Análise dos Estimadores EWMA e Holt-Winters para Detecção de Anomalias em Tráfego IP a partir de Medidas de Entropia
Resumo
Detectar anomalias de tráfego em redes WAN é uma tarefa de relativa complexidade. Propostas mais promissoras se baseiam em séries temporais contendo medidas de entropia para descrever padrões de tráfego. Este trabalho avalia o uso de estimadores tradicionais e de simples implementação, aplicado às medidas de entropia, para sinalizar a ocorrência de eventos que possam comprometer o bom funcionamento da rede e que não sejam facilmente detectados pelas ferramentas de gerência comumente usadas. Os resultados experimentais, extraídos para amostras de tráfego da Rede Ipê, comparam o uso dos estimadores EWMA e Holt-Winters na sinalização de anomalias artificialmente injetadas nas amostras de tráfego.Referências
Bogaerdt, A. V. D. (2008) “RRD Tutorial”, [link], acessado em 08/04/2009.
Brutlag, J. D. (2000) “Aberrant Behavior Detection in Time Series for Network Monitoring”, Proceedings of the 14th Systems Administration Conference (LISA 2000).
Cacti (2007) “The Complete RRDtool-based Graphing Solution”, [link], acessado em 08/04/2009.
CEO-RNP (2008) “Operação do Backone RNP”, [link], acessado em 08/04/2009.
Cisco Systems, Inc. (2008) “Netflow Services Solution Guide”, [link], acessado em 08/04/2009.
Claise, B. Ed. (2004) “RFC 3954 - Cisco Systems NetFlow Services Export Version 9”, [link], acessado em 08/04/2009.
Estevez-Tapiador, J. M., Garcia-Teodoro, P., Diaz-Verdejo, J. E. (2004) “Anomaly Detection Methods in Wired Networks: a Survey and Taxonomy”, Computer Comunications, 27, 1569-1584.
Haag, P. (2005) “Watch your Flows with Nfsen and Nfdump”, 50th RIPE Meeting, Stockholm, [link], acessado em 08/04/2009.
Koehler, A. B., Snyder, R. D., and Ord, J. K. (1999) “Forecasting Models and Prediction Intervals for the Multiplicative Holt-Winters Method”, [link], acessado em 08/04/2009.
Lakhina, A., Crovella, M., and Diot, C. (2005) “Mining anomalies using traffic feature distributions”, Proceedings of the ACM SIGCOMM'2005, Philadelphia, PA, USA.
Leinen, S. (2004) “RFC 3955 - Evaluation of Candidate Protocols for IP Flow Information Export (IPFIX)”, [link], acessado em 08/04/2009.
MacKey, D. J. C. (2003) “Information Theory, Inference, and Learning Algorithms”, Cambridge University Press, Cambridge, UK.
Monsores, M. L., Ziviani, A., Rodrigues, P. S. S. (2006) “Detecção de Anomalias de Tráfego usando Entropia Não-Extensiva”, Anais do XXIV Simpósio Brasileiro de Redes de Computadores – SBRC'2006.
Nfdump (2007) “NFDUMP”, [link], acessado em 08/04/2009.
Phaal, P., Panchen, S., McKee, N. (2001) “RFC 3176 - InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks”, [link], acessado em 08/04/2009.
RRDtool (2008) “Aberrant Behavior Detection with Holt-Winters Forecasting”, [link], acessado em 08/04/2009.
Shannon, C. E. (1948) “A mathematical theory of communication”, Bell System Technical Journal, 27:379-423 and 623-656.
Silveira, F., Diot, C., Taft, N., Govindan, R. (2008) “Empirical Evaluation of Network-Wide Anomaly Detection”, Thomsom Technical Report, [link], acessado em 08/04/2009.
Ward, A., Glynn, P., Richardson, K. (1998) “Internet Service Performance Failure Detection”, ACM SIGMETRICS Performance Evaluation Review, Volume 26, number 3.
Zhang, Y., Ge, Z., Greenberg, A., Roughan, M. (2005) “Network Anomography”, Proceedings of the IMC’05, Berkeley, CA, USA.
Brutlag, J. D. (2000) “Aberrant Behavior Detection in Time Series for Network Monitoring”, Proceedings of the 14th Systems Administration Conference (LISA 2000).
Cacti (2007) “The Complete RRDtool-based Graphing Solution”, [link], acessado em 08/04/2009.
CEO-RNP (2008) “Operação do Backone RNP”, [link], acessado em 08/04/2009.
Cisco Systems, Inc. (2008) “Netflow Services Solution Guide”, [link], acessado em 08/04/2009.
Claise, B. Ed. (2004) “RFC 3954 - Cisco Systems NetFlow Services Export Version 9”, [link], acessado em 08/04/2009.
Estevez-Tapiador, J. M., Garcia-Teodoro, P., Diaz-Verdejo, J. E. (2004) “Anomaly Detection Methods in Wired Networks: a Survey and Taxonomy”, Computer Comunications, 27, 1569-1584.
Haag, P. (2005) “Watch your Flows with Nfsen and Nfdump”, 50th RIPE Meeting, Stockholm, [link], acessado em 08/04/2009.
Koehler, A. B., Snyder, R. D., and Ord, J. K. (1999) “Forecasting Models and Prediction Intervals for the Multiplicative Holt-Winters Method”, [link], acessado em 08/04/2009.
Lakhina, A., Crovella, M., and Diot, C. (2005) “Mining anomalies using traffic feature distributions”, Proceedings of the ACM SIGCOMM'2005, Philadelphia, PA, USA.
Leinen, S. (2004) “RFC 3955 - Evaluation of Candidate Protocols for IP Flow Information Export (IPFIX)”, [link], acessado em 08/04/2009.
MacKey, D. J. C. (2003) “Information Theory, Inference, and Learning Algorithms”, Cambridge University Press, Cambridge, UK.
Monsores, M. L., Ziviani, A., Rodrigues, P. S. S. (2006) “Detecção de Anomalias de Tráfego usando Entropia Não-Extensiva”, Anais do XXIV Simpósio Brasileiro de Redes de Computadores – SBRC'2006.
Nfdump (2007) “NFDUMP”, [link], acessado em 08/04/2009.
Phaal, P., Panchen, S., McKee, N. (2001) “RFC 3176 - InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks”, [link], acessado em 08/04/2009.
RRDtool (2008) “Aberrant Behavior Detection with Holt-Winters Forecasting”, [link], acessado em 08/04/2009.
Shannon, C. E. (1948) “A mathematical theory of communication”, Bell System Technical Journal, 27:379-423 and 623-656.
Silveira, F., Diot, C., Taft, N., Govindan, R. (2008) “Empirical Evaluation of Network-Wide Anomaly Detection”, Thomsom Technical Report, [link], acessado em 08/04/2009.
Ward, A., Glynn, P., Richardson, K. (1998) “Internet Service Performance Failure Detection”, ACM SIGMETRICS Performance Evaluation Review, Volume 26, number 3.
Zhang, Y., Ge, Z., Greenberg, A., Roughan, M. (2005) “Network Anomography”, Proceedings of the IMC’05, Berkeley, CA, USA.
Publicado
20/07/2009
Como Citar
LUCENA, Sidney C. de; MOURA, Alex Soares de.
Análise dos Estimadores EWMA e Holt-Winters para Detecção de Anomalias em Tráfego IP a partir de Medidas de Entropia. In: WORKSHOP EM DESEMPENHO DE SISTEMAS COMPUTACIONAIS E DE COMUNICAÇÃO (WPERFORMANCE), 8. , 2009, Bento Gonçalves/RS.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2009
.
p. 2177-2192.
ISSN 2595-6167.
