KR20080066653A - 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 - Google Patents
완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 Download PDFInfo
- Publication number
- KR20080066653A KR20080066653A KR1020087002379A KR20087002379A KR20080066653A KR 20080066653 A KR20080066653 A KR 20080066653A KR 1020087002379 A KR1020087002379 A KR 1020087002379A KR 20087002379 A KR20087002379 A KR 20087002379A KR 20080066653 A KR20080066653 A KR 20080066653A
- Authority
- KR
- South Korea
- Prior art keywords
- communication network
- network traffic
- traffic
- anomaly
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 통신 네트워크에서 드문 네트워크 사건 또는 네트워크 변칙을 검출, 모니터링 또는 분석하고 다른 장점들을 수행하기 위한 방법 및 장치에 관한 것이다. 본 발명의 실시예들은 다수의 통계적 및 수학적 방법들을 적용함으로써 네트워크를 검출, 모니터링 또는 분석할 수 있다. 본 발명의 실시예들은 네트워크 변칙을 검출, 모니터링 또는 분석하기 위한 방법 및 장치 모두를 포함한다. 실시예들은 분류 및 국부화(localization)를 포함한다.
Description
본 출원은 2005년 6월 29일에 출원된 미국 예비 특허 출원 60/694,853호 및 60/694,840호의 U.S.C. § 119(e)의 이익을 청구하며, 그 모든 내용은 본 명세서에 참조로서 통합된다.
본 발명은 국립 과학 재단(National Science Foundation) 승인 번호 ANI-9986397 및 CCR-0325701로부터 일부분 지지되어 전개된다.
네트워크 변칙은 네트워크 제공자, 네트워크 사용자, 네트워크 작동자 또는 법 집행 에이전시와 같은 실체에게 흥미로운 네트워크에서 드물게 일어나는 사건이다. 네트워크 리소스에서의 붕괴와 같은 일반적 네트워크 트래픽 상태의 결과로서 네트워크 변칙은 뜻하지 않게 생성된다. 네트워크 변칙은 또한 네트워크를 손상시키거나 네트워크의 성능을 약하게 하도록 행동하는 개인 또는 해커에 의한 악의적인 공격에 의해 뜻하지 않게 생성될 수 있다.
통상적으로, 네트워크 변칙은 네트워크의 단일 라우터 또는 단일 링크와 같 은 네트워크 엘리먼트로부터 데이터를 수집함으로써 모니터링 또는 분석된다. 그러한 데이터 수집은 다른 네트워크 데이터 또는 다른 네트워크 엘리먼트들로부터 고립되어 수행된다. 다시 말해, 네트워크 변칙을 찾아내는 것은 링크-레벨 트래픽 특성화와 밀접하게 관련된다.
네트워크 변칙을 모니터링 또는 분석하기 위한 다른 접근법은 트래픽 크기의 편차로서 네트워크 변칙을 다룬다. 이는 시각적으로 두드러지는 네트워크 변칙의 검출을 가능하게 하지만, 낮은 정도의 네트워크 변칙(예를 들어, 웜(worm), 포트 스캔(port-scan), 작은 휴지(outage) 사건 등)은 트래픽 체적에 기초한 접근법에 의해 검출되지 않는다.
네트워크 변칙을 모니터링 또는 분석하기 위한 또 다른 접근법은 규칙이 개발되는 수동 방법이다. 규칙의 준수 또는 위반은 네트워크 변칙이 발생하는지 여부를 결정한다. 그러나, 규칙-기반 방법들은 새로운, 이전에 볼 수 없었던 변칙을 검출해낼 수 없다.
많은 현재의 방법들은 네트워크의 엘리먼트에 대한, 네트워크 변칙의 각각의 종류에 대한 해결책을 제공하나, 네트워크의 다수의 엘리먼트들에 대한 해결책이 선호된다.
본 발명은 통신 네트워크에서 드문 네트워크 사건 또는 네트워크 변칙을 검출, 모니터링 또는 분석하고 다른 장점들을 수행하기 위한 방법 및 장치에 관한 것이다. 본 발명의 실시예들은 다수의 통계적 및 수학적 방법들을 적용함으로써 네트워크를 검출, 모니터링 또는 분석할 수 있다. 본 발명의 실시예들은 네트워크 변칙을 검출, 모니터링 또는 분석하기 위한 방법 및 장치 모두를 포함한다. 실시예들은 분류 및 국부화(localization)를 포함한다.
본 발명은 연속적인 효율적 방식으로 네트워크에서 드문 사건들(변칙들)을 검출하고 분류하기 위한 일반적 기술이다. 상기 기술은 네트워크 전반 트래픽의 다중 피쳐들(어드레스들, 포트들 등)의 분포상의 특성들을 분석하는데서 발견된다. 트래픽 피쳐들의 이러한 분포상의 분석은 의미있는 클러스터들로의 네트워크 변칙들의 분류를 위한 두 개의 중요 엘리먼트들을 갖는다.
네트워크 트래픽은 다중 트래픽 피쳐들(어드레스들, 포트들, 프로토콜 등)의 분포를 위해 동시에 분석된다. 피쳐 분포를 이용한 변칙 검출은 고도로 민감하며, 체적 기반 방법에 의해 검출될 수 없는 낮은 속도의 중요한 변칙들을 노출시킴으로써 체적-기반 검출들을 증대시킨다.
네트워크 트래픽의 피쳐 분포는 변칙에 대한 구조적 지식을 추출하도록 생성된다. 변칙에 대한 이러한 구조적 지식은 구조적이고 의미론적으로 중요한 별개의 클러스터들로 변칙들을 분류하도록 사용된다. 변칙들의 분류는 비통제된 접근법에 의해 달성되어, 인간의 개입 또는 선험적 지식이 변칙들을 카테고리화하는데 필요치 않다. 이러한 비통제된 접근법은 본 발명이 신규한(이전에 볼 수 없었던) 변칙들(예를 들어, 새로운 웜들)을 인지하고 분류하도록 한다.
또한, 본 발명은 네트워크 전반의 데이터, 즉, 네트워크의 다중 리소스들로부터 수집되는 데이터의 다중 피쳐들을 분석한다. 네트워크 전반 분석은 네트워크를 통해 확장하는 변칙들의 검출을 가능하게 한다. 피쳐 분포 분석과 결합된 네트워크 전반 분석은 본 발명이 네트워크 전반 변칙들을 검출 및 분류하도록 하여, 주로 단일-리소스 데이터의 체적-기반 분석인 현재 방안(current scheme)에 의한 검출을 증대시킨다.
다중 네트워크 리소스들(즉, 네트워크 링크들, 라우터들 등)로부터 수집된 데이터의 조직적인 분석은 본 발명의 중요한 피쳐이다. 전체 네트워크 데이터에 영향을 줌으로써, 본 발명은 네트워크 전체에 걸친 변칙들을 포함하는 넓은 범위의 변칙들을 진단할 수 있다. 진단은 변칙이 존재하는 시간의 식별, 네트워크에서 변칙의 위치의 식별 및 변칙 타입의 식별을 허용한다.
변칙들은 폐해(공격, 웜 등)로부터 의도되지 않은 것(장비의 고장, 인간에 의한 에러 등)까지의 다양한 이유들에 대해 발생할 수 있다. 본 기술은 각각의 타입의 변칙에 대한 해결책을 가리키는데 한정되지 않는다. 대신, 설립된 통상의 반응으로부터의 실질적 편차로서 변칙들을 다룸으로써, 본 발명은 변칙적 사건들의 큰 종류를 진단하기 위하여 일반적 해결책을 제공한다.
일실시예는 네트워크 엘리먼트들에 의해 처리되는 통신 네트워크 트래픽에 대응하는 적어도 하나의 치수를 갖는 타임 시리즈를 형성하는 단계 및 이러한 네트워크 엘리먼트들에 존재하는 다수의 통신 네트워크 트래픽 패턴들로 타임 시리즈를 분해시키는 단계를 개시한다.
다른 실시예는 네트워크 엘리먼트들에 의해 처리되는 통신 네트워크 트래픽에 대응하는 적어도 하나의 치수를 갖고, 통신 네트워크 트래픽의 패턴에서 변칙을 검출하는 단일 또는 다중 변량 모델을 형성한다.
또 다른 실시예는 통신 네트워크 트래픽의 피쳐에서 편차를 발견한다.
또 다른 실시예는 통신 네트워크 트래픽 피쳐의 적어도 하나의 분포를 발생시키고, 통신 네트워크 트래픽 피쳐의 엔트로피를 추정하고, 통신 네트워크 트래픽 피쳐의 엔트로피의 임계치를 설정하며, 통신 네트워크 트래픽 피쳐의 엔트로피가 통신 네트워크 트래픽 피쳐의 엔트로피의 설정 임계치와 상이한 것으로 발견되는 경우 통신 네트워크 트래픽 피쳐가 변칙적임을 가리킨다.
본 발명의 이러한 피쳐들 및 다른 피쳐들은 다음의 첨부 도면들 및 상세한 설명과 함께 하기에서 설명된다.
도 1은 변칙 검출을 위해 데이터 소스에 대하여 본 발명에서 사용되는 전체 네트워크를 도시한다.
도 2a 내지 도 2c는 본 발명의 일측면에 따른 네트워크 데이터의 처리를 도시한다.
도 2d 내지 도 2g는 본 발명을 이해하는데 유용한 분포이다.
도 2h는 통상의 네트워크 통신 트래픽을 개시하는 본 발명에 따라 획득된 데이터를 도시한다.
도 2i는 변칙적인 네트워크 통신 트래픽을 도시하는 본 발명에 따라 획득된 데이터를 도시한다.
도 2j는 2차원상의 데이터 클러스터링을 도시한다.
도 3a 및 도 3b는 본 발명의 추가의 측면에 따른 네트워크 데이터의 처리를 도시한다.
도 3c는 본 발명의 사용에서 생성된 복수의 피쳐들에 대한 데이터의 다중-치수 매트릭스들을 도시한다.
도 3d는 도 3c의 매트릭스들에 대한 매트릭스 컨텐츠를 도시한다.
도 3e 및 도 3f는 본 발명에 따른 엔트로피 메트릭을 사용하는 결과값들을 도시한다.
도 3g는 본 발명에 실행되는 바와 같이 풀려진 매트릭스를 도시한다.
도 3h는 본 발명에서 실행되는 바와 같은 클러스터링의 결과값을 도시한다.
도 3i는 본 발명에 따른 변칙 특징화를 위한 예시적인 표이다.
본 발명은 통신 네트워크에서의 네트워크 변칙 또는 드문 네트워크 사건을 검출, 모니터링 또는 분석하기 위한 방법 및 장치에 관한 것이다. 본 발명의 실시예들은 네트워크 변칙을 검출, 모니터링 또는 분석하기 위한 특정 통계적 기술을 개시하며, 다른 공지된 기술들 또한 사용될 수 있다. 본 발명의 실시예들은 네트워크 변칙을 검출, 모니터링 또는 분석하기 위한 방법 및 장치 모두를 포함한다. 본 명세서에서는 데이터 수집을 위한 원리에 적용될 때 전체 네트워크라는 용어는 데이터가 변칙 검출 및 분석에서 의미 있도록 네트워크의 적어도 실체적 부분을 의미한다.
도 1은 통신 네트워크(100)를 도시한다. 통신 네트워크(100)는 라우터, 서 버 등을 갖는 노드들(a-m)과 같은 네트워크 엘리먼트들을 갖는다. 트래픽의 흐름의 도면이 루트(118)로 표시된다. 네트워크 엘리먼트들은 용량, 포맷 등과 같은 피쳐들이 유사하거나 또는 매우 상이할 수 있는 네트워크 링크들(102)에 의해 접속된다. 해당 네트워크에서 더 많거나 더 적은 네트워크 엘리먼트들 및 네트워크 링크들이 존재할 수 있으며, 실제 인터넷 세상에서 이것은 실제의 간략화된 도면이다.
도면에서, 네트워크 노드(j)는 서브-네트워크, 랜(Local Area Network), 개인용 컴퓨터 및 이동 에이전트를 갖는 낮은 레벨의 통신 네트워크로 이루어지는 것으로 보여진다. 네트워크 엘리먼트(104)에 의해 표시된 바와 같이, 그러한 낮은 레벨의 통신 네트워크는 유효 범위, 서버들, 라우터들 또는 다른 수단이 유사하거나 상이할 수 있는 (서브)네트워크 엘리먼트들(106)로 이루어진다. 이러한 것들은 종래 기술에서 공지된 바와 같이 네트워크 연계(108)를 갖는다. 각각의 서브 네트워크 엘리먼트는 통상적으로 유사하거나 뚜렷이 구분되는 개인용 컴퓨터들(120) 또는 이동 에이전트들(122)로 구성될 것이다. 이러한 것들은 무선 또는 종래의 것일 수 있는 네트워크 링크들(110)에 의해 연계된다.
상기 네트워크에서의 하나의 컴퓨터 설비(124)는 본 발명에서 사용되는 데이터 및/또는 데이터에 대한 데이터 조사를 달성하기 위하여 미디어(114)를 통해 본 발명의 프로그래밍(112)을 업로딩하도록 사용될 수 있다. 본 발명의 분석은 통로들(130) 또는 데이터(116)가 전송되는 프로세서(120)와 같은 어떤 다른 곳을 통해 노드들 또는 다른 엘리먼트들로부터 수신되는 데이터(116)상에서 행해질 수 있다. 데이터에 대한 액세스는 제공되는 네트워크에게 맡겨져 데이터를 획득하는 것이 가능하다. 제3자가 분석을 수행한다면, 액세스 인증이 필요하다.
상기 설명은 단지 통신 네트워크(100)의 도식적인 아키텍쳐에 대한 것이라는 것을 유념해야 한다. 통신 네트워크(100)의 컴포넌트들 중 임의의 것의 더 많은 개수 또는 더 적은 개수가 존재할 수 있으며, 주어진 네트워크 엘리먼트 및 주어진 네트워크 링크에 대한 하위 레벨의 다수의 층들이 존재할 수 있다.
도 2a 내지 도 2c는 통신 네트워크(100) 트래픽(118) 등을 모니터링하기 위한 방법을 개시한다. 모니터링은 네트워크를 통해 데이터에 액세스하기 위하여 필요할 것이며, 그러한 각각의 노드(a-m)는 모니터링 프로세서(들)에 액세스 승인을 허용할 필요가 있다. 엄청난 양의 데이터가 본 단계에서 수집되고, 통상적으로 매트릭스 형태로 구성될 것이다. 하나 이상의 프로세싱 스테이션들(124)을 포함할 수 있는 수집 기계 또는 기계들은 이러한 목적으로 사용된다.
본 방법의 실행에 있어서, 단계(202)에서 타임 시리즈를 형성하는 단계가 시작된다. 타임 시리즈는 다수의 시간 주기 각각에 대한 플로우(118)의 네트워크 노드들과 같은, 다수의 네트워크 엘리먼트들상의 통신 네트워크(100) 트래픽에 대응하는 적어도 하나의 치수(dimension)를 갖는다. 엘리먼트들은 이러한 설명을 목적으로 소스(source)들로 불리운다. 단계(204)에서, 타임 시리즈에 대한 데이터는 다수의 네트워크 엘리먼트 노드들(a-m)에 존재하는 다수의 통신 네트워크(100) 트래픽 패턴들로 분해된다. 엘리먼트(206)는 타임 시리즈를 나타내는 매트릭스(208)로 한차례 분해된 본 데이터의 수학적 형태를 도시한다.
매트릭스(208)는 데이터가 수집되는 하나의 시간 주기 동안 수집된 데이터인 각각의 열 및 각각의 행에 대한 개별적인 소스를 갖는다. 데이터는 트래픽 바이트의 개수, 패킷의 개수 및 레코드들의 개수로서 네트워크 트래픽의 변수에 대한 정보를 포함한다. 데이터는 각각의 노드 내의 PC(110)와 같은 포트 어드레스 및 각각의 링크의 트래픽을 운반하는데 사용되는 인터넷 제공자(IP: internet provider)의 정보를 포함한다. 데이터는 목적 IP 및 목적 포트뿐 아니라 소스 IP 및 소스 포터와 같은 다수의 피쳐들을 나타낸다. 이러한 모든 데이터는 네트워크 트래픽의 블럭들에서 이용가능하다. 이러한 모든 데이터는 링크 원리에 따라 , 즉, 목적 OD 원리에 따라 수집된다.
도 2b는 주기적으로 각각의 소스 주기에 대한 레벨들을 조사함으로써 시간이 흐름에 따른 공통 패턴들을 추출하기 위하여 단계(212)에서 처리된다. 이로부터, 정규 패턴들이 추출된다. 오차 패턴들은 변칙적인 것으로 간주된다. 정규 패턴들은 통상적으로 24 시간과 같은 정기적인 시간상의 체적 사이클링을 보여준다(도 2h). 이러한 타입의 칩들이 대체적으로 데이터로부터 추출되는 경우, 오차 데이터는 거의 임의의 분포를 보일 것이나, 추측되는 또는 식별된 변칙에서 체적 피크(도 2i의 230)와 함께 보여질 것이다.
이것은 단계(214)가 매트릭스(208)의 모든 시간 주기에 걸쳐 나아가는데 사용되도록 시간 주기마다 수행된다. 각각의 반복(iteration)에서, 단계(214)는 각각의 시간 주기에서의 전체 소스 데이터 세트가 임계치보다 큰지(정규) 또는 작은지(아마도 변칙적) 여부를 판단한다. 임계치는 데이터 조사(mining) 결과값들로부 터 시간에 따라 미리 설정되거나 업데이트될 수 있다.
체적 값(figure)이 한 시간 주기에서 임계치를 초과한다면, 프로세싱은 각각의 추측된 변칙이 다수의 가능한 용지들이 매칭을 발견하기 위한 시도에서 테스트되는 가정 프로세스에 의해 평가되는 단계(216) 및 도 2c로 착수한다. 이것은 위치에 대한 매칭을 발견하거나 가장 매칭되지 않는 것을 식별하는 서브 단계를 초래한다.
단계(218)는 정규 트래픽의 추측된 소스에 대한 체적을 변칙적 체적과 비교함으로써 단계(216)에서 발견된 변칙을 분석한다. 이것은 그러한 소스에서 변칙에 대한 바이ㅌ들, 패킷들 또는 레코드들의 개수에 값을 부여할 것이다. 그로부터 단계(220)는 인증된 사용자에게 변칙 시간, 위치 및 수량을 제공한다. 단계(220)로부터, 단계(222)는 다음 시간 주기의 평가를 위해 다시 단계(214)로 프로세싱을 되돌린다.
정규 및 변칙 트래픽의 분포에 있어서의 체적 차가 도 2d 내지 도 2g에 도시된다. 도 2d 내지 도 2g는 각각 검출된 포켓들, 바이트들(포켓 컨텐츠) 또는 플로우들 및 포트에 따른 정규 트래픽 패턴들을 도시한다. 도 2f 내지 도 2g는 동일한 데이터 소스들상의 변칙 트래픽을 도시한다. 도 2h 및 도 2i는 정규 트래픽의 검출된 주기적 반응(2h) 및 추측된 변칙과 함께 오차의 스파이크(spike)(230)를 갖는 임의의 성질을 보여준다.
수학적으로 이러한 지점에 도달하기 위하여, 몇몇 형태의 치수적 분석이 통상적으로 사용된다. 본 발명에서 사용되는 하나의 폼은 하기 개시된 PCA(Principle Component Analysis)이다.
PCA는 주어진 데이터 포인트 세트를 새로운 축들에 매핑하는 좌표 변형 방법이다. 이러한 축들은 주요 축들 또는 주요 컴포넌트들로 불리운다. 영-평균(zero-mean) 데이터로 작업할 때, 각각의 주요 컴포넌트는 데이터에 남아있는 최대 변화의 방향에서 그것이 가리키는 특성을 갖고, 상기 변화는 앞서 컴포넌트들에서 이미 고려되었다. 그와 같이, 제1 주요 컴포넌트는 단일 축상의 가능한 가장 큰 등급으로 데이터의 변화를 캡쳐한다. 다음 주요 컴포넌트들은 그 후 각각 오차 직각 방향 중에서 최대 변화를 캡쳐한다.
우리는 Y의 각각의 행을 처리하는, 우리의 링크 데이터 매트릭스(208)상에 PCA를 적용할 것이다. 그것은 그것의 열이 영 평균을 갖도록 Y를 조정하는데 필수적이다. 이것은 PCA 치수가 참(true) 변화를 캡쳐하는 것을 확보하고, 따라서 평균 링크 이용에 있어서의 차로 인한 결과값이 왜곡되는 것을 방지한다. Y는 평균-집중된 링크 트래픽 데이터를 나타낼 것이다.
여기서 는 v를 따라 측정된 데이터의 변화에 비례한다. 반복적인 프로세싱에서, 일단 제1 k-1 주요 컴포넌트들이 판단되면, k-th 주요 컴포넌트는 오차의 최대 변화에 대응한다. 오차는 제1 k-1 주요 축들상에 매핑된 데이터와 원래 데이터 사이의 차이다. 따라서, 우리는 k-th 주요 컴포넌트 vk를 다음과 같이 기재할 수 있다:
PCA의 중요한 사용은 데이터 포인트들의 세트의 진성 차원을 조사하는 것이다. 각각의 주요 컴포넌트, 에 의해 캡쳐된 변화의 양을 검사함으로써, 데이터의 변화성의 대부분이 낮은 차원의 공간에서 캡쳐될 수 있는지를 묻는 것이 가능하다. 제1 r 차원에 따른 변화만이 대수롭지 않다면, 그 후 Y에 의해 표시되는 포인트세트가 R의 r-차원적 서브공간에 효율적으로 존재하는 것으로 결론 내려진다.
일단 주요 축들이 판단되면, 데이터 세트는 새로운 축들로 매핑될 수 있다. 주요 축 i로의 데이터의 매핑은 로 주어진다. 이러한 벡터는 로 그것을 나눔으로써 단위 길이로 정규화될 수 있다. 따라서, 각각의 주요 축 i에 대하여,
ui는 크기 t의 벡터이며, 구조적으로 직각이다. 상기 방정식은 vi에 의해 가중될 때, 모든 링크 카운트들이 하나의 치수의 변형된 데이터를 생성하는 것을 보여준다. 따라서, 벡터 ui는 주요 축 i를 따라 링크 트래픽 타임시리즈의 전체 앙상블에 공통인 임시적 변수를 캡쳐한다. 주요 축들은 전체 변화에 대한 기여순 이기 때문에, u1은 모든 링크 트래픽에 공통적인 가장 강한 임시적 트렌드를 캡쳐하고, u2는 다음으로 강한 것을 캡쳐하고, 이어서 같은 방식으로 캡쳐가 계속된다. 세트 는 대부분의 변화를 캡쳐하고, 이에 따라 모든 링크 트래픽 타임시리즈들의 앙상블에 공통적인 가장 현저한 임시적 패턴들을 캡쳐한다. 도 2h 및 도 2i는 각각 가장 강한 주요 컴포넌트, u1 및 훨씬 적은 축 프로미넌스(axial prominence)를 갖는 컴포넌트를 보여준다.
서브공간 방법은 트래픽에서 정규 및 변칙 변수에 대응하는 두 개 세트들로 주요 축들을 분리시킴으로써 작용한다. 정규 축의 세트에 의해 채워진 공간은 정규 서브공간 S이고, 변칙적 축들에 의해 채워진 공간은 변칙 서브공간 S이다. 이것은 도 2j에 보여진다.
데이터의 Ux 프로젝션(projection)은 현저한 변칙 작용을 도시한다. 트래픽 "스파이크"(230)는 변칙에 의해 야기될 수 있는 드문 네트워크 상태를 나타낸다. 서브공간 방법은 변칙 서브공간에 속함에 따라 데이터의 그러한 프로젝션들을 처리한다.
다양한 공정들이 정규 및 변칙 세트들로 두 가지 타입의 프로젝션들을 분리하기 위하여 적용될 수 있다. 통상적 프로젝션들과 비통상적 프로젝션들 사이의 차를 검사하는 것에 기초하여, 간단한 임계치-기반 분리 방법이 실제로 잘 작용한다. 분리 공정은 최대 확산에서 최소 확산의 순서로 각각의 주요 축상에 프로젝션을 검사하도록 기대된다. 프로젝션이 임계치를 초과하는(예를 들어, 평균으로부터 의 3σ 편차를 포함하는) 것으로 발견되는 한, 주요 축 및 모든 이어지는 축들은 변칙적 서브공간에 할당된다. 모든 이전의 주요 축들은 그 후 정규 서브공간에 할당된다. 이러한 공정은 정규 서브공간의 주요 컴포넌트들의 이른 배치를 초래한다.
체적 변칙들을 검출하고 식별하기 위해 사용되는 방법들은 다변수 프로세스 제어의 서브공간-기반 결함 검출을 위해 개발된 이론으로부터 얻어진다.
링크 트래픽의 체적 변칙들을 검출하는 것은 임의의 시간단계에서 링크 트래픽 y의 정규 및 변칙 컴포넌트들로의 분리를 사용한다. 이러한 것들은 y의 모델링된 오차 부분들이다.
서브공간-기반 검출 단계에서, 일단 및 가 구성되면, 이러한 분류는 이러한 두 개 서브공간들로 링크 트래픽의 프로젝션을 형성함으로써 효과적으로 수행될 수 있다. 시간 y의 주어진 지점에서 링크 측정값들의 세트는 분해된다:
정규 서브공간들(v1, v2, ..., vr)에 대응하는 주요 컴포넌트들의 세트가 r 이 정규 축들(k)의 개수를 나타내는 크기 m×r의 매트릭스 P의 열로서 배열된다. 및 는 다음과 같다:
SPE가 다음과 같은 경우에 네트워크 트래픽은 정규적이다:
여기서,
이며, λj는 j-th 주요 컴포넌트상의 데이터를 프로젝팅함으로써 캡쳐되는 변화이고(), cα는 표준 정규 분포의 1-α 백분위수이다. 결과값은 얼마나 많은 주요 컴포넌트들이 정규 서브공간에서 유지되는지와 관계없이 고정된다.
이러한 세팅에서, 이러한 결과값이 유도되는 가정이 만족된다면 1-α 신용 제한은 α의 거짓(false) 경보 속도에 대응한다. Q-통계치에 대한 신용 제한은 샘플 벡터 y가 다변수 가우시안 분포를 따르는 가정하에서 유도된다. 그러나, 이는 원래 데이터의 근원적 분포가 실질적으로 가우시안과 상이할 때조차 Q-통계치는 조금 변화한다는 것을 나타낸다.
서브공간 구조에서, 체적 변칙은 S로부터의 상태 벡터 y의 변위를 나타낸다. 변위의 특정 방향은 변칙의 성질에 관한 정보를 준다. 변칙 식별에 대한 접근법은 잠재적 변칙들의 세트 외부의 변칙이 정규 서브공간 S로부터의 y의 편차를 최상으로 설명할 수 있는지를 묻는 것이다.
모든 가능한 변칙들의 세트는 {Fi, i=1, ..., I} 이다. 이러한 세트는 식별될 수 있는 변칙들의 세트를 한정하기 때문에, 가능한 한 완벽하도록 선택되어야 한다.
설명의 간략화를 위하여, 단지 1-차원적인 변칙들, 즉, 부가적인 링크당 트래픽이 단일 변수의 선형적 함수로서 설명될 수 있는 변칙들이 고려된다. 이것은 아래쪽에서 도시된 바와 같이 다중-차원적 변칙들에 대한 접근법을 개괄하기 위한 것이다.
그 후 각각의 변칙 Fi는 이러한 변칙이 네트워크의 각각의 링크에 트래픽을 부가하는 방식으로 한정되는 관련 벡터 θi를 갖는다. θi가 단위 표준을 갖는다고 가정하면, 그 후 변칙 Fi의 존재하에 상태 벡터 y가 다음과 같이 나타난다:
몇몇 가정된 변칙 Fi이 주어진다면, 변칙의 효과를 제거함으로써 의 추정치를 형성하고, 이는 변칙 Fi과 관련된 링크들로부터 몇몇 트래픽 기여를 차감하는 것에 대응한다. 변칙 Fi를 가정하는 의 최상의 추정치는 변칙의 방향으로 정규 서브공간 S에 대한 거리를 최소화함으로써 발견된다:
따라서, 요약하면, 식별 알고리즘은 다음으로 구성된다:
가능한 변칙들은 n이 네트워크의 OD 플로우들의 개수인 {Fi, i=1, ..., I}이다. 이러한 경우에, 각각의 변칙은 그것이 영향을 미치는 각각의 링크에 동일한 양의 트래픽을 부가(또는 차감)한다. 그 후 θi는 단위 표준으로 정규화된, 라우팅 매트릭스 (A)의 열 i로서 한정된다: .
특정 체적 변칙 Fi의 추정과 함께, 이러한 변칙을 구성하는 바이트들의 개수가 추정된다. 선택된 변칙 Fi로 인하여 각각의 링크상의 추정된 양의 변칙 트래픽은 다음에 의해 주어진다.
변칙들이 OD 플로우의 세트에 의해 한정되는 현재의 경우에, 우리의 부량(quantification)은 A에 의존한다. 우리는 A의 각각의 열이 단위 합을 갖도록 정규화된 라우팅 매트릭스를 나타내기 위해 A를 사용한다:
그 후, 변칙(Fi)의 식별이 주어지면, 우리의 부량 추정치는 다음과 같다:
몇몇 변칙들은 정규 서브공간 S내에 완전히 놓일 수 있어, 서브공간 방법에 의해 검출될 수 없다. 형식적으로, 몇몇 변칙 Fi에 대해 라면 이것이 발생할 수 있다. 사실상 이것은 변칙 및 정규 서브공간 S이 완벽하게 정렬되도록 요구할 가능성이 낮다. 그러나, 변칙 θi과 정규 서브공간 사이의 상대적 관계는 다른 방향에서보다 검출하기 어려운 한 방향으로 주어진 크기의 변칙들을 만들 수 있다.
상기 개시된 원리들은 트래픽 플로우 데이터의 다중-피쳐(다중-방법), 다중 소스(다변수) 분포를 생성하기 위하여 본 발명의 다른 측면에서 사용된다. 프로세스는 전체 네트워크의 다중 피쳐상에 다중 소스들에 대하여 데이터를 수집함으로써 도 3a의 단계(310)에서 개시된다. 단계(340)에서 데이터는 도 3c에 도시된 일실시예로서, 3D 매트릭스 형태로 구성된다. 본 명세서에서 각각의 피쳐들에 대해 하나씩 일련의 매트릭스들(332)이 형성된다. 매트릭스 형태는 시간 주기의 수에 대해 각각의 열에 대해 하나씩, 각각의 행에 대해 하나씩 제공되는 링크들 또는 OD 쌍들, 소스를 갖는다. 본 발명이 실시예에서 피쳐들은 소스 IP, 소스 포트, 목적 IP 및 목적 포트이다. 보다 적은 피쳐들 또는 다른 피쳐들이 또한 사용될 수 있다.
도 3d는 매트릭스들(332)이 사실상 3차원임을 의미하는 각각의 매트릭스 엘리먼트에 대한 데이터 세트를 보여주며, 각각의 매트릭스 위치는 일련의 데이터 포인트들(334)을 갖는다. 따라서 이는 상기 소스 v. 시간 주기 데이터를 보여주는 상기 매트릭스들과 유사하다.
도 3a의 단계(344)에서, 이러한 데이터는 각각의 피쳐 분포를 특징화하는 프로세스, 본 실시예에서는, 엔트로피 메트릭에 의해 통계학적으로 감소되며 단계(346)에 결과가 제공된다. 도 3g에 도시된 3D 매트릭스들(336)의 세트의 결과값들은 하기에서 논의된다. 엔트로피 메트릭은 다음의 방정식을 사용하여 각각의 데이터 포인트를 처리한다:
여기서 i는 ni번 발생하고, S는 매트릭스에서 관측의 전체 개수이다. 도 3g 및 단계(360)의 새로운 매트릭스들(336)은 마찬가지로 3D 문자들을 갖는다.
엔트로피 메트릭에 의한 두 개의 상이한 분포들의 통계적 간략화 프로세스가 높은 엔트로피 도면 및 낮은 엔트로피 도면을 개시하는 도 3e 및 도 3f에 도시된다. 분포 히스토그램이 분산되는 경우(도 3e), 히스토그램의 엔트로피 요약은 높다. 그리고, 히스토그램이 도 3f에서와 같이 소량의 값들상에 왜곡되거나 집중되 는 경우, 히스토그램의 엔트로피 값은 작다.
이어지는 단계(338)에서, 매트릭스들(336)은 각각의 매트릭스(336)의 행들이 피쳐로부터 피쳐로 이어짐으로써 도 3g에서 (348)과 같은 긴 행으로 조립되는 큰 2D 매트릭스(342)로 "벗겨진다(unwrapped)". 도 3g에서, 피쳐들은 예시적인 소스 IP 어드레스 및 포트 및 목적 IP 어드레스 및 포트 형태이다.
매트릭스(342)는 그 후 이전에 개시된 바와 같은 원리의 섭공간 클러스터링 기술에 의해 단계(350 및 352)에서 처리된다. 이것은 단계들(370 및 380)을 통해 루핑(loop)하는, 단계(352)의 공정들을 통해 그 단계들을 반복적으로 수행하는 반복 프로세스이다. 반복의 네트(net) 결과를 하기에 개시한다.
각각의 검출된 변칙에 대한 변칙 분류 프로세스의 단계(354)에서 오차 컴포넌트들이 각각의 K 피쳐들에 대해 발견된다. 검출된 변칙은 매트릭스(340)에서 피쳐들 각각의 하나에, "K" 숫자의 세트를 산출해낸다. K 숫자는 K-차원적 공간의 포인트를 나타내며, 따라서 단계(356)에서 처리된다. 상기 처리는, K 숫자들이 K 공간의 K 축들에 따른 위치들에 따라 처리되고, 단계(358)에서 기입(plot)되는 것이다. 이러한 기입은 프로세서(120) 및 관련 데이터베이스와 같은 프로세서에서 발생한다.
클러스터링 기술은 그 후 근접에 대한 임계치 값에 따라 서로에게 인접한 포인트들의 클러스터들을 식별하기 위하여 단계(360)에서 적용된다. 임계치에 대한 그러한 값은 데이터포인트들로부터 직접 판단되며, 또한 사용 프로세스로부터의 습득의 일부로서 보다 정확한 결과를 위해 시간에 따라 조정된다. 클러스터링은 예 를 들어, 도 3h에서와 같이 2D 공간으로 프로젝팅하는 등과 같이 낮은 차원 공간에서 수행될 수 있다.
도 3h에서와 같이 결과 클러스터들(K=2 차원의 실시예가 362에 도시됨)이 규칙에 의해 해석될 수 있으며, 상기 규칙은 변칙의 인간 친화적 설명을 갖는 영역과 상호연관시키기 위하여 매뉴얼 관찰에 대한 지식에 의해 세워진다. 일실시예에서, 높은 오차 목적 IP 엔트로피 및 낮은 오차 목적 포트 엔트로피의 영역에서 하강하는 변칙은 웜 스캔이다. 도 3i는 실제 네트워크 트래픽 및 그것의 해석에 대한 본 발명의 평가에 의해 획득되는 실제 데이터의 테이블을 도시한다. 테이블은엔트로피 메트릭 레벨(- 높은, + 낮은)이 도면에 도시된 다양한 변칙 타입들(복수의 라벨들)로서 해석되는 클러스터링 위치들을 형성하는 방법에 대해 사기 개시된 4개 피쳐들에 대해 도시된다. 이것은 변칙 분류가 위치가 클러스터링 동안 피쳐로서 부가되는 경우 달성되도록 하고, 본 발명은 동시적 분류 및 국부화를 허용한다. 분류될 수 있는 다른 변칙 타입들은 컨텐츠 분포, 라우팅 루프, 트래픽 엔지니어링, 과부하를 포함한다. 본 발명은 클러스터링 기반 접근법을 사용하여 이전에 공지된 것 이상의 다른 변칙들을 발견할 수 있다. 이것은 새로운 네트워크 변칙 타입들을 식별하기 위한 접근법의 관리되지 않는 습득을 제공한다.
이러한 방식으로 본 발명을 사용하는 네트워크를 위한 다양한 서비스 제공자들(예를 들어, 서비스 제공자 네트워크들 또는 케이블 제공자들)은 변칙들을 다루고 그러한 능력의 가입자들에게 보장하기 위하여 개선 단계들을 취할 수 있다. 이는 잠재적으로 그들의 서비스를 보다 매력적으로 만들 것이다. 제공자들은 또한 네트워크 엘리먼트들에 대한 필수적인 액세스를 제공함으로써 독립적인 시스템 분석자들에게 이러한 기능을 계약하여, 새로운 비지니스 기회를 창출할 수 있다.
본 발명은 서비스 제공자 네트워크들에서의 사용을 위하여 개시되었으나, 수송 고속 하이웨이 네트워크, 우편 서비스 네트워크 및 센서 네트워크들과 같은 다른 타입의 네트워크들에도 동일하게 사용될 수 있다.
Claims (75)
- 통신 네트워크 트래픽을 모니터링하기 위한 방법으로서,복수의 네트워크 엘리먼트들상에 통신 네트워크 트래픽을 총괄적으로 특징화시키는 복수의 타임 시리즈들을 형성하는 단계; 및상기 복수의 네트워크 엘리먼트들 중 적어도 두 개에 존재하는 적어도 하나의 통신 네트워크 트래픽 패턴으로 상기 복수의 타임 시리즈들을 분해하는 단계를 포함하는, 통신 네트워크 트래픽 모니터링 방법.
- 제1항에 있어서,상기 다중 타임 시리즈들은 데이터 스트림으로부터 형성되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제1항에 있어서,상기 다중 타임 시리즈들은 복수의 소스들로부터 형성되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 통신 네트워크 트래픽을 모니터링하기 위한 방법으로서,시간에 따라 복수의 네트워크 엘리먼트들상에 통신 네트워크 트래픽을 총괄적으로 특징화시키는 복수의 타임 시리즈들을 형성하는 단계; 및상기 복수의 네트워크 엘리먼트들 중 적어도 하나에 존재하는 적어도 하나의 통신 네트워크 트래픽 패턴으로 시간에 따라 상기 복수의 타임 시리즈들을 분해하는 단계를 포함하는, 통신 네트워크 트래픽 모니터링 방법.
- 제1항에 있어서,상기 복수의 타임 시리즈들은 다중 네트워크 위치들의 통신 네트워크 트래픽에 대응하는 데이터로부터 형성되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제5항에 있어서,상기 분해하는 단계는 상기 타임 시리즈들에 대한 주요 컴포넌트 분석을 수행하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제1항에 있어서,상기 복수의 네트워크 엘리먼트들에 존재하는 정규 통신 네트워크 트래픽 패턴들을 나타내는 데이터 모델을 구성하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제7항에 있어서,상기 구성하는 단계는 정규 통신 네트워크 트래픽의 저-차원 근사치를 형성하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제8항에 있어서,상기 구성하는 단계는 상기 타임 시리즈로부터 통신 네트워크 트래픽 정보의 일부(fraction)를 나타내는 적어도 하나의 패턴을 추출하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제8항에 있어서,상기 구성하는 단계는 상기 타임 시리즈로부터 엔트로피에 의한 측정에 따라 상기 통신 네트워크 트래픽 정보의 일부를 나타내는 적어도 하나의 패턴을 추출하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제1항 내지 제10항 중 어느 한 항에 있어서,변칙을 검출하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제11항에 있어서,상기 변칙을 검출하는 단계는 상기 통신 네트워크 트래픽의 데이터 플로우를 추정하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방 법.
- 제11항에 있어서,상기 검출하는 단계는 적어도 하나의 패킷을 카운트하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제13항에 있어서,상기 검출하는 단계는 패킷 컨텐츠를 처리하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제11항에 있어서,상기 검출하는 단계는 상기 변칙의 형태를 검출하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제11항에 있어서,상기 검출하는 단계는 정규 네트워크 트래픽과 별개로 오차(residual) 통신 네트워크 트래픽을 식별하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제16항에 있어서,상기 분석하는 단계는 상기 오차 통신 네트워크 트래픽이 통계적 임계치를 초과하는 경우를 판단하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제17항에 있어서,상기 판단하는 단계는 변칙에 의해 영향을 받는 하나 이상의 네트워크 엘리먼트들에 상기 변칙을 국부화시키는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제18항에 있어서,상기 국부화시키는 단계는 적합성(fit)을 발견하기 위하여 적어도 하나의 습득된 가설과 상기 변칙을 비교하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제1항 내지 제19항 중 어느 한 항에 있어서,상기 통신 네트워크 트래픽의 피쳐에서 편차를 발견하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제20항에 있어서,상기 발견하는 단계는 엔트로피를 사용하는 개수의 트래픽 피쳐의 분포를 요 약하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제20항에 있어서,피쳐 편차를 국부화시키는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제1항 내지 제22항 중 어느 한 항에 있어서,상기 분해하는 단계는 클러스터링 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 통신 네트워크 트래픽을 분석하기 위한 방법으로서,복수의 네트워크 엘리먼트들상에 통신 네트워크 트래픽에 대응하는 적어도 하나의 치수를 갖는 하나 이상의 소스들로부터 하나 이상의 데이터 타입들로부터의 모델을 형성하는 단계; 및상기 통신 네트워크 트래픽의 모델에서 패턴으로서 변칙을 검출하는 단계를 포함하는, 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 검출된 변칙 패턴은 DoS 공격; 웜 스캔; 포트 스캔; 플래시 크라우드(flash crowd); 컨텐츠 분포; 대형 트래픽 시프트; 과부하; 휴지(outage) 사건; 라우팅 루프; 트래픽 엔지니어링으로 구성된 그룹에서 하나 이상의 변칙을 특징화하는 패턴인 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 패턴은 이전에 공지된 패턴인 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 검출하는 단계는 상기 통신 네트워크 트래픽의 데이터 플로우를 추정하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 검출하는 단계는 적어도 하나의 패킷을 카운트하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제28항에 있어서,상기 검출하는 단계는 패킷 컨텐츠를 처리하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 검출하는 단계는 상기 변칙의 형태를 검출하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항에 있어서,상기 검출하는 단계는 정규 네트워크 트래픽으로부터 오차 통신 네트워크 트래픽을 식별하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제31항에 있어서,상기 분석하는 단계는 상기 오차 통신 네트워크 트래픽 또는 상기 정규 통신 네트워크 트래픽 중 하나가 통계적 임계치를 초과하는 경우를 판단하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제32항에 있어서,상기 판단하는 단계는 상기 변칙에 의해 영향을 받는 하나 이상의 네트워크 엘리먼트들에 상기 변칙을 국부화시키는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제33항에 있어서,상기 국부화시키는 단계는 적합성을 발견하기 위하여 적어도 하나의 미리 정 해진 가설과 상기 변칙을 비교하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항 내지 제34항 중 어느 한 항에 있어서,상기 통신 네트워크 트래픽의 피쳐에서 편차를 발견하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제35항에 있어서,상기 발견하는 단계는 엔트로피를 사용하는 개수의 분포를 요약하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제35항에 있어서,상기 변칙에 의해 영향을 받는 하나 이상의 네트워크 엘리먼트들에 상기 피쳐의 편차를 국부화시키는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 제24항 내지 제37항 중 어느 한 항에 있어서,상기 검출하는 단계를 클러스터링 단계를 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 분석 방법.
- 통신 네트워크에서 변칙을 검출하기 위한 방법으로서,통신 네트워크 트래픽의 복수의 피쳐들로부터 판단된 패턴에서의 편차를 발견하는 단계를 포함하는, 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,상기 패턴 편차는 DoS 공격; 웜 스캔; 포트 스캔; 플래시 크라우드; 컨텐츠 분포; 대형 트래픽 시프트; 과부하; 휴지 사건; 라우팅 루프; 트래픽 엔지니어링으로 구성된 그룹에서 하나 이상의 변칙을 특징화하는 패턴인 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제40항에 있어서,상기 패턴은 이전에 공지되지 않은 변칙을 나타내는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,상기 편차를 발견하는 단계는 소스 어드레스, 목적 어드레스, 애프리케이션 포트 및 프로토콜 정보의 피쳐들을 포함하는 피쳐들의 세트로부터 편차를 발견하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,편차를 발견하는 단계는 통신 네트워크 트래픽의 데이터 플로우를 추정하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,상기 편차를 발견하는 단계는 적어도 하나의 패킷을 카운트하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제44항에 있어서,상기 편차를 발견하는 단계는 패킷 컨텐츠를 처리하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,상기 편차를 발견하는 단계는 상기 변칙의 형태를 검출하는 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항에 있어서,영향을 받은 엘리먼트들에 상기 편차를 국부화시키는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 제39항 내지 제 47항 중 어느 한 항에 있어서,상기 편차를 발견하는 단계는 클러스터링 단계를 포함하는 것을 특징으로 하는 통신 네트워크에서의 변칙 검출 방법.
- 통신 네트워크 트래픽을 모니터링하기 위한 방법으로서,적어도 통신 네트워크 트래픽 피쳐의 분포를 발생시키는 단계;상기 분포의 엔트로피를 추정하는 단계; 및상기 통신 네트워크 트래픽 피쳐의 엔트로피가 상기 엔트로피의 임계치와 상이한 경우 상기 통신 네트워크 트래픽 피쳐를 변칙적인 것으로 지정하는 단계를 포함하는, 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,네트워크 트래픽 히스토리로부터 상기 분포의 엔트로피의 상기 임계치를 확립하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,상기 네트워크 트래픽 피쳐는 소스 IP, 목적 IP, 소스 포트, 목적 포트 및 통신 프로토콜 중 하나 이상으로 이루어진 그룹으로부터 선택되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,상기 엔트로피를 추정하는 단계는 통신 네트워크의 단일 엘리먼트에 대한 상기 통신 네트워크 트래픽 피쳐 분포의 엔트로피를 추정하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,상기 엔트로피를 추정하는 단계는 피쳐 분포에서 높거나 낮은 것으로 상기 엔트로피를 식별하는 단계를 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,상기 통신 네트워크 트래픽 피쳐의 엔트로피를 추정하는 단계는 매트릭스 동작을 더 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 제49항에 있어서,상기 엔트로피를 추정하는 단계는 시간 간격과 관련하여 상기 분포의 엔트로피의 추정을 포함하는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 방법.
- 변칙을 검출하기 위한 방법으로서,복수의 타입들 및 복수의 소스들에 대응하는 네트워크 통신 트래픽의 모델을 형성하는 단계;상기 모델로부터 패턴을 추출하는 단계; 및변칙을 식별하기 위하여 상기 패턴의 임계치를 설정하는 단계를 포함하는, 변칙 검출 방법.
- 네트워크 통신 트래픽 특징화를 위한 방법으로서,복수의 네트워크 통신 트래픽 피쳐들상에 데이터를 클러스터링하는 단계; 및상기 네트워크 통신에서 정규 트래픽 상태를 식별하기 위하여 모델을 형성하는 단계를 포함하는, 네트워크 통신 트래픽 특징화 방법.
- 네트워크 통신 트래픽 특징화를 위한 방법으로서,복수의 네트워크 통신 트래픽 피쳐들상에 데이터를 클러스터링하는 단계; 및상기 네트워크 통신에서 변칙 트래픽 상태를 식별하기 위하여 모델을 형성하는 단계를 포함하는, 네트워크 통신 트래픽 특징화 방법.
- 하나 이상의 서비스 제공자에 의해 통신이 제공되는 네트워크에서, 상기 제공자가 소비자에게 서비스를 보장하기 위한 방법으로서,제8항 내지 제58항 중 어느 한 항의 방법을 수행하는 단계; 및상기 검출된 변칙을 국부화하는 단계를 포함하는, 네트워크에서 제공자가 소비자에게 서비스를 보장하는 방법.
- 제59항에 있어서,상기 네트워크상의 데이터에 대한 액세스를 획득하는 단계를 더 포함하는 것을 특징으로 하는 네트워크에서 제공자가 소비자에게 서비스를 보장하는 방법.
- 제39항에 있어서,복수의 상기 통신 네트워크 트래픽의 피쳐들로부터 판단된 패턴으로부터 임계치를 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크에서 제공자가 소비자에게 서비스를 보장하는 방법.
- 제1항 내지 제61항 중 어느 한 항의 방법을 수행하기 위한 프로세싱 명령어들로 인코딩된 장치.
- 제62항에 있어서,상기 인코딩은 미디어의 하나 이상의 엘리먼트들상에서 이루어지는 것을 특징으로 하는 인코딩된 장치.
- 제62항에 있어서,상기 인코딩은 하나 이상의 프로세서들에서 이루어지고, 이에 따라 인코딩되는 상기 하나 이상의 프로세서들은 상기 방법을 수행하기에 효과적인 것을 특징으로 하는 인코딩된 장치.
- 통신 네트워크 트래픽을 모니터링하기 위한 장치로서,복수의 네트워크 엘리먼트들상에서 통신 네트워크 트래픽을 총괄적으로 특징화하는 복수의 타임 시리즈들을 형성하는 수단; 및상기 복수의 네트워크 엘리먼트들 중 적어도 둘에 존재하는 적어도 하나의 통신 네트워크 트래픽 패턴으로 상기 복수의 타임 시리즈들을 분해하는 수단을 포함하는, 통신 네트워크 트래픽 모니터링 장치.
- 제65항에 있어서,상기 다중 타임 시리즈들은 데이터 스트림으로부터 형성되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 장치.
- 제65항에 있어서,상기 다중 타임 시리즈들은 복수의 소스들로부터 형성되는 것을 특징으로 하는 통신 네트워크 트래픽 모니터링 장치.
- 통신 네트워크 트래픽을 모니터링하기 위한 장치로서,시간에 따라 복수의 네트워크 엘리먼트들상에 통신 네트워크 트래픽을 총괄적으로 특징화하는 복수의 타임 시리즈들을 형성하는 수단; 및상기 복수의 네트워크 엘리먼트들 중 적어도 하나에 존재하는 적어도 하나의 통신 네트워크 트래픽 패턴으로 시간에 따라 상기 복수의 타임 시리즈들을 분해하는 수단을 포함하는, 통신 네트워크 트래픽 모니터링 장치.
- 통신 네트워크 트래픽을 분석하기 위한 장치로서,복수의 네트워크 엘리먼트들상에 통신 네트워크 트래픽에 대응하는 적어도 하나의 치수를 갖는 하나 이상의 소스들로부터 하나 이상의 데이터 타입들로부터의 모델을 형성하는 수단; 및상기 통신 네트워크 트래픽의 모델에서 패턴으로서 변칙을 검출하는 수단을 포함하는, 통신 네트워크 트래픽 분석 장치.
- 통신 네트워크에서 변칙을 검출하기 위한 장치로서,복수의 통신 네트워크 트래픽의 피쳐들로부터 판단된 패턴에서 편차를 발견하는 수단을 포함하는, 통신 네트워크에서의 변칙 검출 장치.
- 통신 네트워크 트래픽을 모니터링하기 위한 장치로서,적어도 통신 네트워크 트래픽 피쳐들의 분포를 발생시키는 수단;상기 분포의 엔트로피를 추정하는 수단; 및상기 통신 네트워크 트래픽 피쳐의 엔트로피가 상기 엔트로피의 임계치와 상이한 경우 상기 통신 네트워크 트래픽 피쳐가 변칙적인 것으로 지정하는 수단을 포함하는, 통신 네트워크 트래픽 모니터링 장치.
- 변칙 검출을 위한 장치로서,복수의 타입들 및 복수의 소스들에 대응하는 네트워크 통신 트래픽의 모델을 형성하는 수단;상기 모델로부터 패턴을 추출하는 수단; 및변칙을 식별하기 위하여 상기 패턴의 임계치를 설정하는 수단를 포함하는, 변칙 검출 장치.
- 네트워크 통신 트래픽 특징화를 위한 장치로서,복수의 네트워크 통신 트래픽 피쳐들상에 데이터를 클러스터링하는 수단; 및상기 네트워크 통신에서 정규 트래픽 상태를 식별하기 위하여 모델을 형성하는 수단를 포함하는, 네트워크 통신 트래픽 특징화 장치.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US69484005P | 2005-06-29 | 2005-06-29 | |
US69485305P | 2005-06-29 | 2005-06-29 | |
US60/694,853 | 2005-06-29 | ||
US60/694,840 | 2005-06-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080066653A true KR20080066653A (ko) | 2008-07-16 |
Family
ID=37596051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087002379A KR20080066653A (ko) | 2005-06-29 | 2006-06-29 | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 |
Country Status (9)
Country | Link |
---|---|
US (1) | US8869276B2 (ko) |
EP (1) | EP1907940A4 (ko) |
JP (1) | JP2008545343A (ko) |
KR (1) | KR20080066653A (ko) |
AU (1) | AU2006263653A1 (ko) |
CA (1) | CA2613793A1 (ko) |
IL (1) | IL188344A0 (ko) |
IN (1) | IN2015MN00459A (ko) |
WO (1) | WO2007002838A2 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180055957A (ko) * | 2016-11-16 | 2018-05-28 | 순천향대학교 산학협력단 | 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 |
Families Citing this family (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9037698B1 (en) | 2006-03-14 | 2015-05-19 | Amazon Technologies, Inc. | Method and system for collecting and analyzing time-series data |
KR101303643B1 (ko) * | 2007-01-31 | 2013-09-11 | 삼성전자주식회사 | 침입 코드 탐지 장치 및 그 방법 |
TWI331868B (en) * | 2007-06-11 | 2010-10-11 | Univ Nat Pingtung Sci & Tech | Detecting method of network invasion |
US7933946B2 (en) | 2007-06-22 | 2011-04-26 | Microsoft Corporation | Detecting data propagation in a distributed system |
EP2023572B1 (en) * | 2007-08-08 | 2017-12-06 | Oracle International Corporation | Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor |
US7996510B2 (en) * | 2007-09-28 | 2011-08-09 | Intel Corporation | Virtual clustering for scalable network control and management |
US8954562B2 (en) * | 2007-09-28 | 2015-02-10 | Intel Corporation | Entropy-based (self-organizing) stability management |
KR20090041198A (ko) * | 2007-10-23 | 2009-04-28 | 한국정보보호진흥원 | 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 |
US9843596B1 (en) * | 2007-11-02 | 2017-12-12 | ThetaRay Ltd. | Anomaly detection in dynamically evolving data and systems |
US8503302B2 (en) | 2007-12-31 | 2013-08-06 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using numerical packet features |
WO2009086843A1 (en) | 2007-12-31 | 2009-07-16 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using symbolic packet features |
US8717913B2 (en) | 2008-06-20 | 2014-05-06 | T-Mobile Usa, Inc. | Method and system for user based network analysis and planning |
US8472328B2 (en) * | 2008-07-31 | 2013-06-25 | Riverbed Technology, Inc. | Impact scoring and reducing false positives |
WO2010084344A1 (en) | 2009-01-20 | 2010-07-29 | Secerno Ltd | Method, computer program and apparatus for analysing symbols in a computer system |
US8230272B2 (en) * | 2009-01-23 | 2012-07-24 | Intelliscience Corporation | Methods and systems for detection of anomalies in digital data streams |
US20100287416A1 (en) * | 2009-03-17 | 2010-11-11 | Correlsense Ltd | Method and apparatus for event diagnosis in a computerized system |
US8474041B2 (en) * | 2009-04-22 | 2013-06-25 | Hewlett-Packard Development Company, L.P. | Autonomous diagnosis and mitigation of network anomalies |
JP4980396B2 (ja) * | 2009-06-30 | 2012-07-18 | 日本電信電話株式会社 | トラヒック特性計測方法および装置 |
US8245302B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network attack visualization and response through intelligent icons |
US8245301B2 (en) * | 2009-09-15 | 2012-08-14 | Lockheed Martin Corporation | Network intrusion detection visualization |
US8666731B2 (en) * | 2009-09-22 | 2014-03-04 | Oracle International Corporation | Method, a computer program and apparatus for processing a computer message |
US7920983B1 (en) | 2010-03-04 | 2011-04-05 | TaKaDu Ltd. | System and method for monitoring resources in a water utility network |
GB2507184B (en) * | 2010-03-04 | 2014-08-13 | Takadu Ltd | System and method for monitoring resources in a water utility network |
CN101848160B (zh) * | 2010-05-26 | 2012-07-18 | 钱叶魁 | 在线检测和分类全网络流量异常的方法 |
US8719930B2 (en) * | 2010-10-12 | 2014-05-06 | Sonus Networks, Inc. | Real-time network attack detection and mitigation infrastructure |
US8683591B2 (en) * | 2010-11-18 | 2014-03-25 | Nant Holdings Ip, Llc | Vector-based anomaly detection |
US8583386B2 (en) * | 2011-01-18 | 2013-11-12 | TaKaDu Ltd. | System and method for identifying likely geographical locations of anomalies in a water utility network |
CN102130800B (zh) * | 2011-04-01 | 2013-08-28 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
US8737204B2 (en) | 2011-05-02 | 2014-05-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
US9106689B2 (en) | 2011-05-06 | 2015-08-11 | Lockheed Martin Corporation | Intrusion detection using MDL clustering |
US20120283991A1 (en) * | 2011-05-06 | 2012-11-08 | The Board of Trustees of the Leland Stanford, Junior, University | Method and System for Online Detection of Multi-Component Interactions in Computing Systems |
CN102271091B (zh) * | 2011-09-06 | 2013-09-25 | 电子科技大学 | 一种网络异常事件分类方法 |
US8817655B2 (en) | 2011-10-20 | 2014-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
EP2587751A1 (en) | 2011-10-24 | 2013-05-01 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and arrangement for data clustering |
US9141914B2 (en) | 2011-10-31 | 2015-09-22 | Hewlett-Packard Development Company, L.P. | System and method for ranking anomalies |
US8341106B1 (en) | 2011-12-07 | 2012-12-25 | TaKaDu Ltd. | System and method for identifying related events in a resource network monitoring system |
CN103186551B (zh) * | 2011-12-28 | 2016-06-08 | 金蝶软件(中国)有限公司 | 基于web应用平台的异常分析方法及仿真系统 |
US9053519B2 (en) | 2012-02-13 | 2015-06-09 | TaKaDu Ltd. | System and method for analyzing GIS data to improve operation and monitoring of water distribution networks |
US9471544B1 (en) | 2012-05-24 | 2016-10-18 | Google Inc. | Anomaly detection in a signal |
US10242414B2 (en) | 2012-06-12 | 2019-03-26 | TaKaDu Ltd. | Method for locating a leak in a fluid network |
US9628499B1 (en) | 2012-08-08 | 2017-04-18 | Google Inc. | Statistics-based anomaly detection |
CN103051475B (zh) * | 2012-12-20 | 2016-08-03 | 瑞斯康达科技发展股份有限公司 | 网管设备、分级网管系统及其查询被管设备状态的方法 |
US9614742B1 (en) * | 2013-03-14 | 2017-04-04 | Google Inc. | Anomaly detection in time series data |
US9380066B2 (en) | 2013-03-29 | 2016-06-28 | Intel Corporation | Distributed traffic pattern analysis and entropy prediction for detecting malware in a network environment |
US9503465B2 (en) | 2013-11-14 | 2016-11-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to identify malicious activity in a network |
WO2015091784A1 (en) * | 2013-12-19 | 2015-06-25 | Bae Systems Plc | Data communications performance monitoring |
EP2887579A1 (en) * | 2013-12-19 | 2015-06-24 | BAE Systems PLC | Data communications performance monitoring using principal component analysis |
US10972345B1 (en) * | 2019-02-20 | 2021-04-06 | Amdocs Development Limited | System, method, and computer program for evaluating confidence level of predicting a network situation in a communication network managed using artificial intelligence |
US10601688B2 (en) | 2013-12-19 | 2020-03-24 | Bae Systems Plc | Method and apparatus for detecting fault conditions in a network |
US9692674B1 (en) | 2013-12-30 | 2017-06-27 | Google Inc. | Non-parametric change point detection |
WO2015112162A1 (en) * | 2014-01-24 | 2015-07-30 | Hewlett-Packard Development Company, L.P. | Identifying deviations in data |
US9652354B2 (en) | 2014-03-18 | 2017-05-16 | Microsoft Technology Licensing, Llc. | Unsupervised anomaly detection for arbitrary time series |
US9503467B2 (en) | 2014-05-22 | 2016-11-22 | Accenture Global Services Limited | Network anomaly detection |
US9973520B2 (en) * | 2014-07-15 | 2018-05-15 | Cisco Technology, Inc. | Explaining causes of network anomalies |
US10230747B2 (en) | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
CN105337951B (zh) * | 2014-08-15 | 2019-04-23 | 中国电信股份有限公司 | 对系统攻击进行路径回溯的方法与装置 |
US9716721B2 (en) | 2014-08-29 | 2017-07-25 | Accenture Global Services Limited | Unstructured security threat information analysis |
US9407645B2 (en) | 2014-08-29 | 2016-08-02 | Accenture Global Services Limited | Security threat information analysis |
US10505819B2 (en) | 2015-06-04 | 2019-12-10 | Cisco Technology, Inc. | Method and apparatus for computing cell density based rareness for use in anomaly detection |
US9729571B1 (en) * | 2015-07-31 | 2017-08-08 | Amdocs Software Systems Limited | System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms |
US9979743B2 (en) | 2015-08-13 | 2018-05-22 | Accenture Global Services Limited | Computer asset vulnerabilities |
US9886582B2 (en) | 2015-08-31 | 2018-02-06 | Accenture Global Sevices Limited | Contextualization of threat data |
US10193780B2 (en) | 2015-10-09 | 2019-01-29 | Futurewei Technologies, Inc. | System and method for anomaly root cause analysis |
DE112015006466B4 (de) * | 2015-10-23 | 2024-05-02 | NEC Laboratories Europe GmbH | Verfahren und System zur Unterstützung der Detektion von Unregelmässigkeiten in einem Netzwerk |
JP6078179B1 (ja) * | 2016-01-20 | 2017-02-08 | 西日本電信電話株式会社 | セキュリティ脅威検出システム、セキュリティ脅威検出方法、及びセキュリティ脅威検出プログラム |
CN105808639B (zh) * | 2016-02-24 | 2021-02-09 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
JP6518000B2 (ja) * | 2016-02-26 | 2019-05-22 | 日本電信電話株式会社 | 分析装置、分析方法および分析プログラム |
US10659333B2 (en) | 2016-03-24 | 2020-05-19 | Cisco Technology, Inc. | Detection and analysis of seasonal network patterns for anomaly detection |
US10659481B2 (en) * | 2016-06-29 | 2020-05-19 | Paypal, Inc. | Network operation application monitoring |
US10079768B2 (en) | 2016-07-07 | 2018-09-18 | Cisco Technology, Inc. | Framework for joint learning of network traffic representations and traffic classifiers |
US10223191B2 (en) * | 2016-07-20 | 2019-03-05 | International Business Machines Corporation | Anomaly detection in performance management |
US20180077227A1 (en) * | 2016-08-24 | 2018-03-15 | Oleg Yeshaya RYABOY | High Volume Traffic Handling for Ordering High Demand Products |
US10505894B2 (en) | 2016-10-13 | 2019-12-10 | Microsoft Technology Licensing, Llc | Active and passive method to perform IP to name resolution in organizational environments |
KR20200007931A (ko) * | 2017-05-18 | 2020-01-22 | 익스팬스 인코포레이티드 | 상관관계 중심 위협 평가 및 치료 |
US11934937B2 (en) | 2017-07-10 | 2024-03-19 | Accenture Global Solutions Limited | System and method for detecting the occurrence of an event and determining a response to the event |
WO2019026684A1 (ja) * | 2017-08-04 | 2019-02-07 | 日本電信電話株式会社 | 経路制御方法及び経路設定装置 |
CN110110160B (zh) * | 2017-12-29 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 确定数据异常的方法及装置 |
US10547518B2 (en) * | 2018-01-26 | 2020-01-28 | Cisco Technology, Inc. | Detecting transient vs. perpetual network behavioral patterns using machine learning |
CN108566340B (zh) * | 2018-02-05 | 2021-03-09 | 中国科学院信息工程研究所 | 基于动态时间规整算法的网络流量精细化分类方法和装置 |
US11005870B2 (en) * | 2018-11-27 | 2021-05-11 | General Electric Company | Framework to develop cyber-physical system behavior-based monitoring |
US11405413B2 (en) * | 2019-02-01 | 2022-08-02 | Microsoft Technology Licensing, Llc | Anomaly lookup for cyber security hunting |
WO2021133791A1 (en) * | 2019-12-23 | 2021-07-01 | Boon Logic Inc. | Method for network traffic analysis |
WO2021262136A1 (en) * | 2020-06-22 | 2021-12-30 | Hewlett-Packard Development Company, L.P. | Monitoring an embedded system |
US11652833B2 (en) | 2020-07-24 | 2023-05-16 | Microsoft Technology Licensing, Llc | Detection of anomalous count of new entities |
US11398970B2 (en) * | 2020-08-05 | 2022-07-26 | Cisco Technology, Inc. | Internet last-mile outage detection using IP-route clustering |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
WO2002046928A1 (en) * | 2000-12-04 | 2002-06-13 | Rensselaer Polytechnic Institute | Fault detection and prediction for management of computer networks |
WO2003001333A2 (en) * | 2001-06-20 | 2003-01-03 | Arbor Networks, Inc., | Detecting network misuse |
US8220052B2 (en) * | 2003-06-10 | 2012-07-10 | International Business Machines Corporation | Application based intrusion detection |
US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
-
2006
- 2006-06-29 WO PCT/US2006/025398 patent/WO2007002838A2/en active Application Filing
- 2006-06-29 JP JP2008519568A patent/JP2008545343A/ja active Pending
- 2006-06-29 IN IN459MUN2015 patent/IN2015MN00459A/en unknown
- 2006-06-29 CA CA002613793A patent/CA2613793A1/en not_active Abandoned
- 2006-06-29 AU AU2006263653A patent/AU2006263653A1/en not_active Abandoned
- 2006-06-29 US US11/988,056 patent/US8869276B2/en active Active
- 2006-06-29 KR KR1020087002379A patent/KR20080066653A/ko not_active Application Discontinuation
- 2006-06-29 EP EP06774286A patent/EP1907940A4/en not_active Withdrawn
-
2007
- 2007-12-23 IL IL188344A patent/IL188344A0/en unknown
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180055957A (ko) * | 2016-11-16 | 2018-05-28 | 순천향대학교 산학협력단 | 이상 데이터 분석을 통한 네트워크 침입 검출 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
AU2006263653A1 (en) | 2007-01-04 |
US20100071061A1 (en) | 2010-03-18 |
WO2007002838A2 (en) | 2007-01-04 |
JP2008545343A (ja) | 2008-12-11 |
EP1907940A2 (en) | 2008-04-09 |
EP1907940A4 (en) | 2012-02-08 |
US8869276B2 (en) | 2014-10-21 |
IL188344A0 (en) | 2008-04-13 |
IN2015MN00459A (ko) | 2015-09-04 |
WO2007002838A8 (en) | 2008-07-31 |
WO2007002838A3 (en) | 2007-12-06 |
CA2613793A1 (en) | 2007-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20080066653A (ko) | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 | |
CN112651006B (zh) | 一种电网安全态势感知系统 | |
Rabbani et al. | A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing | |
Suresh et al. | Evaluating machine learning algorithms for detecting DDoS attacks | |
Lakhina et al. | Diagnosing network-wide traffic anomalies | |
Yeung et al. | Covariance-matrix modeling and detecting various flooding attacks | |
Marnerides et al. | Traffic anomaly diagnosis in Internet backbone networks: A survey | |
Fernandes Jr et al. | Autonomous profile-based anomaly detection system using principal component analysis and flow analysis | |
Chatzigiannakis et al. | Diagnosing anomalies and identifying faulty nodes in sensor networks | |
Palmieri et al. | A nonlinear, recurrence-based approach to traffic classification | |
Gajewski et al. | Two-tier anomaly detection based on traffic profiling of the home automation system | |
Qin et al. | Monitoring abnormal network traffic based on blind source separation approach | |
Zolotukhin et al. | Data mining approach for detection of DDoS attacks utilizing SSL/TLS protocol | |
JP2020022133A (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
Lu et al. | Botnets detection based on irc-community | |
Kline et al. | Traffic anomaly detection at fine time scales with bayes nets | |
Xu | Network Behavior Analysis | |
Muelas et al. | Dictyogram: A statistical approach for the definition and visualization of network flow categories | |
Chatzigiannakis et al. | Improving network anomaly detection effectiveness via an integrated multi‐metric‐multi‐link (M3L) PCA‐based approach | |
Kalutarage | Effective monitoring of slow suspicious activites on computer networks. | |
Zhang et al. | A space-efficient fair packet sampling algorithm | |
Zabri et al. | Analyzing network intrusion behavior of packet capture using association rules technique: an initial framework | |
Benova et al. | Detecting anomalous user behavior from NGINX web server logs | |
Zhang et al. | Traffic features extraction and clustering analysis for abnormal behavior detection | |
David et al. | A parallel approach to pca based malicious activitydetection in distributed honeypot data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |