Slide 1

Gerhard Munz, Sa Li, Georg Carle Computer Networks and Internet Wilhelm Schickard Institute for Computer Science University of Tuebingen, Germany Traffic Anomaly Detection Using 2-Means Clustering (2007). Proceedings of Leistungs 35 citations

Slide 2

Apresentao Aplicao de mtodos de minerao de dados para analise de pacotes e fluxo de dados capturados em uma rede. Deteco de anomalias no trfico de dados em redes combinando o algoritmo de agrupamentos k-means e tcnicas deteco de outliers.

Slide 3

Definies NETWORK DATA MINING (NDM) Servem a 2 propsitos Gerao do conhecimento sobre os dados de monitoramento analisados definio de regras ou padres que so tpicas para tipos especficos de trfego Knowledge Discovery in Databases (KDD). Descoberta de Conhecimento de Banco de Dados

Slide 4

O Modelo KDD 1) Seleo dos dados brutos. extrao de dados de controle gravados em um perodo de tempo especfico ou observados no monitor. 2) o pr-processamento de dados. benfico para efetuar a limpeza e filtragem dos dados a fim de evitar a gerao de regras ou enganosas ou padres inadequados. 3) Transformao de dados. Converso dos dados brutos em conjuntos com um pequeno nmero de caractersticas relevantes. Alm disso, pode ser necessrio agregar os dados, a fim de diminuir o nmero de conjuntos de dados. 4) Minerao de dados. Neste passo, um algoritmo de minerao de dados aplicado, a fim de encontrar as regras ou padres. 5) Interpretao e Avaliao. Avaliado se a etapa de minerao de dados gerado resultados teis e que subconjunto de regras e padres contm a informao mais valiosa. A fim de validar as regras e padres.

Slide 5

O Modelo KDD

Slide 6

NDM Approaches

Slide 7

K-Means Clustering of Monitoring Data Utiliza um conjunto de dados de treinamento para separar conjuntos de dados normais de um conjunto anmalo Dados brutos e extrao de caractersticas (features) K-means Deteco de outlies (funo de Distncia) Classificao e deteco de Outlier

Slide 8

Slide 9

Slide 10

Slide 11

EXPERIMENTAL RESULTS

Slide 12

Experimentos com dados sintticos Ambientes de testes Gerao de vrios fluxos TCP, UDP e ICMP de taxa de bits varivel usando o gerador de trfego NPAG Experimentos com dados reais Uso de pacotes gravados em um roteador gateway que liga rede residencial de um estudante com a Internet (tcpdump)

Slide 13

Concluses Permite a implantao do mtodo para a deteco em tempo real, expansvel. melhora a qualidade de deteco. Em trabalhos futuros tratar para valores k maiores que 2.

Slide 14

QUESTIONS???

Slide 15

Creditos Apresentao realizada na disciplina: Reconhecimento de Padres em 11/10/2012 Professor: David Menotti Estudante: Luciano Vilas Boas Espiridio Mestrando em Cincia da Computao Departamento de Computao DECOM Instituto de Cincias Exatas e Biolgicas ICEB Universidade Federal de Ouro Preto UFOP