information gain
Lakhina et al. Diagnosing network-wide traffic anomalies
Ahmed et al. Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection
Lazarevic et al. A comparative study of anomaly detection schemes in network intrusion detection
CN106027559B (zh) 基于网络会话统计特征的大规模网络扫描检测方法
Gogoi et al. Anomaly detection analysis of intrusion data using supervised & unsupervised approach.
Yeung et al. Covariance-matrix modeling and detecting various flooding attacks
Palmieri et al. A nonlinear, recurrence-based approach to traffic classification
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
Cherubin et al. Conformal clustering and its application to botnet traffic
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
Sharma et al. An overview of flow-based anomaly detection
Nadiammai et al. Research Article Handling Intrusion Detection System using Snort Based Statistical Algorithm and Semi-supervised Approach
Lu et al. Botnets detection based on irc-community
Bouzida et al. Eigenconnections to intrusion detection
Lu et al. Unsupervised anomaly detection using an evolutionary extension of k-means algorithm
Tang et al. Malware Traffic Classification Based on Recurrence Quantification Analysis.
Sulaiman et al. Big data analytic of intrusion detection system
Gonzalez-Granadillo et al. An improved live anomaly detection system (i-lads) based on deep learning algorithm
CN115277178A (zh) 基于企业网网络流量的异常监测方法、装置及存储介质
Kalutarage Effective monitoring of slow suspicious activites on computer networks.
Borah et al. Towards the development of an efficient intrusion detection system
Yue et al. An unsupervised-learning based method for detecting groups of malicious Web crawlers in Internet
Li et al. Multi-layer reconstruction errors autoencoding and density estimate for network anomaly detection