DE102005049561A1 - Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms - Google Patents

Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms Download PDF

Info

Publication number
DE102005049561A1
DE102005049561A1 DE102005049561A DE102005049561A DE102005049561A1 DE 102005049561 A1 DE102005049561 A1 DE 102005049561A1 DE 102005049561 A DE102005049561 A DE 102005049561A DE 102005049561 A DE102005049561 A DE 102005049561A DE 102005049561 A1 DE102005049561 A1 DE 102005049561A1
Authority
DE
Germany
Prior art keywords
network
anomalies
attacks
automatic
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102005049561A
Other languages
German (de)
Inventor
Achim Müller
Sahin Albayrak
Udo Bub
Peter Feil
Marcin Solarski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Technische Universitaet Berlin
Deutsche Telekom AG
Original Assignee
Technische Universitaet Berlin
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Technische Universitaet Berlin, Deutsche Telekom AG filed Critical Technische Universitaet Berlin
Priority to DE102005049561A priority Critical patent/DE102005049561A1/en
Publication of DE102005049561A1 publication Critical patent/DE102005049561A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

The method involves automatic detection of network measurement data in the context of a defined time regime suitable for representing network activities so as to reflect the real world in the network, compressing the data, automatically detecting cluster structures/categories and the related plans during a continuous training and learning process, automatically monitoring the validity of the detected plans and cluster structures/categories and filtering out and assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or the frequency of false alarms.

Description

Die vorliegende Erfindung bezieht sich allgemein auf das Gebiet der Netzwerktechnik und betrifft die Erkennung von Anomalien in Weitverkehrsnetzen und lokalen Netzen. Darunter wird insbesondere die Erkennung von Netzwerkangriffen durch böswillige Benutzer/Angreifer verstanden, die beispielsweise versuchen, einen oder mehrere Server durch einen Dienstverweigerungs-Angriff/Denial-of-Service-Attac/DoS-Angriff lahm zu legen.The The present invention relates generally to the field of Network technology and relates to the detection of anomalies in wide area networks and local networks. This includes, in particular, the detection of network attacks by malicious user / attacker understood, for example, try one or more servers by a denial of service attack / Denial of Service Attac / DoS attack to paralyze.

In www.heise.de/ix/ artikel/2205/04/107 Artikel Christoph Puppe, Jörn Maier ist ausgeführt, dass die ersten Denial of Service Angriffe, die bekannt geworden sind, auf die Webseiten von Yahoo, CCN eBay Amazon und anderer Diensteanbieter erfolgten. Am 09.02. 2000 begann „Mafiaboy" seine Angriffe und sorgte eine Woche lang für massive Störungen. Am 10. März 200 brach das Vertrauen der Anleger in die Internet-Aktien zusammen und an der Börse wurden 2,7 Billionen US-Dollar vernichtet.In www.heise.de/ix/ article / 2205/04/107 Article Christoph Puppe, Jörn Maier is executed that the first denial of service attacks that became known are on the websites of Yahoo, CCN eBay Amazon and other service providers were made. On 09.02. In 2000, "Mafiaboy" began its attacks and cared for a week long for massive disruptions. On the 10th of March 200 collapsed investor confidence in the Internet shares and on the stock exchange $ 2.7 trillion was destroyed.

Die Folgen einer solchen Attacke sind neben einem immensen materiellen Verlust immer auch ein Vertrauensverlust der Kunden und Anleger in das angegriffene Unternehmen. Sicherheitsfragen von Computersystemen sind daher, insbesondere auch aus den o.a. Gründen, in der letzten Zeit immer wichtiger geworden. Das liegt darin begründet, dass Einerseits die Anzahl der Angriffe auf Netzwerke, und insbesondere auch auf Server, ständig zunimmt, und dass Andererseits immer mehr Computer sowohl mit Weitverkehrsnetzen (WAN), als auch mit lokalen Netzwerken (LAN), verbunden sind.The Consequences of such an attack are next to an immense material Loss also always a loss of confidence of customers and investors into the attacked company. Security issues of computer systems are therefore, in particular from the o.a. Reasons, in recent times always become more important. This is due to the fact that on the one hand, the number the attacks on networks, and especially on servers, is constantly increasing, and that, on the other hand, more and more computers are using both wide area networks (WAN) as well as local area networks (LAN).

Primitive DoS-Angriffe belasten die Dienste eines Servers, beispielsweise HTTP, mit einer größeren Anzahl von Anfragen als dieser bearbeiten kann. Im Ergebnis wird der betroffene Server die Bearbeitung einstellen oder die regulären Anfragen so langsam beantworten dass die Beantwortung abgebrochen wird.primitive DoS attacks encumber the services of a server, for example HTTP, with a larger number of requests as this can handle. As a result, the affected Server stop processing or answer the regular requests so slowly that the answer is canceled.

Noch effektiver in seiner Wirkung ist ein Angriff, der darauf beruht, einen Programmfehler auszunutzen um eine Fehlerfunktion in der Serversoftware auszulösen, welche dann im Ergebnis zum Absturz des Servers führt. Einem solchen Angriff kann jedoch die Grundlage durch Verbesserung der Softwareprogramme bzw. durch Vermeidung von Programmfehlern entzogen werden.Yet more effective in its effect is an attack based on exploit a program error to trigger an error function in the server software, which then results in the crash of the server. Such an attack However, this can be the basis by improving the software programs or by avoiding program errors.

Erfolgt der Angriff koordiniert von einer größeren Anzahl anderer Systeme, spricht man von einem Distributet-Denial-of-Service-Angriff, DDoS-Angriff. Strategie dieser Angriffe ist es, mit Backdoor Programmen, welche sich alleine auf anderen Rechnern im Netzwerk verbreiten, dem Angreifer weitere Wirte zum Ausführen seiner Angriffe zur Verfügung zu stellen.He follows the attack is coordinated by a larger number of other systems, one speaks of a Distributet Denial of Service attack, DDoS attack. The strategy of these attacks is to work with backdoor programs spread alone on other machines in the network, the attacker more hosts to run his attacks too put.

Eine besondere Form des Angriffes ist die distributed reflected denial of service Attacke DRDoS-Attacke. Bei dieser Art des Angriffes adressiert der Angreifer seine Datenpakete nicht direkt an das Opfer, sondern an regulär arbeitende Internet-Dienste. Er trägt jedoch als Absenderadresse die Adresse des Opfers ein (IP-Spoofing). Die Antworten auf diese Anfragen stellen dann für das Opfer den eigentlichen DoS-Angriff dar. Der Ursprung des Angriffs ist für das Opfer durch diese Verfahrensweise praktisch nicht mehr ermittelbar.A special form of attack is the distributed reflected denial of service attack DRDoS attack. Addressed at this type of attack the attacker does not send his data packets directly to the victim, but instead at regular working internet services. He carries however as sender address the victim's address (IP spoofing). The answers to this Inquire then for the victim is the actual DoS attack. The origin of the attack is for the victim by this procedure practically no longer be determined.

Es ist auch prinzipiell festzustellen, das nach wie vor die Anfälligkeit vor DoS-Angriffen eine der gravierendsten Schwachstelle des Internet ist.It In principle, this is still the susceptibility before DoS attacks one of the most serious vulnerability of the Internet is.

Die Schwachstellen des Internets, die DoS-Angriffe erst ermöglichen, sind systemimmanent und liegen insbesondere darin begründet, das es im Internet nicht vorgesehen ist, jeden Kommunikationspartner eindeutig zu identifizieren, eine zentrale Verwaltung der Datentransfers zu bieten oder jedem Teilnehmer einen Anteil an der vorhandenen Bandbreite zu garantieren.The Internet vulnerabilities that allow DoS attacks are inherent in the system and are in particular justified in that it is not provided on the Internet, each communication partner clearly to identify a centralized management of data transfers too offer or each participant a share of the existing bandwidth to guarantee.

Für das Erkennen von Sicherheitsproblemen in einem Rechnernetz gibt es zwei unterschiedliche Lösungsansätze. Der erste Lösungsansatz wird als wissensbasiertes Verfahren bezeichnet. Dem wissensbasierten Verfahrensansatz liegt die Annahme zugrunde, dass dem System alle möglichen Angriffsarten bekannt sind. Für jeden Angriff gibt es eine definierte Signatur. Ein System zur Überwachung des Datenverkehrs sucht nach diesen Signaturen und identifiziert sie.For the recognition There are two different solutions to security problems in a computer network. Of the first solution is called a knowledge-based process. The knowledge-based Process approach is based on the assumption that the system all potential Attack types are known. For every attack has a defined signature. A system for monitoring Traffic searches for these signatures and identifies them she.

In US-Patentschrift 5,278,901 wird ein derartiges signaturbasiertes System beschrieben.In US Patent 5,278,901 will be such a signature based System described.

Vorteil dieses Verfahrens ist es, dass sehr selten ein falscher Alarm ausgelöst wird, d. h. die Fehlerrate ist verhältnismäßig niedrig. Der wesentliche Nachteil dieses Lösungsansatzes wird darin gesehen, dass systembedingt auch nur die Angriffe erkannt werden können, deren Signaturen bereits gespeichert sind. Gegenwärtig sind jedoch so viele Angriffe zu verzeichnen, dass die Anzahl der unterschiedlichen Signaturen sehr schnell zunimmt. Viele Signaturen sind auch so strukturiert, dass sie sich schwierig über einen Algorithmus darstellen lassen. Zwei Beispiele für Produkte, die auf dem wissensbasierten Lösungsansatz beruhen, sind NetRanger von Cisco Systems (siehe www.alliancedaracom.com/manifacturers/cisco-systems/security_vpn/ids.asp) und RealSecure von Internet Security Systems Inc. (siehe www.rioco.co.uk/products/intrusion_detektion/Datasheet_RealSecure.pdf)The advantage of this method is that very rarely a false alarm is triggered, ie the error rate is relatively low. The main disadvantage of this approach is seen in the fact that systemically only the attacks can be detected, the signatures are already stored. Currently, however, there are so many attacks that the number of different signatures is increasing very fast. Many signatures are also structured in such a way that they are difficult to represent using an algorithm. Two examples of products based on the knowledge-based approach are NetRanger from Cisco Systems (see www.alliancedaracom.com/manifacturers/cisco-systems/security_vpn/ids.asp) and RealSecure from Internet Security Systems Inc. (see www.rio co.co.uk/products/intrusion_detektion/Datasheet_RealSecure.pdf)

Der zweite Lösungsansatz wird als verhaltensbasierter Ansatz bezeichnet. Er geht von der Annahme aus, dass sich das „Verhalten" eines Systems verändert, wenn ein Angriff auf das System erfolgt. Bei dem verhaltensbasierten Ansatz wird für das System ein Normalprofil definiert. Ausgehend von dem Normalprofil wird nach Abweichungen gesucht.Of the second approach is called a behavioral approach. He goes from the Assume that the "behavior" of a system changes when an attack on the system takes place. In the behavior-based Approach is for the system defines a normal profile. Starting from the normal profile is searched for deviations.

Zwei Beispiele für neue, gerade angekündigte Produkte, die auf dem verhaltensbasierten Lösungsansatz beruhen sollen, sind Cisco Guard XT 5650 (siehe www.cisco.com/en/US/products/ps5894) bzw. Cisco Traffic Anomaly Detector XT 5600 (siehe www.cisco.com/en/US/products/ps5892).Two examples for new, just announced Products based on the behavioral approach are Cisco Guard XT 5650 (see www.cisco.com/en/US/products/ps5894) or Cisco Traffic Anomaly Detector XT 5600 (see www.cisco.com/en/US/products/ps5892).

Für die Realisierung dieses verhaltensbasierten Lösungsansatzes können verschiedene Verfahren, z. B. statistische Verfahren, regelbasierte Systeme und neuronale Netze eingesetzt werden. Eine Art von künstlichen neuronalen Netzen stellen beispielsweise selbstorganisierende Karten (Self-Organizing Maps/SOMs oder Self-Organizing Feature Maps) dar, die nach Teuvo Kohonen auch als Kohonennetze bezeichnet werden.For the realization this behavior-based approach can various methods, e.g. Statistical methods, rule-based systems and neural networks are used. A kind of artificial neural networks, for example, make self-organizing maps (Self-Organizing Maps / SOMs or Self-Organizing Feature Maps), which according to Teuvo Kohonen are also called Kohonen nets.

Mittels der oben genannten Verfahren können unterschiedliche Überwachungsziele, wie beispielsweise die Benutzer des Systems, die Leistungsparameter des Rechnernetzes, die CPU-Takte usw. definiert werden. Der Hauptvorteil gegenüber dem wissensbasierten Ansatz ist, darin zu sehen, dass beim verhaltensbasierten Lösungsansatz auch unbekannte Angriffsarten erkannt werden können. Es entfällt bei diesem Lösungsansatz somit der Zwang eine Datenbank permanent mit den bekannten Signaturen aktualisieren zu müssen.through the above method can different monitoring goals, such as the users of the system, the performance parameters of the computer network, the CPU clocks, etc. are defined. The main advantage compared to the knowledge-based approach is to look at the behavioral-based approach even unknown types of attack can be detected. It is omitted in this approach thus forcing a database permanently with the well-known signatures to update.

Der Nachteil dieses Lösungsansatzes beruht darin, dass es auch ohne einen Angriff zu Abweichungen kommen kann, die beispielsweise durch Änderungen der Benutzeraktivitäten, neue Software, neue Maschinen und neue Benutzer ausgelöst werden.Of the Disadvantage of this approach This is because deviations occur even without an attack can, for example, through changes the user activities, new software, new machines and new users are triggered.

Die Schwierigkeit bei diesem Lösungsansatz besteht daher darin, normales Nutzerverhalten von einem böswilligen Angriff zu unterscheiden.The Difficulty in this approach exists therefore, normal user behavior of a malicious To distinguish attack.

Der verhaltensbasierte Ansatz kann daher aufgrund des angewendeten Lösungsprinzips zu einer sehr hohen Anzahl von Fehlalarmen führen, die das Verfahren für den Anwender unattraktiv machen.Of the Behavior-based approach can therefore be due to the applied solution principle lead to a very high number of false alarms, which is the procedure for the user make it unattractive.

Eine weitere Lösung, die auf dem verhaltensbasierten Lösungsansatz beruht, ist aus DE 698 17 176 T2 bekannt. Bei dieser Lösung handelt es sich um ein Verfahren und eine Vorrichtung zur Eindringdetektion, vorrangig in einem Rechnersystem, das auf Ereignismustern basiert und insbesondere die Erkennung von Abweichungen von einem „normalen" Prozessverhalten und somit die Erkennung von Angriffen gegen diesen Prozess betrifft. Diese Lösung basiert

  • a) auf einem Trainingsmodus, dem eine Tabelle charakteristischer, den Prozess darstellender Muster zugrunde liegt, die das normale Verhalten eines Modellprozesses in dem Rechner definieren, durch Ausführen der Schritte – Erstellen einer ersten Ereignissequenz durch Filtern eines ersten durch den Modellprozess generierten Ereignisdatenstroms – Verwenden des Teiresias-Algorithmus zum Extrahieren von Ereignissequenzmustern, aus der ersten Ereignissequenz, wobei die Muster den Modellprozess darstellen, – Speichern der den Prozess darstellenden Muster und
  • b) auf einem Betriebsmodus, in dem aus einem realen Prozess charakteristische Muster durch Ausführen der folgenden Schritte extrahiert werden; – Erstellen einer zweiten Ereignissequenz durch Filtern eines durch den realen Prozess generierten Ereignisdatenstromes, – Vergleichen der ersten Ereignissequenz mit den gespeicherten, den Prozess darstellenden Mustern und – Anzeigen des Ergebnisses des Vergleichsschrittes.
Another solution based on the behavioral approach is out DE 698 17 176 T2 known. This solution is a method and an apparatus for intrusion detection, primarily in a computer system based on event patterns and in particular the detection of deviations from a "normal" process behavior and thus the detection of attacks against this process
  • a) on a training mode based on a table of characteristic patterns representing the process, defining the normal behavior of a model process in the computer by performing the steps of - creating a first event sequence by filtering a first event data stream generated by the model process - using Teiresias algorithm for extracting event sequence patterns, from the first event sequence, wherein the patterns represent the model process, - storing the pattern representing the process and
  • b) an operation mode in which patterns characteristic of a real process are extracted by performing the following steps; - creating a second event sequence by filtering an event data stream generated by the real process, - comparing the first event sequence with the stored process representative patterns, and - displaying the result of the comparing step.

Bei dem Teiresias Algorithmus, siehe auch US 6,108,666A und DE 698 17 176T2 handelt es sich um einen Suchalgorithmus der 1996 von IBM entwickelt wurde und der ursprünglich dazu vorgesehen war, genetische Sequenzdaten nach wiederkehrenden genetischen Muster zu durchsuchen. Zukünftig soll dieser Algorithmus im Rahmen eines Anti-Spam-Filters eingesetzt werden.In the Teiresias algorithm, see also US 6,108,666A and DE 698 17 176T2 is a search algorithm developed by IBM in 1996 and originally intended to search genetic sequence data for recurring genetic patterns. In the future, this algorithm will be used as part of an anti-spam filter.

Weiterhin sind Verfahren bekannt, die auf die automatische Bildung von Hypothesen über Intentionen aus beobachtetem Verhalten ausgerichtet sind (Verfahren zur Planerkennung). Unter Intentionen werden dabei solche Ziele/Pläne eines Akteurs bzw. einer Gruppe von Akteuren verstanden, die von ihm bzw. von ihnen innerhalb der nächsten Zeit angestrebt werden und die ihm auch in diesem Zeitraum erreichbar erscheinen. Nicht unter den Begriff der Intention fallen also längerfristige Ziele und Ziele, über deren Umsetzung sich der Akteur noch keine Gedanken gemacht hat (siehe www.dfki.uni-sb.de/vitra/papers/sport89/node9.html).Farther Methods are known that are based on the automatic formation of hypotheses about intentions from observed behavior (plan recognition method). Under intentions are such goals / plans of an actor or a Group of actors understood by him or by them within the next Time to be striven for and reachable to him also in this period appear. Not the term of intention therefore includes longer-term ones Goals and goals over which Implementation of the actor has not thought (see www.dfki.uni-sb.de/vitra/papers/sport89/node9.html).

Die existierenden Verfahren gehen im Kern zumeist davon aus, dass Daten und Messungen auf Rechnersystemen – sogenannten Hosts – durchgeführt werden. Diese Ansätze sind für einen direkten Einsatz in den Netzwerk-Infrastrukturen selber nur bedingt geeignet, da dort auf einer höheren Aggregationsebene Daten zusammengefasst und analysiert werden müssen. Dies erfordert wesentlich komplexere und auf die besondere Situation in den Netzen ausgerichtete Formen von Erkennungsmechanismen.Essentially, the existing methods are based on data and measurements Computer systems - so-called hosts - are performed. These approaches are only of limited suitability for direct deployment in the network infrastructures themselves because data must be aggregated and analyzed at a higher aggregation level. This requires much more complex forms of recognition mechanisms, geared to the particular situation in the networks.

Ziel der vorliegenden Erfindung ist es, unter Zugrundelegen des verhaltensbasierten Lösungsansatzes Denial-of-Service-Angriffe in IP-basierten Netzwerken nahezu in Echtzeit zu erkennen, wobei die unterschiedlichen Anforderungen an eine automatische Erkennung von Denial-of-Service-Angriffen in Einklang zu bringen sind.aim The present invention is based on the behavior-based approach Denial-of-service attacks in IP-based networks almost in Real-time detection, with different requirements an automatic detection of denial-of-service attacks in Are to be reconciled.

Ausgehend vom verhaltensbasierten Lösungsansatz beruht die Erfindung auf der Einführung eines kontinuierlichen Lernprozesses mit dem sich „normales Verhalten" von Netzwerkressourcen verstehen lässt. Das wird durch ein Verfahren erreicht, bei dem zwei an sich bekannte Lösungsansätze erstmalig im Rahmen einer neuen eigenständigen Lösung zusammengeführt werden.outgoing from the behavior-based approach the invention is based on the introduction of a continuous Learning process with the "normal Behavior of Network Resources to understand. This is achieved by a method in which two known per se Solution approaches for the first time in the context of a new independent solution together become.

Erstens werden in kontinuierlichen Zeitabständen Netzwerkmessdaten erfasst, die geeignet sind, fortlaufend eine symbolische Darstellung der in dem zu überwachenden Netzwerk auftretenden Netzwerkaktivitäten zu generieren. Für die symbolische Darstellung der Netzwerkaktivitäten werden die erfassten Netzwerkdaten mittels Techniken des „unüberwachten Lernens" komprimiert.First network metrics are collected at continuous intervals, which are suitable, continuously a symbolic representation of in the to be monitored Network to generate network activity. For the symbolic Presentation of network activities the acquired network data are collected by means of techniques of "unmonitored Learning "compressed.

Unter Techniken des unüberwachten Lernens wird hier maschinelles Lernen ohne im Voraus bekannte Klassen verstanden. Beispiele für solches unüberwachtes maschinelles Lernen sind die automatische Gruppenbildung (Clustering) oder die Komprimierung von Daten zur Dimensionsreduktion. Ausgehend von den gemäß der Prinzipien des so verstandenen „unüberwachten maschinellen Lernens" ermittelten und komprimierten Informationen zu den Netzwerkaktivitäten bzw. zum Netzwerkstatus werden diese komprimierten Netzwerkmessdaten in symbolischer Form durch Clusterstrukturen dargestellt.Under Techniques of the unsupervised Learning here becomes machine learning without classes known in advance Understood. examples for such unsupervised machine learning is automatic grouping (clustering) or compressing data for dimensionality reduction. outgoing from those according to the principles of the thus understood "unsupervised machine learning " and compressed information about the network activity or Network status becomes these compressed network metrics symbolically represented by cluster structures.

Zweitens werden an sich bekannte Techniken der Planerkennung auf die in symbolischer Form, beispielsweise durch SOMs dargestellten Netzwerkdaten angewendet. Damit sollen die dem Lernverhalten zugrunde liegenden Regeln erkannt und modelliert werden. Auf der Grundlage dieses Lösungsansatzes lassen sich zukünftig Abweichungen vom „normalen Netzverhalten nahezu in Echtzeit erkennen. Ein Beispiel für die Erfassung von Netzwerkmessdaten in Cluster-Strukturen und Plan- Datenbanken ist in 1 dargestellt.Secondly, plan detection techniques known per se are applied to the network data represented in symbolic form, for example by SOMs. This is intended to recognize and model the rules underlying the learning behavior. On the basis of this approach, deviations from "normal network behavior can be detected almost in real time in the future. An example of collecting network metrics in clustered structures and plan databases is in 1 shown.

Zum Sammeln der Netzwerkmessdaten gibt es grundsätzlich zwei unterschiedliche Arten der Messung.To the There are basically two different ways of collecting network measurement data Types of measurement.

Bei der passiven Messung erfolgt das Sammeln der Netzwerkmessdaten durch Abtasten (Sampling) und durch Verarbeiten von Datenpaketen aus dem Benutzerverkehr. Die aktive Messung erfolgt durch Abtasten und Verarbeiten von Testpaketen, die zu Messzwecken zusätzlich in das Netzwerk injiziert werden. Um eine Minderung der Netzwerkleistung festzustellen, werden beispielsweise folgende Messgrößen ermittelt:

  • – Konnektivität (connectivity)
  • – Einfache Verzögerung (one-way-delay) und Umlaufverlust (one-way-loss)
  • – Netzlaufzeit (round-trip-delay)
  • – Laufzeitvariation (delay variation)
  • – Verlustmuster (loss patterns)
  • – Umordnung der Pakete (packet reordering)
  • – Massentransportkapazität (bulk transport capacity) und
  • – Link-Bandbreitenkapazität (link bandwidth capacity)
In passive measurement, network measurement data is collected by sampling and processing data packets from user traffic. The active measurement is done by sampling and processing test packages, which are additionally injected into the network for measurement purposes. To determine a reduction in network performance, the following measured variables are determined, for example:
  • - connectivity
  • - One-way-delay and one-way-loss
  • - Network runtime (round trip delay)
  • - runtime variation (delay variation)
  • - loss patterns
  • - reordering of the packets (packet reordering)
  • - Mass transport capacity (bulk transport capacity) and
  • - Link bandwidth capacity

Netzwerkmessdaten, die nach den oben beschriebenen Verfahren ermittelt wurden, werden in vordefinierte Kategorien eingeordnet, oder mit Hilfe von „unüberwachtem maschinellen Lernen" in Gruppen/Clustern eingeteilt. Dabei handelt es sich jedoch nicht um die Zuordnung zu vordefinierten Kategorien, sondern um „gelernte" Kategorien, die sich automatisch aufgrund unterschiedlicher Netzaktivitäten als Beobachtungsschwerpunkte erwiesen haben.Network measurement data, obtained by the methods described above arranged in predefined categories, or with the help of "unmonitored machine learning "in Divided into groups / clusters. This is not the case to the assignment to predefined categories, but to "learned" categories, the Automatically due to different network activities as observation focal points have proven.

Danach werden die erfassten und zugeordneten Daten als Trainingsmaterial zur Erkennung von Plänen bei einem speziellen Typ von Verkehrs- oder Protokolldaten verwendet. Dabei kann es sich beispielsweise um den mittleren Durchsatz von Edge-Routern in einem Netzwerksegment oder auch um die durchschnittliche Antwortzeit von Webservern bei http-Anfragen in einer Hosting-Umgebung handeln. Voraussetzung ist, dass die gewählten Datenströme Aspekte der realen Welt wiedergeben und damit geeignet sind, alle relevanten Netzwerkaktivitäten zu repräsentieren, wobei genügend Messungen vorliegen müssen, um hinreichend stabile Clusterstrukturen zu erkennen.After that The recorded and assigned data are used as training material for recognizing plans used in a special type of traffic or log data. For example, this may be the average throughput of edge routers in a network segment or even the average response time of web servers to act on http requests in a hosting environment. The condition is that the elected streams Reproduce aspects of the real world and are therefore suitable, all related network activities represent, being enough Must have measurements to detect sufficiently stable cluster structures.

Innerhalb welchen Zeitraumes eine Clusterstruktur stabil bleiben muss, richtet sich nach der Art der Anwendung, d. h. danach, ob eine Leistungsminderung von Routern auf der Grundlage von Clustern auf Verkehrsspitzen-Szenarien hin beobachtet werden soll, oder ob es auf das Klick- und Surfverhalten von Internetnutzern ankommt.The period over which a cluster structure must remain stable depends on the type of application, ie whether performance degradation of routers based on clusters is to be observed in traffic-peak scenarios, or whether it depends on click and surf behavior of Internet users arrives.

Beispielsweise wird bei einer selbstorganisierenden Karte nach einer zu vernachlässigenden Trainingszeit aus den Messergebnissen eine erste Clusterstruktur C1 ermittelt. Die Clusterstruktur bleibt über einen gewissen Zeitraum stabil und beginnt dann zu zerfallen bzw. in eine andere Clusterstruktur C2 überzugehen, die wiederum nach einer gewissen Zeit zerfällt.For example becomes a self-organizing card after a negligible training time determined from the measurement results, a first cluster structure C1. The cluster structure remains over stable for a certain period of time and then begin to disintegrate or to move into another cluster structure C2, which in turn after a time decays.

Bemerkenswert an diesem Prozess ist folgendes:
Unüberwachtes maschinelles Lernen setzt in der Regel voraus, dass die zu beobachtende Domaine eine gewisse Stabilität aufweiset. Das unterstützt die weitere Verwendung der identifizieren Cluster als Eingabe für darauf aufbauende Planerkennungsalgorithmen, welche die identifizierten Cluster nach wiederkehrenden Mustern durchsuchen. Das geschieht allerdings auf einer abstrakten Ebene innerhalb der vorliegenden Clusterstrukturen.Remarkable in this process is the following:
Unmonitored machine learning usually requires that the observed domain has some stability. This supports the further use of the identified clusters as input to scheduling algorithms based thereon, which search the identified clusters for recurring patterns. However, this happens on an abstract level within the existing cluster structures.

Wird die beobachtete Welt instabil, beginnt der gesamte Trainingszyklus von neuem. Bei einem IP-basierten Datennetzwerk kann die Clusterbildung vor allem dadurch instabil werden, dass in der realen Welt eine größere Veränderung eintritt, die durch die sich verändernden Messergebnisse manifestiert wird.Becomes the observed world unstable, the entire training cycle begins again. In an IP-based data network, clustering may occur All of which makes it unstable, that in the real world a bigger change entering through the changing Measurement results is manifested.

Im vorstehend beschriebenen Beispiel einer Router- oder Serverbelastung kann eine solche Veränderung schon dadurch hervorgerufen werden, dass eine beliebte Fernsehsendung ausgestrahlt wird und dadurch größere Benutzergruppen zeitgleich von der Internet- zur Fernsehnutzung übergehen. Das aus diesem Vorgang resultierende Ergebnis wäre eine plötzliche Änderung der Verkehrs- oder Lastmuster, die je nach der geographischen Verteilung der Benutzer oder ihrer individuellen Präferenzen bei der Internetnutzung wiederum Auswirkungen auf die jeweilige Clusterstruktur haben. Andererseits ist eine Stabilität zu beobachten, wenn große Benutzergruppen kohärentes Verhalten zeigen, was sich beispielsweise in typischen Internetzeiten, wie z. B. um 22.00 Uhr oder in der späten Nacht, nachweisen lässt.in the example of a router or server load described above can such a change already be caused by a popular television program is broadcast and thereby larger user groups switch from Internet to TV at the same time. That from this process resulting result would be a sudden change the traffic or load patterns, depending on the geographical distribution the user or their individual preferences when using the internet have an impact on the respective cluster structure. On the other hand a stability to watch when big Coherent user groups Show behavior, for example, in typical Internet times, such as B. at 22.00 clock or in the late night, can be detected.

Im Hinblick auf die erfindungsgemäße Architektur lassen Perioden stabiler Clusterstrukturen darauf schließen, dass keine größeren Veränderungen eingetreten sind. Dagegen kann eine Instabilität, wie bereits beschrieben, natürliche Ursachen haben oder aber auf böswilligem Verhalten beruhen, wie etwa einem verteilten Denial-of-Service-Angriff; DDoS-Angriff. Absichtliches Überfluten von Netzwerksegmenten oder Massenanfragen an Zielserver lösen eine kurzfristige Änderung der Clusterstruktur aus, sofern sie nicht zeitgleich mit einer natürlichen Stabilitätsänderung der Clusterstruktur zusammenfallen.in the With regard to the architecture according to the invention Periods of stable cluster structures suggest that no major changes occurred are. In contrast, instability, as already described, can natural Causes or malicious Behavior, such as a distributed denial-of-service attack; DDoS attack. Deliberate flooding from network segments or bulk requests to destination servers trigger a short-term change of the cluster structure unless they coincide with a natural one stability change of the cluster structure coincide.

Da die zugrunde liegende reale Welt, die durch Messungen in einem IP-basierten Netz abgebildet wird, typischen Mustern folgt, beispielsweise, wenn ganze Benutzergruppen während eines definierbaren Zeitraumes zum Fernsehkonsum übergehen, lässt sich der Übergang der Clusterstruktur als planbasiertes Verhalten erklären. Unter einem Plan wird hier regelbasiertes Verhalten verstanden, welches durch eine Gruppe autonomer Agenten verursacht wird, deren Verhalten wohldefinierte Ziele zugrunde liegen. Dabei werden diese Ziele jedoch nicht offen gelegt. Weiterhin wird davon ausgegangen, dass die genaue Definition der Agenten ebenfalls unbekannt ist. Lediglich die Existenz dieser Agenten und die Tatsache, dass das Verhalten der Agenten als planbasiert betrachtet werden darf, ist als gesichert anzusehen.There the underlying real world by measurements in an IP based Network is imaged, follows typical patterns, for example, if entire user groups during a definable period of time to go to television, let yourself the transition Explain the cluster structure as plan-based behavior. Under A plan is understood here to be rule-based behavior, which caused by a group of autonomous agents whose behavior underlying well-defined goals. However, these goals will be not disclosed. Furthermore, it is assumed that the exact Definition of the agents is also unknown. Only the existence of these agents and the fact that the behavior of the agents as can be considered plan-based, is to be regarded as secured.

Nachfolgend wird ein Beispiel für planbasiertes Verhalten von Benutzergruppen anhand des Alltags von Studenten beschrieben.following will be an example of plan-based behavior of user groups based on the everyday life of Students described.

Betrachten wir, wie allgemein in 2 abgebildet, den Alltag junger Studenten mit einer Vorliebe für abendliche Kino- oder Clubbesuche und nächtlichem Surfen im Internet. Die diesem Beispiel zugrunde liegende reale Welt sei eine große Universitätsstadt, wie beispielsweise Berlin. Die diesem Szenario zugrunde liegende reale Welt wird durch die bereits beschriebenen Messungen des Datenverkehrs in ausgewählten Edge-Routern und durch beobachtbare http-Anfragen erfasst. Die Messungen erfolgen dabei beispielsweise im Abstand von 100 Millisekunden und können ca. 200 Werte je Messdurchlauf umfassen.Consider, as generally in 2 Pictured, the everyday life of young students with a fondness for evening movie or club visits and nocturnal surfing on the Internet. The real world underlying this example is a large university city, such as Berlin. The real world underlying this scenario is captured by the already described traffic measurements in selected edge routers and observable http requests. The measurements take place, for example, at a distance of 100 milliseconds and can comprise about 200 values per measurement run.

Nach einer Zeit intensiven Internetsurfens durch eine Vielzahl von Studenten, die in einen Zeitraum von ca 22:00 Uhr bis 04:00 Uhr fällt, begeben sich die meisten Studenten etwa zwischen 04:00 Uhr und 05:00 Uhr zur Ruhe um etwas Schlaf zu finden, ehe um 09:00 Uhr die nächste Vorlesung beginnt.To a time of intense internet surfing by a variety of students, which falls in a period of about 22:00 clock to 04:00 clock, go most of the students attend between 04:00 and 05:00 Rest to find some sleep before the next lecture at 09:00 starts.

Wenn in der gewählten Stadt signifikant viele Studenten diesem Verhaltensmuster folgen, ist nach einem Retraining der SOMs eine Änderung der Clusterstruktur zu beobachten. Da die Cluster selber aber noch keinen Aufschluss über die Pläne, die den Änderungen zugrunde liegen, zulassen, werden in der zweiten Schicht die den Änderungen zugrunde liegenden Pläne mittels Analysetechniken ermittelt. Das erfolgt vorzugsweise in zwei Phasen. In der ersten Phase werden die Clusterstrukturen auf symbolischer Ebene betrachtet und eine lange Trainingsphase begonnen, um die in den symbolischen Darstellungen verborgenen Pläne zu erkennen. Im zweiten Schritt wird dann die Gültigkeit der erkannten Pläne überwacht und eine Anomalie als unerwarteter und nicht plankonformer Übergang in der Clusterbildung definiert, der nicht aufgrund des jeweiligen Plan- oder Clusterwissens mithilfe der verwendeten Messgrößen zur Quantifizierung von Entfernungen zwischen vorangegangenen und gegenwärtigen Zuständen oder Plänen zu erklären ist. Dabei sind zunächst voreingestellte Schwellwerte zur Bewertung herausgefilterter Anomalien zu verwenden, die in Abhängigkeit von der Erkennungsgenauigkeit echter Angriffe bzw. der Häufigkeit falscher Alarme automatisch angepasst werden.If a significant number of students in the selected city follow this pattern of behavior, a change in the cluster structure can be observed after retraining the SOMs. However, since the clusters themselves do not yet provide information about the plans that underlie the changes, in the second shift the underlying plans are determined using analysis techniques. This is preferably done in two phases. In the first phase, the cluster structures are considered on a symbolic level and a long training phase is begun in order to recognize the plans hidden in the symbolic representations. In the second Step then monitors the validity of the identified plans and defines an anomaly as an unexpected and nonconforming transition in clustering, which can not be explained by the measures used to quantify distances between previous and present states or plans, based on the respective plan or cluster knowledge , First, preset thresholds are used to evaluate filtered-out anomalies, which are automatically adjusted depending on the detection accuracy of real attacks or the frequency of false alarms.

Die Überwachung der Gültigkeit der erkannten Pläne und die Definition einer Anomalie als Übergang in der Clusterbildung erfolgt dabei in Form eines Kompromisses zwischen Genauigkeit und Geschwindigkeit. Ein Schlüsselaspekt für eine funktionierende Lösung der zu beachten ist, beruht darauf, dass die gewählten Werkzeuge, wie z. B. selbstorganisierende Karten, über eine inhärente Flexibilität verfügen, die der beobachteten realen Welt bzw. den beobachteten Netzwerkkomponenten angepasst werden muss. Bei geringer Granularität der Netzwerkmessungen oder Clusterzahlen ist die Aussagekraft des verwendeten Modells möglicherweise gering. Dies lässt sich beispielsweise anhand steigender DoS-Angriffe in einem Netzwerksegment veranschaulichen. Der Einfluss eines DoS-Angriffes auf ein Netzwerksegment ist anfangs schwach und mit groben Modellen, die auf einer geringen Anzahl von Netzwerkmessungen und einer geringen Anzahl von nachgewiesenen Clustern basieren, nicht darstellbar. Innerhalb eines kurzen Zeitraumes, gemessen vom Beginn des DoS-Angriffes, lassen sich Abweichungen, die auf den DoS-Angriff schließen lassen, nur bei feingranularen Modellen erkennen, die auf einer wesentlich größeren Anzahl von Netzwerkmessungen und einer größeren Anzahl von nachgewiesenen Clustern basieren. Andererseits steigt mit dem gewählten Genauigkeitsgrad der Cluster- oder Planmodelle der Umfang der benötigten Rechenressourcen, die zur Erfüllung der Echtzeitanforderungen benötigt werden.The supervision of validity the recognized plans and the definition of an anomaly as a transition in clustering takes the form of a compromise between accuracy and Speed. A key aspect for one working solution is to be observed, based on the fact that the selected tools, such. B. self-organizing maps, about an inherent one Have flexibility that the observed real world or the observed network components must be adjusted. At low granularity of network measurements or Cluster numbers may be the meaningfulness of the model used low. This leaves for example, with increasing DoS attacks in a network segment illustrate. The impact of a DoS attack on a network segment is initially weak and with rough models that are on a low Number of network measurements and a small number of detected ones Clusters are based, not representable. Within a short period of time, measured from the beginning of the DoS attack, deviations, which close to the DoS attack let, only with finely granular models recognize that on a substantial larger number network measurements and a larger number of detected clusters based. On the other hand, increases with the degree of accuracy selected Cluster or plan models the amount of needed Computing resources required to fulfill the real-time requirements are needed.

Es ist also ein Kompromiss zwischen Erfassungsgenauigkeit und Rechenzeit zu finden.It is therefore a compromise between detection accuracy and computing time to find.

3 stellt anhand eines Diagramms einen Kompromiss zwischen Erfassungsgenauigkeit und Rechenzeit graphisch dar. 3 Graphically represents a compromise between detection accuracy and computation time based on a diagram.

Die Entwicklung eines Arbeitsmodells, das in der Lage ist, DoS-Angriffe in einem kommerziellen IP- gestützten Netzwerk zu erkennen, erfordert bei der Verwendung von Algorithmen, wie beispielsweise SOM-Berechnungen und Algorithmen zur Planerkennung, ein genaues Verständnis von Leistungsanfragen an das Netzwerk. Aus der Bottom-up-Sicht können öffentlich zugängliche Testdaten aus bereits referenzierten Projekten verwendet werden, um die Geschwindigkeit bestehender Anwendungen zu überprüfen. Bei einem Top-down-Ansatz werden dagegen, ausgehend von einem Referenznetzwerk, das als Modell für Teile eines Kommunikations-Netzwerkes dienen kann, mithilfe der theoretisch gültigen Skalierbarkeitsgesichtspunkte Anforderungen an Rechenleistung an eine kommerzielle Anwendung abgeleitet, um die erforderliche Mindestleistung zu bestimmen.The Develop a working model that is capable of DoS attacks in a commercial IP-based Recognizing networks requires the use of algorithms, such as SOM calculations and plan recognition algorithms, an accurate understanding of power requests to the network. From the bottom-up point of view, public accessible Test data from already referenced projects are used to check the speed of existing applications. at a top-down approach On the other hand, starting from a reference network, they are modeled for parts a communication network can serve, using the theoretical valid scalability considerations Requirements for computing power derived to a commercial application, to determine the required minimum power.

Entscheidend ist, dass DoS-Angriffe und anderer Netzwerkprobleme mit der Erfindung nur dann erfolgreich erkannt werden können, wenn eine gewisse Mindestgenauigkeit eingehalten wird.critical is that DoS attacks and other network problems with the invention can only be successfully recognized if a certain minimum accuracy is complied with.

Claims (2)

Verfahren zur automatischen Erkennung von Anomalien in Weitverkehrsnetzen (WAN) und lokalen Netzen (LAN) und insbesondere von Denial-of-Service Angriffen unter Zugrundelegung des verhaltensbasierten Lösungsansatzes, gekennzeichnet durch die Schritte – automtisches Erfassen von Netzwerkmessdaten im Rahmen eines vorgegebenen Zeitregimes, die geeignet sind, Netzwerkaktivitäten so abzubilden, dass sie die reale Welt im Netzwerk wiederspiegeln, – komprimieren der Netzwerkmessdaten mittels Techniken des unüberwachten Lernens (Dimensionsreduktion), – automatisches ermitteln von Clusterstrukturen/Kategorien aus den kontinuierlich erfassten komprimierten Netzwerkmessdaten mittels Methoden des unüberwachten Lernens während eines ständigen kontinuierlichen Trainings- und Lernprozesses, – automatisches ermitteln der den Clusterstrukturen/Kategorien zugrunde liegenden Pläne mittels Algorithmen zur Planerkennung während eines ständigen kontinuierlichen Trainings- und Lernprozesses, – automatisches überwachen der Gültigkeit der erkannten Pläne und Clusterstrukturen/Kategorien sowie Herausfiltern von Anomalien im Sinne eines unerwarteten und nicht plankonformen Übergangs in mindestens einer Clusterstruktur/Kategorie, der sich nicht dem bisher ermittelten Plan- oder Clusterwissen zuordnen lässt, – automatisches bewerten der herausgefilterten Anomalien anhand voreingestellter Schwellwerte, die in Abhängigkeit von der Erkennungsgenauigkeit echter Angriffe bzw. der Häufigkeit falscher Alarme automatisch angepasst werden.Method for the automatic detection of anomalies in wide area networks (WAN) and local area networks (LAN) and in particular from denial-of-service attacks based on behavioral-based Approach, marked through the steps - automatic Acquiring network measurement data within a given time regime, which are suitable for mapping network activities in such a way that they reflect the real world in the network, - compress the network metrics using techniques of unsupervised Learning (dimensionality reduction), - automatic detection of Cluster structures / categories from the continuously collected compressed Network metrics using methods of unsupervised learning during one permanent continuous training and learning process, - automatic determine the underlying cluster structures / categories Plans by Algorithms for plan recognition during a permanent one continuous training and learning process, - automatic monitoring of validity the recognized plans and cluster structures / categories and filtering out anomalies in the sense of an unexpected and non-conformist transition in at least one cluster structure / category that does not conform to the assign previously determined plan or cluster knowledge, - automatic evaluate the filtered out anomalies based on pre-set Thresholds depending on the recognition accuracy of real attacks or the frequency false alarms are adjusted automatically. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Netzwerkmessdaten – Konnektivität (connectivity), – einfache Verzögerung (one-way-delay) und Umlaufverlust (one-way-loss), – Netzlaufzeit (round-trip-delay), – Laufzeitvariation (delay variation), – Verlustmuster (loss patterns), – Umordnung der Pakete (packet reordering), – Massentransportkapazität (bulk transport capacity) und – Link-Bandbreitenkapazität (link bandwidth capacity) für den ständigen kontinuierlichen Trainingsprozess erfasst werden.A method according to claim 1, characterized in that the network measurement data - connectivity, - simple delay (one-way-delay) and loss of circulation (one-way-loss), - network runtime (round-trip-delay), - delay variation, - loss patterns, - packet reordering, - mass transport capacity and link bandwidth capacity for the continuous continuous training process.
DE102005049561A 2005-10-12 2005-10-12 Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms Withdrawn DE102005049561A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005049561A DE102005049561A1 (en) 2005-10-12 2005-10-12 Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005049561A DE102005049561A1 (en) 2005-10-12 2005-10-12 Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms

Publications (1)

Publication Number Publication Date
DE102005049561A1 true DE102005049561A1 (en) 2007-04-19

Family

ID=37896441

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005049561A Withdrawn DE102005049561A1 (en) 2005-10-12 2005-10-12 Automatic recognition of anomalies in wide and local area networks involves filtering out, assessing anomalies using thresholds adapted depending on detection accuracy of real attacks and/or frequency of false alarms

Country Status (1)

Country Link
DE (1) DE102005049561A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171158B2 (en) 2011-12-12 2015-10-27 International Business Machines Corporation Dynamic anomaly, association and clustering detection

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6178450B1 (en) * 1997-07-01 2001-01-23 Kokusai Denshin Denwa Co., Ltd. Method and apparatus for monitoring a communication link based on TCP/IP protocol by emulating behavior of the TCP protocol
DE19929166A1 (en) * 1999-06-25 2001-03-22 Tektronix Inc Procedure for learning protocol rules from observed communication processes
WO2002021802A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement p oint within a computer network
EP1507360A1 (en) * 2003-08-14 2005-02-16 AT&T Corp. Method and apparatus for sketch-based detection of changes in network traffic
EP1580957A2 (en) * 2004-03-18 2005-09-28 AT&T Corp. Method and apparatus for rapid location of anomalies in IP traffic logs

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6178450B1 (en) * 1997-07-01 2001-01-23 Kokusai Denshin Denwa Co., Ltd. Method and apparatus for monitoring a communication link based on TCP/IP protocol by emulating behavior of the TCP protocol
DE19929166A1 (en) * 1999-06-25 2001-03-22 Tektronix Inc Procedure for learning protocol rules from observed communication processes
WO2002021802A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement p oint within a computer network
EP1507360A1 (en) * 2003-08-14 2005-02-16 AT&T Corp. Method and apparatus for sketch-based detection of changes in network traffic
EP1580957A2 (en) * 2004-03-18 2005-09-28 AT&T Corp. Method and apparatus for rapid location of anomalies in IP traffic logs

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9171158B2 (en) 2011-12-12 2015-10-27 International Business Machines Corporation Dynamic anomaly, association and clustering detection
US9292690B2 (en) 2011-12-12 2016-03-22 International Business Machines Corporation Anomaly, association and clustering detection
US9589046B2 (en) 2011-12-12 2017-03-07 International Business Machines Corporation Anomaly, association and clustering detection
US10140357B2 (en) 2011-12-12 2018-11-27 International Business Machines Corporation Anomaly, association and clustering detection

Similar Documents

Publication Publication Date Title
EP1223709B1 (en) Method and apparatus for computer aided monitoring of a telecommunications network
DE60210269T2 (en) METHOD AND SYSTEM FOR COMBATING ROBOTS AND ROGUES
DE69817176T2 (en) Method and device for intrusion detection in computers and computer networks
DE102005010923B4 (en) System, computer-usable medium and method for monitoring network activity
DE112010002445T9 (en) Identification of bots
DE602004004609T2 (en) Method and apparatus for model-based detection of changes in network traffic
DE60316543T2 (en) ADAPTIVE BEHAVIOR-RELATED IMPACT DETECTION
DE60115845T2 (en) SYSTEM AND METHOD FOR ASSESSING THE RELIABILITY OF NETWORK SECURITY WITH FUZZY LOGIC RULES
DE112010003099B4 (en) DETECTION OF LOW-LEAVED NETWORK UNITS
CN106844220A (en) A kind of method of testing and system of simulation computer web application real running environment
CN212259006U (en) Network security management equipment
EP2975801B1 (en) Method for detecting an attack in a computer network
EP2966828B1 (en) Method for detecting an attack on a work environment connected with a communications network
DE60114763T2 (en) Method and apparatus for filtering access, and computer product
CN109302396A (en) A kind of network security situational awareness method based on risk assessment
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN108111463A (en) The self study of various dimensions baseline and abnormal behaviour analysis based on average value and standard deviation
CN103457909A (en) Botnet detection method and device
CN113240116B (en) Wisdom fire prevention cloud system based on class brain platform
CN112560029A (en) Website content monitoring and automatic response protection method based on intelligent analysis technology
Tu et al. Detecting bot-infected machines based on analyzing the similar periodic DNS queries
DE202022102631U1 (en) Intelligent defense system against distributed Denial of Service (DDoS) attacks in Internet of Things (IoT) networks
Wang et al. Source-based defense against ddos attacks in sdn based on sflow and som
Chyssler et al. Alarm reduction and correlation in intrusion detection systems
Klymash et al. Concept of intelligent detection of DDoS attacks in SDN networks using machine learning

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20120807

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee