包抽样对异常检测的影响及其消除方法研究

doi:10.3969/j.issn.1000-3428.2013.01.028

计算机工程 ›› 2013, Vol. 39 ›› Issue (1): 131-135. doi: 10.3969/j.issn.1000-3428.2013.01.028

包抽样对异常检测的影响及其消除方法研究

杨永强¹，邵超 ¹，张建辉 ²

(1. 河南财经政法大学计算机与信息工程学院，郑州 450002；2. 解放军信息工程大学信息技术研究所，郑州 450002)

收稿日期:2012-02-27 修回日期:2012-05-15 出版日期:2013-01-15 发布日期:2013-01-13
作者简介:杨永强(1974－)，男，讲师、硕士，主研方向：异常流量检测；邵超，副教授、博士；张建辉，讲师、博士
基金资助:
国家“973”计划基金资助项目(2012CB31900)

Research on Impact of Packet Sampling on Anomaly Detection and Its Elimination Method

YANG Yong-qiang ^1, SHAO Chao ¹, ZHANG Jian-hui ²

(1. College of Computer & Information Engineering, Henan University of Economics and Law, Zhengzhou 450002, China; 2. Institute of Information Technology, PLA Information Engineering University, Zhengzhou 450002, China)

Received:2012-02-27 Revised:2012-05-15 Online:2013-01-15 Published:2013-01-13

摘要/Abstract

摘要： 针对当前流统计抽样在异常检测中存在的问题，分析包抽样和时域聚合导致流记录时间序列失真的原因，利用网络异常的尺度聚集特性，提出一种基于不重叠窗口聚合的多尺度分解方法，以消除由包抽样和时域聚合带来的信号噪声。仿真结果表明，该方法能降低抽样率对流尺度上信噪比的影响，提高异常检测的性能。

关键词: 异常检测, 包抽样, 时间聚合, 多尺度方法, 不重叠窗口聚合, 尺度聚集特性

Abstract: Aiming at the problem of existing flow statistical sampling in anomaly detection, this paper analyzes the distortion cause that packet sampling and time domain polymerization lead to flow record time series in theory. It uses scale accumulation feature of network anomaly, proposes multi-scale decomposition method based on Non-overlapping Window Aggregation(NOWA), eliminates the signal noise by sampling and time aggregation. Simulation result shows that this method can reduce impact of sampling rate on signal to noise ratio, improve the performance of the anomaly detection.

Key words: anomaly detection, packet sampling, temporal aggregation, multi-scale method, Non-overlapping Window Aggregation(NOWA), scale accumulation feature

中图分类号:

TP393

杨永强, 邵超, 张建辉. 包抽样对异常检测的影响及其消除方法研究[J]. 计算机工程, 2013, 39(1): 131-135.

YANG Yong-Jiang, SHAO Chao, ZHANG Jian-Hui. Research on Impact of Packet Sampling on Anomaly Detection and Its Elimination Method[J]. Computer Engineering, 2013, 39(1): 131-135.

http://www.ecice06.com/CN/Y2013/V39/I1/131

参考文献

[1] Duffield N, Lund C, Thorup M. Estimating Flow Distribu- tions from Sampled Flow Statistics[J]. IEEE/ACM Transactions on Networking, 2005, 13(5): 933-946.
[2] Hohn N, Veitch D. Inverting Sampled Traffic[C]//Proc. of the 3rd ACM SIGCOMM Conference on Internet Measurement. Miami, USA: ACM Press, 2003.
[3] Brauckhoff D, Tellenbach B, Wagner A, et al. Impact of Packet Sampling on Anomaly Detection Metrics[C]//Proc. of the 6th ACM SIGCOMM Conference on Internet Measurement. Rio de Janeriro, Brazil: ACM Press, 2006.
[4] Mai Jianning, Chuah C N, Sridharan A, et al. Is Sampled Data Sufficient for Anomaly Detection?[C]//Proc. of the 6th ACM SIGCOMM Conference on Internet Measurement. Rio de Janeiro, Brazil: ACM Press, 2006.
[5] Soule A, Ringberg H, Silveira F, et al. Detectability of Traffic Anomalies in Two Adjacent Networks[C]//Proc. of the 8th International Conference on Passive and Active Network Measurement. [S. l.]: Springer, 2007.
[6] Brauckhoff D, Salamatian K, May M. A Signal Processing View on Packet Sampling and Anomaly Detection[C]// Proc. of the 29th Conference on Information Commu- nications. San Diego, USA: IEEE Press, 2010.
[7] Ridolfi A. Power Spectra of Random Spikes and Related Complex Signals[D]. Lausanne, Switzerland: Ecole Polytechnique Fédérale de Lausanne, 2004.
[8] Paxson V, Floyd S. Wide-area Traffic: The Failure of Poisson Modeling[C]//Proc. of ACM SIGCOMM Conference on Communications Architectures, Protocols and Applications. London, UK: ACM Press, 1994.
[9] 邓永录, 梁之舜. 随机点过程及其应用[M]. 北京: 科学出版社, 1992.
[10] Zhang Yin, Roughan M, Willinger W, et al. Spatio- temporal Compressive Sensing and Internet Traffic Matrices[C]//Proc. of ACM SIGCOMM Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications. Barcelona, Spain: ACM Press, 2009.
[11] Lakhina A, Crovella M, Diot C. Diagnosing Network- wide Traffic Anomalies[C]//Proc. of ACM SIGCOMM Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication. Portland, USA: ACM Press, 2004.
[12] Lakhina A, Crovella M, Diot C. Mining Anomalies Using Traffic Feature Distributions[C]//Proc. of ACM SIGCOMM Conference on Applications, Technologies, Architectures, and Protocols for Computer Communi- cations. Philadelphia, USA: ACM Press, 2005.

[1]	陈仲磊, 伊鹏, 陈祥, 胡涛. 基于集成学习的系统调用实时异常检测框架[J]. 计算机工程, 2023, 49(6): 162-169,179.
[2]	张子宣, 宗学军, 何戡, 连莲. 基于CVAE-CatBoost的工业控制网络异常流量检测研究[J]. 计算机工程, 2023, 49(5): 173-180.
[3]	王爱玲, 马文臻, 邹自明, 钟佳. 基于领域自适应的卫星工程参数异常检测[J]. 计算机工程, 2023, 49(5): 29-37,47.
[4]	王禹博, 陈利锋, 许卫霞. 结合多解码器与两阶段通道选择的异常检测方法[J]. 计算机工程, 2023, 49(3): 37-48.
[5]	董卫宇, 李海涛, 王瑞敏, 任化娟, 孙雪凯. 基于堆叠卷积注意力的网络流量异常检测模型[J]. 计算机工程, 2022, 48(9): 12-19.
[6]	孙嘉, 张建辉, 卜佑军, 陈博, 胡楠, 王方玉. 基于CNN-BiLSTM模型的日志异常检测方法[J]. 计算机工程, 2022, 48(7): 151-158,167.
[7]	生龙, 袁丽娜, 武南南, 姬少培. 基于GSA与DE优化混合核ELM的网络异常检测模型[J]. 计算机工程, 2022, 48(6): 146-153.
[8]	张伟成, 卫红权, 刘树新, 王庚润. 面向5G MEC基于行为的用户异常检测方案[J]. 计算机工程, 2022, 48(5): 27-34.
[9]	李贝贝, 彭力, 戴菲菲. 结合马氏距离与自编码器的网络流量异常检测方法[J]. 计算机工程, 2022, 48(4): 133-142.
[10]	崔景洋, 陈振国, 田立勤, 张光华. 基于机器学习的用户与实体行为分析技术综述[J]. 计算机工程, 2022, 48(2): 10-24.
[11]	建澜涛, 任秀江, 张祯, 石嵩, 黄益明, 张春林. E级高性能计算机的维护故障诊断系统研究[J]. 计算机工程, 2022, 48(12): 24-37.
[12]	黄涛, 邬开俊, 王迪聪, 白晨帅, 陶小苗. 基于改进型时间分段网络的视频异常检测[J]. 计算机工程, 2022, 48(11): 137-144.
[13]	张攀, 高丰, 周逸, 饶涵宇, 毛冬, 李静. 一种在线实时微服务调用链异常检测方法[J]. 计算机工程, 2022, 48(11): 161-169.
[14]	古平, 邱嘉涛, 罗长江, 张志鹏. 基于目标时空上下文融合的视频异常检测算法[J]. 计算机工程, 2022, 48(10): 169-175.
[15]	胡晓强, 魏丹, 王子阳, 沈江霖, 任洪娟. 基于时空关注区域的视频行人重识别[J]. 计算机工程, 2021, 47(6): 277-283.

选择文件类型/文献管理软件名称

选择包含的内容

包抽样对异常检测的影响及其消除方法研究

Research on Impact of Packet Sampling on Anomaly Detection and Its Elimination Method

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

模态框（Modal）标题

选择文件类型/文献管理软件名称

选择包含的内容

包抽样对异常检测的影响及其消除方法研究

Research on Impact of Packet Sampling on Anomaly Detection and Its Elimination Method

PDF

可视化

被引次数

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价