MSTREAM: Schnelle Anomalieerkennung in mehrdimensionalen Datenströmen

Gegeben sei ein Datenstrom mit Einträgen in einem mehrdimensionalen Datensatz, d. h. Einträge mit mehreren Dimensionen. Wie können wir anomale Aktivitäten in einem unüberwachten Verfahren erkennen? Zum Beispiel im Bereich der Eindringlingsdetektion versuchen bestehende Arbeiten, anomale Ereignisse oder Kanten in dynamischen Graphen-Datenströmen zu identifizieren, aber dies ermöglicht es uns nicht, zusätzliche Attribute jedes Eintrags zu berücksichtigen. Unser Ziel ist es, einen Streaming-Anomalieerkennungsrahmen für mehrdimensionale Daten zu definieren, der als MSTREAM bezeichnet wird und in der Lage ist, ungewöhnliche Gruppenanomalien dynamisch zu erkennen, sobald sie auftreten. MSTREAM verfügt über folgende Eigenschaften: (a) Es erkennt Anomalien in mehrdimensionalen Daten, einschließlich sowohl kategorialer als auch numerischer Attribute; (b) Es ist online und verarbeitet jeden Datensatz in konstanter Zeit und mit konstantem Speicherbedarf; (c) Es kann die Korrelation zwischen verschiedenen Aspekten der Daten erfassen. MSTREAM wurde anhand der Datensätze KDDCUP99, CICIDS-DoS, UNSW-NB 15 und CICIDS-DDoS evaluiert und übertreffen dabei den Stand der Technik bei den Baseline-Methoden.