politechnika warszawska wydział matematyki i nauk ...mandziuk/2012-05-24.pdf · discriminators for...
TRANSCRIPT
![Page 1: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/1.jpg)
Marcin Luckner
Politechnika Warszawska
Wydział Matematyki i Nauk Informacyjnych
http://www.mini.pw.edu.pl/~lucknerm
![Page 2: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/2.jpg)
Moore 2005 ◦ Zbiór danych
opisujących pojedyncze przepływy pakietów TCP pomiędzy klientem i serwerem
◦ Każdy rekord zawiera 248 cech
◦ Rekordy podzielone są na klasy (w tym mail)
![Page 3: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/3.jpg)
![Page 4: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/4.jpg)
Minimalny, średni i maksymalny ◦ Rozmiar pakietu
◦ Interwał między pakietami
◦ Rozmiar pakietu z daną flagą
◦ Rozmiar okna TCP
Liczba ◦ Pakietów
◦ Pakietów z daną flagą
![Page 5: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/5.jpg)
Žádník 2008 ◦ Analiza ruchu mailowego
9 tygodni
◦ 60 cech niskiego poziomu
2* 30 w obu kierunkach
◦ Podział ruchu na 5 klas
![Page 6: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/6.jpg)
![Page 7: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/7.jpg)
Ham połączenia zaznaczone jako nie spam przez SpamAssasin
Y_spam połączenia zaznaczone jako nie spam przez SpamAssasin
Rejected połączenia z DNS będących na czarnej liście
Outgoing połączenia wychodzące
Other skanowanie portów, DoS, inne
![Page 8: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/8.jpg)
0
10
20
30
40
50
60
70
y_spam ham rejected outgoing other
połączenia [tys]
połączenia [%]
![Page 9: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/9.jpg)
Rozpoznana: y_spam ham rejected outgoing other
y_spam 3546 28 138 0 48
ham 189 531 4 0 5
rejected 7 0 12986 0 78
outgoing 0 0 0 896 0
other 60 4 181 0 1214
Skuteczność 93.3% 90.3% 97.6% 100% 90.3%
![Page 10: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/10.jpg)
Grzenda 2012 ◦ Powtórzenie testów Žádníka
◦ Redukcja wymiaru danych
![Page 11: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/11.jpg)
![Page 12: Politechnika Warszawska Wydział Matematyki i Nauk ...mandziuk/2012-05-24.pdf · Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew](https://reader034.vdocuments.mx/reader034/viewer/2022050412/5f896d907d90a82c937e873d/html5/thumbnails/12.jpg)
Discriminators for use in flow-based classification (2005) Andrew Moore , Michael Crogan , Andrew W. Moore , Queen Mary , Denis Zuev , Denis Zuev , Michael L. Crogan
Is Spam Visible in Flow-level Statistics? (2008) Martin Žádník, Zbyněk Michlovský
Towards the Reduction of Data Used for the Classification of Network Flows (2012) Maciej Grzenda