Traffic Anomaly Detection and Cause Identification Using Flow-Level Measurements

Münz, Gerhard

Gerhard Münz

If you experience problems opening the document, please try this link.

Original title:: Traffic Anomaly Detection and Cause Identification Using Flow-Level Measurements
Translated title:: Erkennung von Verkehrsanomalien und deren Ursachen mit Hilfe von Flow-Daten
Author:: Münz, Gerhard
Year:: 2010
Document type:: Dissertation
Faculty/School:: Fakultät für Informatik
Advisor:: Carle, Georg (Prof. Dr.)
Referee:: Feldmann, Anja (Prof., Ph.D.); Herkersdorf, Andreas (Prof. Dr.)
Language:: en
Subject group:: DAT Datenverarbeitung, Informatik
Keywords:: network monitoring, traffic measurement, traffic analysis, anomaly detection
Translated keywords:: Netzwerk-Monitoring, Verkehrsmessung, Verkehrsanalyse, Anomalieerkennung
Abstract:: This dissertation deals with the detection of Internet traffic anomalies in flow-level measurement data as well as the identification of their causes. The detection of traffic anomalies is based on time series of different traffic metrics. As anomaly detection methods, various combinations of single-metric and multi-metric residual generation and change detection techniques are evaluated and compared. Most of the detected anomalies which are of interest for the network administrator go back to a few types of causes, such as scanning activities and brute-force password guessing. In order to identify these causes and the involved hosts, identification algorithms are presented which search the measured flows for characteristic traffic patterns. «
This dissertation deals with the detection of Internet traffic anomalies in flow-level measurement data as well as the identification of their causes. The detection of traffic anomalies is based on time series of different traffic metrics. As anomaly detection methods, various combinations of single-metric and multi-metric residual generation and change detection techniques are evaluated and compared. Most of the detected anomalies which are of interest for the network administrator go back to a... »
Translated abstract:: Diese Dissertation behandelt die Erkennung von Internet-Verkehrsanomalien in Flow-Daten sowie die Identifizierung der Ursachen. Zur Anomalieerkennung werden Zeitreihen verschiedener Verkehrsmetriken untersucht. Als Erkennungsmethoden werden unterschiedliche Kombinationen statistischer Residual-Generation- und Change-Detection-Verfahren verwendet und miteinander verglichen. Die meisten Anomalien, die für den Netzwerkadministrator von Interesse sind, gehen auf wenige Ursachen, wie z.B. Scans und das Durchprobieren von Passwörtern, zurück. Um diese Ursachen und die involvierten Rechner zu identifizieren, werden Algorithmen vorgestellt, die die Flow-Daten nach charakteristischen Verkehrsmustern durchsuchen. «
Diese Dissertation behandelt die Erkennung von Internet-Verkehrsanomalien in Flow-Daten sowie die Identifizierung der Ursachen. Zur Anomalieerkennung werden Zeitreihen verschiedener Verkehrsmetriken untersucht. Als Erkennungsmethoden werden unterschiedliche Kombinationen statistischer Residual-Generation- und Change-Detection-Verfahren verwendet und miteinander verglichen. Die meisten Anomalien, die für den Netzwerkadministrator von Interesse sind, gehen auf wenige Ursachen, wie z.B. Scans und d... »
WWW:: https://mediatum.ub.tum.de/?id=815159
Date of submission:: 29.09.2009
Oral examination:: 20.05.2010
Pages:: 230
Urn (citeable URL):: https://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:91-diss-20100520-815159-1-6
Last change:: 09.06.2010
BibTeX

Occurrences:

mediaTUM Gesamtbestand Elektronische Prüfungsarbeiten Fachgebiet Datenverarbeitung, Informatik

mediaTUM Gesamtbestand Einrichtungen Schools TUM School of Computation, Information and Technology Prüfungsarbeiten Dissertationen

mediaTUM Gesamtbestand Elektronische Prüfungsarbeiten School TUM School of Computation, Information and Technology