Tool support for the evaluation of anomaly traffic classification for network resilience

security

Silva A S D, Wickboldt J A, Schaefferfilho A, et al. Tool support for the evaluation of anomaly traffic classification for network resilience[C]// Computers & Communication. 2015.

觉得本文一般，作者对PReSET这篇论文提出的工具进行修改。PReSET是一个对网络可恢复力评估的一个工具，本文利用它来进行流量分类算法的评估。

Introduction

PReSET是一个可以离线评估的工具，网络管理员可以据此对网络配置进行优化，本文对PReSET进行拓展，将其作为工具，并使其可以分析多个异常分类的算法。（意思就是他对别人的东西稍稍加了点东本。）

PRESET:A network resilience simulator

PRESET是基于OMNeT++网络模拟器和Ponder2策略框架的一个整合，支持网络攻击的模拟和对相应恢复策略的评估。PReSET可以找到最优策略并找出最优配置参数。在OMNeT++中运行的策略程序产生事件，这些事件指的是一个观测条件，如检测到一个异常。事件可触发条事件行为，这个行为决定哪个策力应该被重新配置和如何配置，XML-RPL 服务器对每个策力提供管理接口。Ponder2使用这些接口进行管理以及适应当前网络，如：调整参数。本文使用K-means和NaiveBayes进行测试。

实现和实验结果

Prototype implementation and evaluation set-up

图1是分类器和PReSET整合的整体视图，Classifier与FlowExporter共同运作，Classifier(可以是多个)定期从FlowExporter抽取流特征的统计并进行分类，当有恶意流出现时，一个事件就会发送给Ponder2,ECA policies就会决定如何修改网络配置，这里XMLRPC就是交互接口。本实验中模拟的DDoS，其基本信息在表1中。
模拟实验中有912个主机和82个网络服务器，188个routers，流量参数见表2。

843个流中有32个恶意流，已被标记每个都是单向的。

Preliminary analysis and feature selection

每个流都由5元组表示（dIP,sIP,dPORT,sPORT,prot），收集特征为：packet count,byte count,flow duration,mean packet inter-arrival-time。每个特征的二组分布图见图2.

由图可见，packet count和 byte count可以更好地区分流。

K-means分析

当设置k=2时结果如图3,恶意流都被区分，但也有部分良性流被区分为恶意流。当k=3时，之前被误分的流现在被分为一个新类，结果见图4,这就很好地将流区分开了。图6是分类结果评估，


该算法的缺点是确定中心点个数比较困 难，如图5中k=5，这时恶性流被强行分为了两类，也就是过拟合。

Naive Bayes analysis

该方法作为一个补充方法，单独提供训练集，上一节的流作为测试集，结果见图7,当结果为0时这里将其处理为良性流。

结果评估见图8