Неконтролируемое обнаружение аномалий в интернет-трафике
Филипп — Laboratoire D’Analyse, ET Architecture, LAAS CNRS
Обнаружение помех
Предложение:
1. Мульти-резо, агрегация потоков, обнаружение изменений и построение атрибутов
2. Кластеризация подпространства и накопление доказательств или объединение результатов межкластеризации
3. корреляция и характеристика с помощью правил фильтрации -> сигнатуры
Создать подписи
- Использование оценки аномалий (неконтролируемый подход)
- Использование подписей для потоков в кластерах (полууправляемый подход)
Время до обнаружения аномалии: T обнаружить = T слот + T также
Не могу в реальном времени.
Меньшие временные интервалы для сбора трафика
Dbscan -> GCA для ускорения алгоритма
Оценка, выполненная с данными ONTS
Grid-кластеризация ускоряется на 150
Эффективность обнаружения UNADA?
минимальный микро-слот, с которым может справиться ORUNADA?
Машинное обучение — изучение подписей на основе потока трафика
Оптимальный размер микрослота 0,3 секунды!!!!!!
KDD’99 — единственная надежная истина для оценки детектора аномалий.
MAWILab (Япония) использует 4 детектора для маркировки трафика
Европейский проект FP7 ONTIC нацелен на создание новой наземной истины.
-На основе собранного набора данных трафика ONTS
Вывод:
Детектор онлайн и в реальном времени на основе:
- постоянное обновление функционального пространства
- поэтапный подход к обнаружению
- распределенные вычисления
- менее 1 секунды
- Слишком много журналов и времени вычислений.
- DDOS-атака вернется через 2 недели
- 30–50% ресурсов, необходимых для остановки DDOS-атаки. Вы отрицаете свой собственный сервер.