Temporal MDS Plots zur Analyse multivariater Daten

Temporal MDS Plots (oben) angewendet auf Netzwerkverkehrsdaten, die über einen Zeitraum von 24 Stunden aus einem /16-Computernetzwerk erhoben wurden. Für jeden Temporal MDS Plot bietet die sequenziell ausgerichtete Matrix (unten) einen Überblick über Korrelationen zwischen den Dimensionen. Die Visualisierung deckt einen verteilten Brute-Force-Angriff (A, D) sowie verschiedene Port-Scans (B, C) auf. Multivariate Zeitreihendaten finden sich in vielen Anwendungsdomänen. Beispiele sind Daten aus Computernetzwerken, dem Gesundheitswesen, sozialen Netzwerken oder Finanzmärkten. Häufig entwickeln sich Muster in solchen Daten über die Zeit hinweg in mehreren Dimensionen und sind schwer zu erkennen. Methoden zur Dimensionsreduktion wie PCA und MDS ermöglichen die Analyse und Visualisierung multivariater Daten, bieten aber an sich keine Mittel, um multivariate Muster über die Zeit zu untersuchen. Wir schlagen Temporal Multidimensional Scaling (TMDS) vor, eine neuartige Visualisierungstechnik, die temporale eindimensionale MDS Plots für multivariate Daten berechnet, die sich über die Zeit entwickeln. Mit einem Sliding-Window-Ansatz wird MDS für jedes Datenfenster separat berechnet, und die Ergebnisse werden sequenziell entlang der Zeitachse aufgetragen, wobei auf die Ausrichtung der Plots geachtet wird. Unsere TMDS Plots ermöglichen die visuelle Identifizierung von Mustern auf Grundlage multidimensionaler Ähnlichkeit der sich über die Zeit entwickelnden Daten. Wir demonstrieren den Nutzen unseres Ansatzes im Bereich der Netzwerksicherheit und zeigen in zwei Fallstudien, wie Nutzer die Daten iterativ erkunden können, um zuvor unbekannte, sich zeitlich entwickelnde Muster zu identifizieren.

Großskaliges Netzwerk-Monitoring zur visuellen Analyse von Angriffen

Das Bild zeigt Angriffe aus dem Internet auf Computer der Universität Konstanz (Brute-Force-SSH-Angriffe). Der Hintergrund stellt die Netzwerkstruktur der Universität dar, wobei Computersysteme als Rechtecke abgebildet sind. Externe Hosts werden als farbige Kreise am Rand dargestellt. Die Splines repräsentieren die Verbindungen zwischen Angreifern und Computern innerhalb des Netzwerks. Dies deckt einen verteilten Angriff auf, der von Hunderten von Hosts ausgeht, die zusammenwirken, um in bestimmte Computersysteme einzudringen. NFlowVis ist ein 2008 entwickeltes System zur Analyse von NetFlow-Daten mithilfe eines relationalen Datenbanksystems. NetFlow-Datensätze werden mit Alarmen eines Intrusion-Detection-Systems verknüpft, um eine effiziente Erkundung verdächtiger Aktivitäten innerhalb des überwachten Netzwerks zu ermöglichen. Innerhalb des Systems wird das überwachte Netzwerk auf eine Treemap-Visualisierung abgebildet, die Angreifer werden an den Rändern angeordnet und mittels Splines verknüpft, die mit Präfixinformationen parametrisiert sind.

Weitere Informationen zu dieser und verwandten Arbeiten finden sich in den folgenden Publikationen.