Unsupervised two-class and multi-class support vector machines for abnormal traffic characterization

Although measurement-based real-time traffic classification has received considerable research attention, the timing constraints imposed by the high accuracy requirements and the learning phase of the algorithms employed still remain a challenge. In this paper we propose a measurement-based classification framework that exploits unsupervised learning to accurately categorise network anomalies to specific classes. We introduce the combinatorial use of two-class and multi-class unsupervised Support Vector Machines (SVM)s to first distinguish normal from anomalous traffic and to further classify the latter category to individual groups depending on the nature of the anomaly

Prototipo de detección de ataques distribuidos de denegación de servicios (DDOS1) a partir de máquinas de aprendizaje

Los ataques Distribuidos de Denegación de Servicios (DDOS) afectan la disponibilidad de los servicios WEB por un periodo de tiempo indeterminado, inundando con peticiones fraudulentas los servidores de las empresas y denegando las solicitudes de los usuarios legítimos, generando pérdidas económicas por indisponibilidad de los servicios prestados. Por este motivo, el alcance de este documento es desarrollar un prototipo de detección de ataques DDOS a partir de máquinas de aprendizaje (SVM2),el cual captura el tráfico de red, filtra las cabeceras HTTP3, normaliza los datos teniendo como base las variables operacionales: Tasa de Falsos Positivos, Tasa de Falsos Negativos, Tasa de Clasificación, y envía la información a la SVM para el respectivo entrenamiento y pruebas de detección, integrado con el software estadístico para minería de datos WEKA4, permitiendo identificar efectivamente estos comportamientos anómalos en la capa superior a la sesión (Modelo de referencia OSI5), con el propósito de aumentar el tiempo de disponibilidad de los servicios. El experimento permitirá evaluar, validar y comparar la técnica del prototipo basado en un modelo supervisado SVM, contra un modelo tradicional basado en reglas como SNORT(Snort, 2008).Distributed Denial of Services (DDOS) attacks affect the availability of WEB services for an indeterminate period of time, flooding company servers with fraudulent requests and denying requests from legitimate users, generating economic losses due to unavailability of services. rendered. For this reason, the scope of this document is to develop a DDOS attack detection prototype from machine learning (SVM2), which captures network traffic, filters HTTP3 headers, normalizes data based on operational variables : False Positive Rate, False Negative Rate, Classification Rate, and sends the information to the SVM for the respective training and detection tests, integrated with the statistical software for data mining WEKA4, allowing to effectively identify these anomalous behaviors in the layer above the session (OSI5 Reference Model), in order to increase the availability time of services. The experiment will allow to evaluate, validate and compare the technique of the prototype based on a supervised SVM model, against a traditional model based on rules such as SNORT (Snort, 2008)