Konzeptpapier - Universität Bonn

Rheinische Friedrich-Wilhelms Universität Bonn- Institut für Informatik IV -Prof. Dr. Peter MartiniDipl.-Inform. Jens TölleEntwurf einesKonzeptpapiers zur DiplomarbeitNetzwerkgestützte Anomalieerkennungmittels Clusteranalyse:Ein Fuzzy-Clustering undMachine-Intelligence-Ansatz(Arbeitstitel)Markus Prillerpriller@cs.uni-bonn.de13. Januar 2002

1. EinleitungDie netzwerkgestützte Anomalieerkennung versucht in einem neuartigen Ansatz [1] dieDetektion von lastgenerierenden Angriffen ohne bekannte Signatur durch die Einteilungdes Netzwerkverkehrs in Cluster zu ermöglichen. Dabei wird zunächst derNetzwerkverkehr zwischen Stationen eines heterogenen IP-Netzwerkes gemessen undin einem ungerichteten Graphen dargestellt, in dem Knoten Stationen und KantenVerkehr zwischen den Stationen darstellen. Von einem solchen Graphen ausgehendwird versucht, die Clustereinteilung dergestalt zu wählen, das Stationen mit hohemNetzwerkverkehr zwischen ihnen in einem Cluster liegen (intra-cluster-Vergleichbarkeit),wohingegen Stationen mit nur geringem oder gar keinem Netzwerkverkehr zwischenihnen in verschiedenen Clustern liegen sollten (inter-cluster-Separierbarkeit). DieserAnsatz wurde von Christian de Waal im Rahmen seiner Diplomarbeit [2] für hartehiarchische Clustereinteilungen bereits verfolgt.Ein erster sich hier thematisch anschließender Ansatz ist die Fuzzy-Clustereinteilungund –Clusteranalyse. Dabei können Daten nicht nur ganz oder gar nicht einem Clusterzugeteilt werden; sie können vielmehr auch probabilitisch und possibilistisch eingeteiltwerden, was beides grundsätzlich bedeutet, weiche Zugehörigkeiten eines Datums zueinem Cluster im Intervall [0,1] zuzulassen. Hierfür existieren Algorithmen wie dieAlternating Optimization [3] und der Fuzzy-c-means [3,14], die auf eine grundsätzlicheNutzbarkeit in diesem Anwendungsfeld untersucht werden können.Ein weiterer Ansatz, der sehr eng mit der Fuzzy-Clustereinteilung verknüpft ist, kommtaus dem Bereich Machine Intelligence und der Theorie neuronaler Netze aus demNeurocomputing. Hier existieren unter anderem die Lernformen des beaufsichtigten undunbeaufsichtigten Lernens (supervised und unsupervised learning) [8,9,10,12]; in einemTeilbereich des letzteren, dem Wettbewerbslernen oder unsupervised competitivelearning gibt es Algorithmen, die das System in einem Lernprozeß überführen, in dessenVerlauf anhand von repräsentativen Vektoren des Clustern ein Eigenlernprozeß ohneSupervisor angestoßen wird, der als Resultat eine probabilistische Clustereinteilung dervorgegebenen Eingangsdatenmenge liefert.Darüberhinaus existieren verschiedene Möglichkeiten der Betrachtung der in Clustereinzuteilenden Eingangsdatenmenge im Graphen: Neben der vektoriellen,probabilistischen Betrachtungsweise (jeder Punkt im Graphen repräsentiert einen Vektorim R²) wird in jüngster Zeit ein heuristische, auf semantisch zu definierender Nähebasierende Betrachtung der Objekte im Graphen diskutiert. Bei diesem paarweisenClustering wird eine (Nicht)ähnlichkeitsmatrix aufgestellt, in der für jede Stationenkombinationim Netzwerk (also für jede Kante im Graphen) ein (Nicht)Ähnlichkeitswertdefiniert wird. Anhand dieser (Nicht)ähnlichkeitswerte kann dann das Clusteringversucht werden [12,13,14].

2. VorgehensweiseDie erläuterten Methoden sind nach Wissen des Autors noch nicht auf dieAufgabenstellung der netzwerkgestützten Anomalieerkennung angewandt worden.Die zu entwicklende Diplomarbeit soll daher untersuchen, ob eine Anwendung dieserMethoden (i) grundsätzlich möglich (ii) praktisch durchführbar und (iii) effizient sinnvollist.Diesem Konzept folgend, sollen oben angeführte Fuzzy-Clustering-Verfahren zunächstin der Arbeit theoretisch geprüft, auf den spezifizierten Anwendungskontakt angepasstund anschliessend im Kontext der von Christian de Waal im Rahmen von [1]entwickelten Algorithmenpakete implementiert werden. Die simulierten Resultate dieserImplementierung sollen dann zunächst auf ihre Sinnhaftigkeit und Übertragbarkeitgeprüft und anschliessend entsprechend bewertet werden.Ebenso sollen die Machine Intelligence-Ansätze in der theoretischen Fundierungzunächst an den Anwendungsraum Netzwerkanomalieerkennung angepasst und darananschliessend implementiert werden. Die sich daraus ergebenden Resultate sollenwieder kritisch geprüft, eigenständig bewertet und schliesslich ebenso zur Erzeugungvon Simulationsergebnissen verwendet werden. Entsprechende Vergleichbarkeitvorausgesetzt, wird eine Gegenüberstellung zu den Fuzzy-Clustering-Algorithmenerfolgen.Bei der Ausarbeitung beider Ansätze soll insbesondere auch der Clusteranzahlbesondere Untersuchung zuteil werden, da sie nicht unmittelbar aus derAufgabenstellung abgeleitet werden kann, sondern durch die Einführung undAnwendung von Gütemaßen wie etwa dem Partitionskoeffizient oder demTrennungsgrad [3] beurteilt werden muß.Weitergehend soll im Kontext der Behandlung und Prüfung der Fuzzy-Clustering- undMachine-Intelligence-Ansätze auch ihre Bestimmtheit bzw. Ausrichtbarkeit auf die obenaufgeführten unterschiedlichen Betrachtung der Eingangsdaten (vektoriell probabilistischsowie heuristisch) in die Untersuchung einbezogen werden.Bei zeitlicher Möglichkeit soll schliesslich ein über das weiterführendes Konzept vonKohonen [7], die selbstorganisierende Karte (self-organizing feature map) auf ihreEignung im Anwendungsfeld der netzwerkgestützten Anomalieerkennung hin untersuchtwerden. Diese ist in der Lage, durch weiterentwickelte Anwendung des Wettbewerbslernensnicht nur eine Clustereinteilung im Resultat zu erbringen, sondern auch imRahmen einer topologischen Sortierung etwaige vorhandene Nachbarschaftsbeziehungenzwischen Clustern zu erkennen.Ebenso kann – sollte soviel Zeit vorhanden sein - die Thematik der Anomalielokalisierung, welche u.a. durch die Einführung des Paarmaßes vonChristandeWaalin[1]indiesem Anwendungsraum grundsätzlich eröffnet wurde, Gegenstand der Untersuchungwerden.

Abb.1: Zeitplan für die Erstellung der Diplomarbeit

Literatur[1] Jens Tölle, Oliver Niggemann: „Supporting Intrusion Detection by GraphClustering and Graph Drawing”, Universität Bonn, bei: RAID – RecentAdvances in Intrusion Detection, 2000[2] Christian de Waal: „Erkennung von Strukturen und deren Änderungen imNetzwerkverkehr mittels Clusteranalyse”, Diplomarbeit, Institut fürInformatik IV, Universität Bonn, 2001[3] Frank Höppner et al.: „Fuzzy-Clusteranalyse“, vieweg ComputationalIntelligence, 1994[4] Hans Bandemer et al.: „Einführung in Fuzzy-Methoden“, Akademie Verlag,1993[5] Detlef Nauck et al.. „Neuronale Netze und Fuzzy-Systeme“, vieweg, 1994[6] John Hertz et al.: “Introduction to the Theory of Neural Computation”,Addison-Wesley, 1991[7] Teuvo Kohonen: “Self-Organization and Associative Memory”, Third Edition,Springer, 1989[8] B. Kosko: “Neural Networks and Fuzzy Systems”, vieweg, 1994[9] B.D. Ripley: “Pattern Recognition and Neural Networks”, CambridgeUniversity Press, 1996[10] K.P Li: “A Learning Algorithm with Multiple Criteria for for Self-OrganizingFeature Maps”, in: Artificial Neural Networks, 1991[11] S. Theodoridis et al.: “Pattern Recognition“, Academic Press, 1999[12] J. Buhmann: “Learning and Data Clustering”, Institut für Informatik III,Universität Bonn[13] J. Shi et al. : “Normalized Cuts and Image Segmentation“, in: IEEETransactions on Pattern Analysis and Machine Intelligence, 2000[14] J. Puzicha: “Multiscale Annealing for Grouping Segmentation and ImageQuantization“, VDI Fortschrittsberichte, 1999[15] T. Hofmann: “Data Clustering and Beyond”, Shaker Verlag, 1997