Network traffic anomalies detecting using maximum entropy method / Kompiuterių tinklo srauto anomalijų atpažinimas maksimalios entropijos metodu

• Main Authors: Dalius Mažeika, Saulius Jasonis
• Format: Article
• Language: English
• Published: Vilnius Gediminas Technical University 2014-04-01
• Series: Mokslas: Lietuvos Ateitis
• Subjects: anomalies detection; entropy; NetFlow; computer network
• Online Access: http://journals.vgtu.lt/index.php/MLA/article/view/3526

The problem of traffic anomalies in computer networks is analyzed. NetFlow packets are used as network traffic data and maximum entropy methods is used for anomalies detection. Method detects network anomalies by comparing the current network traffic against a baseline distribution. Method is adopted according to NetFow data and performace of the method is improved. Prototype of anomalies detection system was developed and experimental investigation carried out. Results of investigation confirmed that method is sensitive to deviations of the network traffic and can be successfully used for network traffic anomalies detection. Santrauka Straipsnyje nagrinėjama kompiuterių tinklo srauto anomalijų atpažinimo problema. Kompiuterių tinklo srautui stebėti pasirenkama NetFlow technologija, o anomalijos aptinkamos maksimalios entropijos metodu. Metodas pritaikytas NetFlow pateikiamiems duomenims apdoroti. Sukurta programinė priemonė ir atliktas eksperimentinis metodo tinkamumo tyrimas analizuojant „Cisco“ maršrutizatoriaus srauto duomenis. Metodas patobulintas siekiant pagreitinti skaičiavimus, tačiau neprarandant tikslumo. Nustatyta, kad metodas yra jautrus įvairaus tipo tinklo srauto nuokrypiams ir gali būti sėkmingai taikomas tinklo srauto anomalijoms aptikti. Reikšminiai žodžiai: anomalijų atpažinimas, entropija, NetFlow, kompiuterių tinklai.