Hình 14. So sánh kết quả phát hiện bất thường trong một số tập tin
Đánh giá kết quả thực hiện thuật toán (ngưỡng = 3 và thời gian = 500ms) với một dữ liệu chuẩn của MAWI :
Số phát hiện bất thường trung bình lớn hơn của phát hiện bất thường của MAWI.
Thời gian chạy của thuật toán phát hiện bất thường theo mô hình cân bằng là khá nhanh.
Nhiều bất thường là trùng lặp. Có thể loại bỏ trùng lặp bằng cách tìm một thời gian hợp lý và phân tích sâu hơn các luồng và các gói tin.
Bất thường phát hiện bởi mô hình cân bằng
bất thường tìm được bởi MAWI
Bất thường
KẾT LUẬN
Luận văn về cơ bản đã giải quyết được yêu cầu đặt ra đó là phân tích lưu lượng mạng. Từ đó đưa ra các phương pháp được sử dụng để phát hiện bất thường, kỹ thuật phát hiện bất thường. Lựa chọn phương pháp phân tích dựa trên số liệu thống kê lưu lượng truy cập (thống kê kỹ thuật phát hiện bất thường), và áp dụng các mô hình cân bằng để phát hiện bất thường, so sánh, đánh giá kết quả để tìm ra phương án tối ưu. Xây dựng chương trình bắt gói tin và cài đặt thành công với các thư viện sẵn có.
Phương pháp sử dụng mô hình cân bằng để phân tích lưu lượng mạng và phát hiện bất thường là phương pháp mới, đơn giản và khá hiệu quả, mang tính chủ động trong phát hiện sớm bất thường, tuy nhiên kết quả thử nghiệm của chúng tôi còn khá khiêm tốn. Cần có nghiên cứu sâu hơn và phối hợp với các phương pháp khác để có thể phân tích lưu lượng mạng và phát hiện bất thường trong điều kiện dữ liệu nhiễu và lưu lượng Internet rất lớn hiện nay, đồng thời cải tiến giải thuật và có những nghiên cứu nâng cao hiệu quả phát hiện cho tất cả các loại bất thường.
Trong quá trình làm đề tài, trình bày báo cáo tác giả đã cố gắng đưa đầy đủ các thông tin, các thuyết minh khoa học. Tuy nhiên do thời gian và trình độ có hạn, luận văn không thể tránh khỏi những sai sót. Tác giả rất mong muốn được nhận được sự góp ý để xây dựng hệ thống này một tốt hơn.
Tác giả xin chân thành cảm ơn Thầy PGS.TS Ngô Hồng Sơn, NCS Lê Hoàn Và các Thầy, Cô thuộc Viện Công nghệ thông tin và Truyền thông cùng các bạn lớp 12BMTTT khóa 2012B đã tận tình giúp đỡ và hỗ trợ tác giả hoàn thành luận văn này.
1. Krishnamurthy B. et al (2003). Sketch-Based Change Detection: Methods, Evaluation, and Applications. In Proceedings of IMC-2003.
2. Lakhina A. et al (2005). Mining Anomalies Using Traffic Feature Distributions. In Proceedings of SIGCOMM-2005.
3. Soule A. et al. (2005). Combining Filtering and Statistical Methods for Anomaly Detection. In Proceedings of IMC-2005.
4. Fernando S. (2010). ASTUTE: Detecting a Different Class of Traffic Anomalies. SIGCOMM’10. India.
5. Brutlag J. D. (2000). Aberrant behavior detection in time series for network monitoring. In Proceedings of LISA-2000.
6. Barakat C. et al. (2002). A flow-based model for Internet backbone traffic. In Proceedings of IMW-2002.
7. Lakhina A. et al. (2004). Structural analysis of network traffic flows. In Proceedings of SIGMETRICS-2004.
8. Cao J. et al. (2001). On the nonstationarity of Internet traffic. In Proceedings of SIGMETRICS. 9. P. Barford et al (2002). A Signal Analysis of Network Traffic Anomalies. In Proceedings of
IMW-2002.
10. Yarimtepe (2009). Anomaly Detection using network traffic characterization.
11. Bartos V.(2012). Framework for comparison of network Anomaly Detection algorithms. Technical report. Czech.
12. K. Cho, K. Mitsuya, and A. Kato. Traffic data repository at the WIDE project. In USENIX 2000 Annual Technical Conference: FREENIX Track, pages 263–270, 2000.
13. Ronán Conroy.Sample size: A rough guide
14. Anna S.(2010). An overview of IP flow-based intrusion detection. IEEE2010.
15. Nychis G. (2007) et al., An empirical evaluation of entropy-based Anomaly Detection. Carnegie Mellon University-USA.
16. Fernando S. (2010). URCA: Pulling out anomalies by their root causes.USA. 17. Eric M.F.(2012). A principled approach to Anomaly Detection.
18. Shanbhag S. et al. (2009). Accurate anomaly detection through parallelism. Network Magazine of Global
19. Internetworking-2009.
20. Zhang Y. et al. (2005). Network Anomography. In Proceedings of IMC-2005.
21. Thomas K. et al. (2004). A nonstationary Poisson view of Internet traffic. In Proceedings of INFOCOM2004.
22. Feller W. (1968). An introduction to probability theory and its applications. John Wiley & Sons. 23. Giang N.L. et al. (2007). Anomaly detection by statistical analysis and neuron network. RIVF07. 24. Schmidt R. et al. (2013). Gaussian Traffic Revisited. In proc of the 12th IFIP Networking
Conference.USA.
25. Fontugne R. et al. (2010). MAWI: Combining diverse anomaly detectors for automated anomaly labeling and performance benchmarking. CoNEXT’10 ACM. USA.
26. Riverbed Technology, Winpcap, http://www.winpcap.org.