State Frequency Estimation for Anomaly Detection

要約

多くの作品は、Netflows内の異常を検出するための状態機械の有効性を研究しています。
これらの作品は通常、ラベルのないデータからモデルを学習し、発生の可能性やモデル内にどれだけうまく適合するかに基づいて、任意のトレースの異常スコアを計算します。
ただし、これらの方法は、テスト時に見られるトレースに基づいてスコアを動的に適応させるものではありません。
これは、敵が攻撃で一見一般的な痕跡を生成し、低い異常スコアを割り当てることでモデルを検出を見逃した場合に問題になります。
州のマシンの状態訪問頻度を使用して、異常検出のためにスコアリングを動的に適応させる新しい監視なしアプローチであるシーケントを提案します。
その後、Sequentはスコアを使用して、異常の根本原因を生成します。
これらはアラームのグループ化を可能にし、異常の分析を簡素化します。
3つの公開されているNetflowデータセットのネットワーク異常を検出する際のシーケントの有効性を評価し、そのパフォーマンスを既存のさまざまな異常検出方法と比較します。
私たちの評価は、状態マシンの状態訪問頻度を使用してネットワークの異常を検出するための有望な結果を示しています。

要約(オリジナル)

Many works have studied the efficacy of state machines for detecting anomalies within NetFlows. These works typically learn a model from unlabeled data and compute anomaly scores for arbitrary traces based on their likelihood of occurrence or how well they fit within the model. However, these methods do not dynamically adapt their scores based on the traces seen at test time. This becomes a problem when an adversary produces seemingly common traces in their attack, causing the model to miss the detection by assigning low anomaly scores. We propose SEQUENT, a new unsupervised approach that uses the state visit frequency of a state machine to adapt its scoring dynamically for anomaly detection. SEQUENT subsequently uses the scores to generate root causes for anomalies. These allow the grouping of alarms and simplify the analysis of anomalies. We evaluate SEQUENT’s effectiveness in detecting network anomalies on three publicly available NetFlow datasets and compare its performance against various existing unsupervised anomaly detection methods. Our evaluation shows promising results for using the state visit frequency of a state machine to detect network anomalies.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google