Обнаружение закономерностей и распознавание аномальных событий в потоке данных сетевого трафика

Витяев Е.Е.; Ковалерчук Б.К.; Федотов А.М.; Барахнин В.Б.; Дурдин Д.С.; Белов С.Д.; Демин А.В.

Инд. авторы:	Витяев Е.Е., Ковалерчук Б.К., Федотов А.М., Барахнин В.Б., Дурдин Д.С., Белов С.Д., Демин А.В.
Заглавие:	Обнаружение закономерностей и распознавание аномальных событий в потоке данных сетевого трафика
Библ. ссылка:	Витяев Е.Е., Ковалерчук Б.К., Федотов А.М., Барахнин В.Б., Дурдин Д.С., Белов С.Д., Демин А.В. Обнаружение закономерностей и распознавание аномальных событий в потоке данных сетевого трафика // Вестник Новосибирского государственного университета. Серия: Информационные технологии. - 2008. - Т.6. - № 2. - С.57-68. - ISSN 1818-7900. - EISSN 2410-0420.
Внешние системы:	РИНЦ: 11480497;
Реферат:	eng: A new approach to the abnormal events detection is presented in the paper based on the hybrid events correlation (HEC), developed by the authors. The main idea of the HEC is detection of the abnormal events as infraction of the normal events process. The normal events process is determined by the set of high probability regularities that are discovered on the set of normal events process data and determine the laws of the normal events process. The high probability regularities were discovered by the Discovery system, that realizes the developed by authors relational approach to the intelligent data analysis. The system was applied to the analysis of the server traffic of the SB RAS data transferring system. The significant difference in regularities of the normal and abnormal events process was detected. rus: В работе излагается новый подход к выявлению аномальных событий в потоке сетевого трафика на основе предложенной авторами гибридной корреляции событий (ГКС). Основная идея ГКС состоит в том, что бы аномальные события искать как нарушения нормального течения событий. Нормальное течение событий определяется совокупностью высоковероятных закономерностей, обнаруженных на данных нормального течения событий и определяющих в определённом смысле закон нормального течения событий. Для обнаружения закономерностей использовалась программная система Discovery, которая реализует разработанный авторами реляционный подход к интеллектуальному анализу данных. Система была применена к анализу данных сетевого трафика сервера системы передачи данных СО РАН. Было обнаружено значимое изменение в закономерностях нормального и анормального течения событий.
Ключевые слова:	Link Discovery; Data Mining and Knowledge Discovery in Data Bases; Аномальные события; обнаружение жульничества; анализ редких событий; интеллектуальный анализ данных; abnormal events; fraud detection;
Издано:	2008
Физ. характеристика:	с.57-68
Цитирование:	1. Weiss G. Mining with Rarity: a Unifying Framework // ACM SIGKDD Explorations Newsletter. 2004. Vol. 6. Issue 1. 2. Lin S., Chalupsky H. Unsupervised Link Discovery in Multi-relational Data via Rarity Analysis // Proc. the 3rd IEEE International Conference on Data Mining, ICDM `03. Melbourne, Florida, USA, 2003. 3. Rattigan M., Jensen D. The Case for Anomalous Link Detection // Proc. of the Fourth International Workshop on Multi-Relational Data Mining (MRDM-2005). Chicago, 2005. () 4. Getoor L. Link Mining: A New Data Mining Challenge // SIGKDD Explorations. 2003. Vol. 5. Is. 1. 5. Badia A., Kantardzic M. Link Analysis Tools for Intelligence and Counterterrorism // Intelligence and Security Informatics: Proc. of IEEE International Conference on Intelligence and Security Informatics, ISI 2005. Atlanta, GA, USA, 2005. 6. Kovalerchuk B., Vityaev E. Data Mining in Finance: Advances in Relational and Hybrid Methods. Kluwer, 2000. 308 p. 7. Vityaev E., Kovalerchuk B. Empirical Theories Discovery Based on the Measurement Theory // Mind and Machine. 2004. Vol. 14. No. 4. P. 551-573. 8. Vityaev E., Kovalerchuk B. Visual Data Mining with Simultaneous Rescaling // Visual and Spatial Analysis. Advances in Data Mining, Reasoning and Problem Solving. Springer, 2004. P. 371-385. 9. Витяев Е. Е. Извлечение знаний из данных. Компьютерное познание. Модели когнитивных процессов: Моногр. / Новосиб. гос. ун-т. Новосибирск, 2006. 293 с. 10.Kovalerchuk B., Vityaev E. Correlation of Complex Evidences and Link Discovery . The Fifth International Conference on Forensic Statistics (Venice International University, Isola di San Servolo, Venice, Italy, Aug. 30 - Sept. 2, 2002), Venice, 2002. 10. Kovalerchuk B., Vityaev E. Detecting Patterns of Fraudulent Behavior in Forensic Accounting // Proc. of the Seventh International Conference «Knowledge-based Intelligent Information and Engineering on Systems», Lecture Notes in Computer Science. V. 2773/2003, Oxford, UK, 2003. Vol. 2773/2003, part 1. P. 502-509. 11. Kovalerchuk B., Vityaev E., Ruiz J. F. Consistent and Complete Data and «Expert» Mining in Medicine // Medical Data Mining and Knowledge Discovery. Springer, 2001. Р. 238-280. 12. Kovalerchuk B., Vityaev E., Ruiz J. F. Consistent Knowledge Discovery in Medical Diagnosis // IEEE Engineering in Medicine and Biology Magazine (Special issue on Data Mining and Knowledge Discovery). 2000. Vol. 19. No. 4. P. 26-37. 13. Витяев Е. Е. Семантический подход к созданию баз знаний. Семантический вероятностный вывод наилучших для предсказания ПРОЛОГ-программ по вероятностной модели данных // Логика и семантическое программирование. Новосибирск, 1992. Вып. 146. С. 19-49. 14. Витяев Е. Е., Москвитин А. А. Введение в теорию открытий. Программная система DISCOVERY // Логические методы в информатике. Новосибирск, 1993. Вып. 148. С. 117-163. 15. Кендал М., Стьюарт А. Статистические выводы и связи. М.: Наука, 1973. 16. Halpern J. Y. An Analysis of First-Order Logic of Probability // Artificial Intelligence. 1990. Vol. 46. P. 311-350.