Análisis de las concurrencias de flujos en Internet

Han pasado ya más de 20 años desde que NetFlow de Cisco fuese patentado en el año 1996. Años en los que la monitorización y análisis de redes de comunicaciones basados en flujos de red ha ganado extraordinaria relevancia en tareas fundamentales como asegurar las más alta calidad de servicio (QoS) posible, el dimensionado de la capacidad de equipos hardware o la identificación de vulnerabilidades como por ejemplo ataques de denegación de servicio (DoS). En este trabajo se pretende aportar en la dirección de un mejor conocimiento de las dinámicas de los flujos de red en redes comerciales tanto longitudinalmente (esto es, con el tiempo) como espacialmente (varios enlaces). En concreto, estudiamos la relación del número de flujos activos (o concurrentes) frente al ancho de banda medido, que denominamos ratio de flujos. Esta métrica es fundamental para un gestor de red que si bien conoce el ancho de banda esperado en su red carece típicamente de ninguna intuición de cuál va a ser la carga de aquellas aplicaciones basadas en flujos de red. Este trabajo analiza esta métrica en múltiples trazas disponibles en la institución CAIDA, concluyendo que en escenarios habituales el ratio de flujos es menor a 300 flujos activos por Mb/s y con cierta normalidad hasta los 400. Mientras que en situaciones anómalas se han medido hasta 1200 flujos por Mb/s. Por el contrario, el estudio de la homogeneidad de la métrica durante 7 años y por sentidos de enlaces entre ciudades como Chicago, Seattle, San José y Los Ángeles ha mostrado diferencias significativas debidas probablemente a cambios en los servicios transportados por estos enlaces.Since Cisco’s Netflow was patented in 1996 has become a relevant tool in networks tasks such as ensuring the highest quality of service (QoS), the planning of hardware equipment in terms of performance, and the identification of vulnerabilities (for example, Denial-of-service attacks (DoS)). In this work, we aim at contributing in the further knowledge of the dynamics of such Netflows in commercial networks both temporally (i.e., over time) and spatially (several links). Specifically, we study the ratio between the number of active (or concurrent) flows and the average bandwidth, namely ratio of flows. This metric is key for networks managers as they usually know the expected bandwidth in their network but they tend to ignore how this is going to translate into burden for those application based on Netflows. This work analyses such metric in several available traces by CAIDA institution concluding that in regular scenarios the ratio of flows is below 300 active flows per Mb/s and, still inside normality, up to 400 ones. While in anomalous scenarios, it has been measured up to 1200 flows per Mb/s. Moreover, the study of homogeneity of the metric during 7 years and per direction between cities such as Chicago, Seattle, San Jose and Los Angeles has shown significant differences likely because of changes on the services carried by such links

Anomaly detection in diurnal data

In this paper we present methodological advances in anomaly detection tailored to discover abnormal traffic patterns under the presence of seasonal trends in data. In our setup we impose specific assumptions on the traffic type and nature; our study features VoIP call counts, for which several traces of real data has been used in this study, but the methodology can be applied to any data following, at least roughly, a non-homogeneous Poisson process (think of highly aggregated traffic flows). A performance study of the proposed methods, covering situations in which the assumptions are fulfilled as well as violated, shows good results in great generality. Finally, a real data example is included showing how the system could be implemented in practic