Неконтролируемое обнаружение аномалий в интернет-трафике

Неконтролируемое обнаружение аномалий в интернет-трафике

Филипп — Laboratoire D’Analyse, ET Architecture, LAAS CNRS

Обнаружение помех

Предложение:

1. Мульти-резо, агрегация потоков, обнаружение изменений и построение атрибутов

2. Кластеризация подпространства и накопление доказательств или объединение результатов межкластеризации

3. корреляция и характеристика с помощью правил фильтрации -> сигнатуры

Создать подписи

1. Использование оценки аномалий (неконтролируемый подход)
2. Использование подписей для потоков в кластерах (полууправляемый подход)

Время до обнаружения аномалии: T обнаружить = T слот + T также

Не могу в реальном времени.

Меньшие временные интервалы для сбора трафика

Dbscan -> GCA для ускорения алгоритма

Оценка, выполненная с данными ONTS

Grid-кластеризация ускоряется на 150

Эффективность обнаружения UNADA?

минимальный микро-слот, с которым может справиться ORUNADA?

Машинное обучение — изучение подписей на основе потока трафика

Оптимальный размер микрослота 0,3 секунды!!!!!!

KDD’99 — единственная надежная истина для оценки детектора аномалий.

MAWILab (Япония) использует 4 детектора для маркировки трафика

Европейский проект FP7 ONTIC нацелен на создание новой наземной истины.

-На основе собранного набора данных трафика ONTS

Вывод:

Детектор онлайн и в реальном времени на основе:

• постоянное обновление функционального пространства
• поэтапный подход к обнаружению
• распределенные вычисления
• менее 1 секунды
• Слишком много журналов и времени вычислений.
• DDOS-атака вернется через 2 недели
• 30–50% ресурсов, необходимых для остановки DDOS-атаки. Вы отрицаете свой собственный сервер.