La computacin en la nube abstracta permite a los usuarios almacenar de forma remota sus datos

en la nube y proporciona aplicaciones en demanda y los servicios de un grupo compartido de

computacin configurables recursos. La seguridad de los datos externos en la nube depende de la
seguridad del sistema de computacin en la nube y red. Sin embargo, se han realizado numerosos
esfuerzos en asegurar datos sobre el sistema de computacin en nube, la evaluacin de la
seguridad de datos en la red entre el proveedor de la nube y sus usuarios es todava una tarea muy
difcil. La auditora de la computacin en la nube y el sistema de la red proporcionar informacin
sobre la seguridad y de el rendimiento de las mquinas virtuales y el sistema operativo en mltiples
centros de datos y la red intra-nube gestionada por la nube proveedores y la red de rea amplia
entre el usuario nube y proveedor de la nube. Por lo tanto, el anlisis de trfico de red para la nube
auditora es de importancia crtica para que los usuarios pueden recurrir a una fiesta de auditora
externa para verificar la seguridad de los datos en la red entre el proveedor de la nube y sus
usuarios. Este artculo presenta las siguientes tecnologas clave necesarias para analizar el trfico
de red en el entorno de(LA COMPUTACION EN NUBE ) cloud computing: geolocalizacin IP de red
dispositivos entre proveedor de la nube y sus usuarios, el seguimiento de la seguridad de los datos
de la ruta de red de la nube, y la minera en lnea de registros de auditora de nubes masivas
generadas por el trfico de red de la nube.

I. INTRODUCCIN
La computacin en nube es claramente uno de los ms atractivos de hoy tecnologas debido a su
escalabilidad, flexibilidad y costo-eficiente el acceso a los recursos informticos. Grandes y
pequeas empresas estn aprovechando cada vez ms la computacin en nube para gestionar la
de computacin y almacenamiento de cargas de trabajo [7]. Se ha utilizado en la consolidacin de
los recursos de TI, las aplicaciones basadas en Web, telfono inteligente, y varios dispositivos
innovadores, que fuertemente confiar en la salubridad y el rendimiento de las conexiones de red
en las nubes. Por ejemplo, el cloud computing ofrece la Web Tecnologas 2.0 para aplicaciones de
audio y video que demandan conexiones de baja latencia de alto rendimiento /. La nube
la red del proveedor tambin ser esencial en una Mquina Virtual (VM) de migracin como las
grandes organizaciones se mueven petabytes de informacin interna a los proveedores de nube
pblica y los datos migraciones entre nubes privadas para la copia de seguridad y desastres
recuperacin El rendimiento de la mayora de las aplicaciones que utilizan la nube
entorno informtico depende de manera crucial de la red infraestructura entre el proveedor de la
nube y sus usuarios. Para ejemplo, una red donde los routers son vulnerables debido a que se
pueden
abrir puertos inseguros o malintencionados, podra conducir a la extensin datos sean
comprometidos. Adems, si un router est plagada de prdidas de paquetes y pobre rendimiento,
aplicaciones web (correo electrnico, http, juegos, chat, etc) en la nube ser objeto de reducir la
velocidad tiempo de respuesta. Esto podra hacer que los suscriptores descontentos a
elegir los proveedores de nube alternos. El primer paso en la prestacin de los abonados o los
proveedores de capacidad para configurar la red en entornos de cloud computing actuales
es identificar los atributos de las nubes asegurados ya la mtricas de seguridad y de disponibilidad
correspondiente. Tradicionalmente, la red entre el proveedor de la nube y sus usuarios tiene
en gran medida centrado en proporcionar la conectividad bsica y firewall apoyar a los clientes
mquinas virtuales en cada servidor virtual. La red Se requieren indicadores de seguridad y
disponibilidad para mejorar control de acceso, la privacidad, el enrutamiento basado en polticas, el
cumplimiento de la auditora,aceleracin de protocolo, control de ruta, la falta de redundancia,
y la estimacin del ancho de banda insuficiente. La disponibilidad de la mtrica hace factible para
los proveedores de la nube y su usuarios para configurar la red o evaluar la red mediante
Acuerdo de Nivel de Servicio (SLA) en la nube computacional medio ambiente.Hay una necesidad
de desarrollar tcnicas de auditora en la nube para la medicin de estos indicadores para mejorar la
seguridad, la disponibilidad y rendimiento en diversos entornos de nube multi-tenant. Auditora en
nube es un rea de investigacin urgente debido emergente retos asociados a la explotacin de la
informacin enormes troncos de auditora nube. Auditora legado no es la solucin
y no existen normas de auditora nube universales a evaluar el desempeo de la nube. Nube de
auditora masiva registros requiere analizar volmenes de datos que cruzan habitualmente la
umbral peta-escala. En este trabajo, presentamos retos y enfoques para desarrollar mtricas de
seguridad para la auditora de la nube. El primer desafo es la determinacin de la ubicacin del
usuario y el anlisis solicitudes de servicio en la nube de los usuarios. La determinacin de la
ubicacin de usuario es fundamental para el seguimiento de los usuar lo malicioso
usuarios de la nube de cambiar las ubicaciones y la falta de IP exacta Los algoritmos de
geolocalizacin. Hemos desarrollado una mayor clasificador algoritmo de geolocalizacin IP basado
para mejorar la precisin de la localizacin de los usuarios en la nube. El segundo desafo
es la incapacidad para caracterizar el impacto de la red de la nube sobre las garantas de seguridad
de nubes y de rendimiento.Es necesario analizar el grado de seguridad que ofrece la red para
aplicaciones de intercambio de datos desplegados en la nube ambientes que abarcan los dominios
administrativos y de red. Hemos desarrollado una tcnica de evaluacin de riesgos para cuantificar
la vulnerabilidad de la red de la nube. El tercer desafo es relacionada con la necesidad de tcnicas
de minera de datos incrementales en analizar los registros de auditora de nubes en tiempo real. La
minera de datos tradicional tcnicas de realizar anlisis de instantnea de trfico en la red.
Anlisis instantneo es lenta para responder a los cambios en la red caminos, adems de un nuevo
sitio de centro de datos, etc Tenemos desarrollado un aprendizaje automtico supervisado integrado
y controlar modelo terico para sintonizar de forma adaptativa la deteccin umbral de un sistema de
deteccin de intrusiones en tiempo real (IDS) de acuerdo con los cambios operativos en la
computacin en nube medio ambiente. Con el fin de poner este documento en el contexto correcto,

Seccin 2 presenta el algoritmo de geolocalizacin IP clasificacin basada
para localizar con precisin los routers entre proveedor de la nube
y sus usuarios.
En la seccin 3 se presentan las vulnerabilidades
de enrutadores de la ruta de red entre cuatro comercial
proveedores de la nube y sus usuarios y hace hin
capi en la necesidad
para calcular el riesgo asociado con la transferencia de datos en la nube.

La seccin 4 presenta un modelo de minera de datos incrementales de
detectar eventos anormales en los registros de auditora de nubes en tiempo real. Finalmente,
concluimos en la seccin 5.



II. ANLISIS DE TRFICO DE LA RED DE LA NUBE
AUDITORA
Los registros de auditora de nubes suelen contener informacin sobre conexiones de red entre
usuarios de la nube y las instancias de mquina virtual el proveedor de la nube.
Desafortunadamente, la informacin contenida en estos registros no son suficientes para llevar a
cabo la auditora de la nube. Hay una necesidad de un anlisis adicional para determinar la
ubicacin de usuarios de la nube, la seguridad ruta de red, la estimacin del ancho de banda
de saltos de red, disponibilidad de sistema de computacin en la nube y routers de red, etc Por
ejemplo, las consultas que requiere informacin de geolocalizacin de usuarios de la nube o routers
entre usuario y proveedor de nube nube dependera de la disponibilidad del sistema de
geolocalizacin de IP. Al mismo tiempo, las consultas que determinar la seguridad y el ancho de
banda de la red camino entre el usuario y el proveedor de nube nube requerira
la disponibilidad de seguridad y ancho de banda mtricas router. Esta informacin no est
disponible en los registros de auditora de nubes y requiere mediciones y anlisis adicionales para
determinar estas mtricas. Adems, estas cifras cambiarn con frecuencia, debidoa los cambios
operativos en la red. Por lo tanto, hay una necesidadpara un modelo de minera de datos en lnea
que se asegurar de que el Mtricas de geolocalizacin IP y el router de seguridad y ancho de
banda son oportuna y precisa.
.Geolocalizacin A. IP
El aumento de la concentracin de los datos de negocios y la informtica en entornos de nube
escalas riesgo para la seguridad tambin. Ataques cibernticos sofisticados se han desplegado para
atacar cloud computing infraestructura. Por ejemplo, los atacantes tienen abusado de varias
plataformas de computacin en nube, como Amazon EC2 [6], [1] y App Engine de Google [2], por
botnet -comando y control (C & C). La derrota de los ataques cibernticos en entornos de nube es
un reto debido tanto a la escala del problema y la creciente sofisticacin de la ataques. Uno de los
recientes problemas de seguridad se atribuye a la ubicacin de datos del usuario de la nube. Los
usuarios de la nube externalizar sus datos y cargas de trabajo de computacin en mquinas
virtuales sobre una nube la infraestructura del proveedor. Sin embargo, la nube polticas de auditora
requieren que algunos usuarios de la nube restringen lugares VM a cierta lugares, segn lo
especificado por un SLA. Los usuarios de la nube pueden emplear Tcnicas de geolocalizacin IP
para estimar la ubicacin de su datos.
Geolocalizacin IP proporciona la capacidad para estimar geogrfica ubicacin de los hosts de
Internet por parte de una nica direccin IP. Este es un proceso difcil debido a la falta de una
relacin entre la direccin IP y su ubicacin geogrfica.Ms recientemente, las tcnicas basadas en
geolocalizacin IP han sido desplegados en los servicios de infraestructura de nube, como Amazon
de Servicio EC2. Desafortunadamente, el objetivo de geolocalizacin tiene un incentivo para
engaar al sistema de geolocalizacin sobre su verdadera ubicacin. Los proveedores de cloud o a
violar sus SLAs para localizar las mquinas virtuales de los clientes a los lugares donde el costo de
funcionamiento de la gestin de mquinas virtuales es menos costoso [14]. Los usuarios de cloud
computing desplegar mquinas virtuales en un nublar la infraestructura del proveedor sin tener que
mantener el hardware de su mquina virtual se est ejecutando. Sin embargo, las diferencias
en las leyes que rigen cuestiones tales como la privacidad, la informacin descubrimiento, de
cumplimiento y de auditora requieren que alguna nube los usuarios para restringir las ubicaciones
de VM a ciertas jurisdicciones o pases [14]. Estas restricciones de localizacin pueden
especificarse como parte de un SLA entre el usuario y el proveedor de nube. En estos casos, el
objetivo de geolocalizacin tiene un incentivo para engaar al sistema de geolocalizacin sobre su
verdadera ubicacin. Los proveedores de nube pueden intentar romper las restricciones de
ubicacin en sus SLA para mover las mquinas virtuales de los clientes a los lugares ms baratos.
Los algoritmos de geolocalizacin IP necesitan para mantener la precisin de la estimacin de
localizacin de datos a pesar de los intentos de la nube proveedor de la nube para mover las
mquinas virtuales a lugares no especificados en el SLA. Por lo tanto, no es un requisito para
usuarios de la nube a tener una verificacin independiente de la ubicacin de sus mquinas
virtuales para satisfacer los requisitos de auditora. Incluso si el propio proveedor de la nube
no es malicioso, sus empleados tambin pueden tratar de reubicar Mquinas virtuales a lugares
donde pueden ser atacados por otros malicioso VM [25]. As, mientras que los usuarios pueden
confiar en la nube el proveedor de servicio en la nube, que todava puede ser obligado a tener
verificacin independiente de la ubicacin de sus mquinas virtuales para satisfacer auditar los
requisitos o para evitar la responsabilidad legal. Durante la ltima dcada, varios de geolocalizacin
IP se acerca dirigida a aproximacin exacta de la ubicacin de red han surgido ejrcitos. Estos
enfoques se pueden clasificar en trminos generales en dos grupos en funcin de su tcnica para
recoger informacin de ubicacin. Un conjunto de tcnicas aprovecha informacin de bases de
datos comerciales para adquirir informacin en la ubicacin geogrfica de direcciones IP. Estas
bases de datos almacenar informacin de la organizacin asignada a dominios IP y
Nombres DNS. Estas bases de datos tienden a ser de grano grueso, por lo general regresan las
oficinas centrales de la organizacin que registra la direccin IP. Esto se convierte en un problema
cuando las organizaciones distribuyen sus direcciones IP a travs de una amplia regin geogrfica,
como los grandes proveedores de Internet o proveedores de contenido. Las bases de datos tambin
pueden ser fcilmente engaados por proxies. La otra tcnica utiliza retardo activo y topologa
mediciones para estimar la localizacin geogrfica de las direcciones IP. Enfoques de
geolocalizacin basada en la medicin que utilizar los tiempos de ida y vuelta de extremo a extremo
(RTT) se clasifican como algoritmos basados en retraso y los que utilizan tanto RTT y
informacin de la topologa como algoritmos de topologa conscientes. Pero enfoques topologa
basada suelen plagados de imprecisiones en nodos geolocalizadoras. Castelluccia et al. aplicar
Geolocalizacin basado en restricciones (CBG) [15] para el problema de geolocalizar servidores
fast-flux escondido que utilizan una capa de delegacin de votos en un botnet para ocultar su
ubicacin. Una reciente estudio [14] revela que los enfoques de topologa conscientes realidad
evolucionar peor contra un adversario que intenta subvertir el enfoques en la devolucin de
resultados falsos. -Topologa conscientes enfoques son, por tanto, menos adecuadas para la
seguridad y minsculas aplicaciones. Hemos propuesto un Enhanced Learning clasificador IP
enfoque de geolocalizacin, que se extiende una IP basada existente enfoque de geolocalizacin
con caractersticas adicionales y adecuado seleccin hito. Recientemente, se ha demostrado que la
precisin de geolocalizacin IP se puede mejorar mediante la fundicin IP Geolocalizacin como un
problema de clasificacin aprendizaje automtico. Este enfoque hace posible la incorporacin tanto
de la red mediciones (latencia y hop count) y las caractersticas de la sociedad
(densidad de poblacin de la ciudad) para localizar una direccin IP.Mejoramos la precisin del
aprendizaje de las mquinas existentes Geolocalizacin clasificador IP mediante la ampliacin de la
lista de caractersticas para incluir retraso promedio, la desviacin estndar de la demora, el modo
de y la mediana de demora y la seleccin cuidadosa de los monumentos. La Adems de estas
caractersticas aseguran que el nuestro enfoque es menos propenso a errores de medicin y otras
anomalas de red que afecta a la aproximacin distancia. Para demostrar la robustez y la precisin
de nuestro enfoque, evaluamos elrendimiento en los nodos de PlanetLab. Nuestro anlisis de
rendimiento muestra que en los conjuntos de datos terreno la verdad, nuestro enfoque proporciona
estimaciones de localizacin con una precisin excepcional en comparacin con tcnicas de estado-
of-the-art, CBG [15] y Aprendizaje Automtico IP Geolocalizacin base [11].
Para evaluar nuestro enfoque, se presenta la localizacin del router escenario, que es fundamental
para el examen de la distribucin geogrfica propiedades de la Internet. En este escenario, se
recogieron el mayor nmero de direcciones IP del router espacialmente diversas como sea posible
dentro de los Estados Unidos continentales. Identificamos los routers a lo largo de mltiples rutas de
red entre todos PlanetLab (planetaria escalar sistema distribuido) [4] pares de nodos. Para recoger
el router Direcciones IP, se realiz un traceroute malla completa entre sensible PlanetLab nodos en
mltiples ocasiones entre el 1 de junio de 2011 y el 31 de octubre de 2011. Las sondas traceroute
resultaron en 142.937 direcciones IP del router. Se utiliz Maximind [3]
base de datos para filtrar las direcciones IP que caen dentro de la Estados Unidos y haber conocido
lugares de la ciudad y del condado. Como diferentes direcciones IP potencialmente podran
pertenecer al nico interfaces del mismo router, se realiz dealiasing IP a
reducir las direcciones IP del router a 23.843. Con el conjunto de datos a partir de 23.843 routers,
usamos el 80% como el conjunto de entrenamiento y el resto 20%, como el conjunto de pruebas.
Tabla II una comparacin de nuestros resultados preliminares con el aprendizaje basado en IP
geolocalizacin y CBG. Como vemos en la tabla, el error medio estimaciones de distancia
producidos por nuestra tcnica es menor que geolocalizacin de IP basado en el aprendizaje y
CBG. Incluso con el mismo conjunto de caractersticas como la geolocalizacin IP basado en el
aprendizaje, la geolocalizacin estimaciones producidas por nuestra tcnica es mejor debido a
nuestra puntos de referencia de la poltica de seleccin. Se remite al lector a un reciente
documento de la conferencia para ms detalles sobre la seleccin hito la poltica y la posterior
evaluacin de nuestro enfoque [22]
B. Anlisis Router IP A pesar de la disponibilidad de numerosas aplicaciones de red
en la nube, aspectos que son fundamentales cuando se migra lineof-aplicaciones de red de
negocios, incluyendo la falta de grano fino la seguridad, la privacidad, el cumplimiento de la
auditora, impredecible el rendimiento y la confiabilidad pobre [28]. Las aplicaciones de red estn
tpicamente alojados en servidores gestionado por los proveedores de nube para proporcionar el
servicio a la nube suscriptores. Las aplicaciones de red, como por ejemplo, los servicios Web,
mensajera instantnea, aplicaciones financieras, y los juegos, suelen implicar el intercambio de
informacin sensible. La seguridad de estas aplicaciones depende de la disponibilidad de un
red subyacente confiable entre el proveedor de la nube y el suscriptor de la nube. La red subyacente
entre el abonado y el proveedor se ha centrado en gran medida en la prestacin de
conectividad bsica a los clientes mquinas virtuales, con firewall bsico capacidades disponibles
en cada servidor. Varios de red clave capacidades de seguridad para la proteccin de los datos
intercambiados entre el abonado y el proveedor no estn disponibles. Este red no confiable puede
comprometer sensible y de alta informacin sobre el valor transmitido por las aplicaciones.
Por ejemplo, un conjunto de routers en el camino entre la nube proveedor y el abonado podra
quedar vulnerable a adversarial ataques, que podran dar lugar a consultas de bsqueda que se
pueda interceptar, El mensaje de IM que ser modificado, y operaciones financieras, a
comprometida. Suscriptores nube insatisfechos podran elegir proveedores de la nube alternos, lo
que redundar en una significativa prdida de ingresos. Por lo tanto, hay una necesidad urgente
para evaluar la nivel de los mecanismos de seguridad y privacidad que ofrece el red subyacente
para proteger la autenticidad, integridad y confidencialidad de la informacin que fluye entre la nube
suscriptores y proveedores. La figura 1 ilustra el modelo del sistema. El trfico de la red
entre el abonado nube y proveedores de nube flujos a travs de la red de routers de ncleo. La
seguridad de la trfico de la red depende del nivel de seguridad de los routers de ncleo en la
trayectoria de la nube de abonado a cada uno de la nube proveedores. Evaluar el nivel de seguridad
de cada individuo router en la ruta ofrecer a los suscriptores una nube mecanismo para evaluar la
seguridad de las rutas de red a cada proveedor de la nube. El suscriptor nube elegir realizar
negocios con el proveedor de la nube, cuya informacin atraviesa la ruta de red ms segura.

Los problemas de seguridad de la nube han ganado recientemente la traccin en el comunidad de
investigacin, donde la atencin se ha centrado principalmente en la proteccin de los servidores de
los proveedores de nube (asegurar el lowlevel sistemas operativos o las implementaciones de la
mquina virtual). Servidores de la nube sin garanta han demostrado ser paralizado con ataques
nuevos de denegacin de servicio [20]. Sin embargo, mientrastales amenazas a servidores de la
nube son ampliamente entendidos, es menos bien apreciado que la infraestructura de red
subyacente s es objeto de constantes ataques tambin. Los proveedores de cloud han comenzado
a aumentar su actual operaciones de red con el fin de brindar un mejor servicio a la nube
suscriptores. Pero la mayora de estas mejoras son principalmente dirigido a un pequeo conjunto
de funcionalidades. Por ejemplo, a proveedores de la nube, Amazon y Azure, estn
proporcionandorelacionados con la red servicios complementarios tales como el aislamiento de
trfico, abordar costumbre, equilibrar la carga de trfico a travs de clster VMS, y servicios de
distribucin de contenidos que utilizan su distribucin plataformas. Por ejemplo, Amazon ampli sus
servicios VPN para incluir conectividad segura a instancias virtuales aislados con la capacidad de
ellos segmento en subredes y especificar rangos de direcciones privadas y acceso a la red ms
flexible Listas de control [6]. Adems, Microsoft Windows Azure virtuales red proporciona servicios
para los clientes integrar OnPremise aplicaciones. Recientemente, ha habido una afluencia de
aparatos de nubes virtuales, que son los servicios relacionados con la red proporcionada por
terceros proveedores. Algunos de estos servicios incluyen capacidades de seguridad como,
prevencin de intrusiones personalizada direccionamiento y cifrados de comunicacin [9].
Recientemente, la comunidad cientfica ha avanzado su opinin de los requisitos de la red y los
retos en el apoyo a diversas aplicaciones en la nube [9]. CloudNaaS (Cloud Redes-as-a-Service) es
un marco de la creacin de redes que extiende el modelo de aprovisionamiento de autoservicio de
la nube ms all de servidores y almacenamiento para incluir un amplio conjunto de virtuales
servicios de red de acompaamiento [9]. CloudNaaS mitiga la corriente de control limitado
disponible para los suscriptores de la nube para configurar la red, poniendo a su disposicin el
acceso a servicios como, aislamiento, direccionamiento personalizada, servicio de diferenciacin,
deteccin de intrusos, y el almacenamiento en cach. Hemos evaluado el nivel de seguridad de la
red entre el proveedor de la nube y la nube de abonado basado en los datos recogidos de los
routers de la red central [26],[24]. Nuestro trabajo est motivado por la observacin de que la el
rendimiento de la mayora de las aplicaciones de intercambio de datosdesplegado en
infraestructuras cloud depender del seguro subyacente redes. Los datos recogidos de los routers
ayuda en la evaluacin de software y de protocolo vulnerabilidades. Se evalu el impacto de las
vulnerabilidades de routers en el rendimiento de las aplicaciones de intercambio de datos en
la nube. Nuestro proceso de vulnerabilidad puerto del router demuestra que existen routers
trivialmente explotables entre la nube proveedor y el abonado por los ataques de confrontacin sean
factibles. Nuestros resultados tambin demuestran que no son lo suficientemente inseguro
abrir puertos en los routers que pueden verse comprometidos en una gran escala por los atacantes
poco sofisticados tcnicamente. los datos proceso de recogida se ilustra en la Figura 2. Figura 3
muestra la comparacin del riesgo de Confidencialidad de la red de la nube para los dos
proveedores de la nube. Vemos que el alto riesgo y grupos de riesgo medio, estn dominados por la
nube B en tanto que la grupo de bajo riesgo est dominado por el cloud A. Vemos similares
tendencia al comparar el riesgo de integridad, como se muestra en la Figura 4. El riesgo de
disponibilidad tambin sigue la misma tendencia que se muestra en la figura 5. El lector puede
consultar dos artculos recientes para ms detalles sobre la evaluacin de los riesgos que plantean
los vulnerables routers de servicios en la nube de los usuarios [26], [24].


III. MINERA DE DATOS ONLINE
Anlisis de trfico de red en el entorno de la computacin en nube tradicionalmente usan tcnicas
de minera de datos para obtener un modelo que capta con precisin los patrones de trfico entre la
nube usuario y el proveedor. Sin embargo, estas tcnicas dependen la disponibilidad de los
patrones normales de trfico del sistema de nubes perfil. Pero la huella digital estadstica del trfico
normal patrn puede cambiar y variar a lo largo de un perodo de tiempo debido a varios fenmenos
a nivel de red (por ejemplo, cambios en la actividad del usuario en funcionamiento o nube en el sitio
de red o incluso las actualizaciones del proveedor de la nube (suma del nuevo centro de datos,
cambios en la ejecucin de la mquina virtual, los cambios en los huspedes OS, etc)). Los cambios
en los patrones normales de trfico a travs del tiempo conducir a concepto de deriva. Algunos
cambios pueden ser temporales, cclico y puede ser de corta duracin o pueden durar largos
periodos de tiempo. Dependiendo de varios factores, la velocidad a la que el cambio en los patrones
de trfico se produce tambin puede ser variable, que van desde casi instantnea a los cambios que
ocurren en el lapso de varios meses. Estos cambios en el trfico patrones son una causa de
preocupacin para el anlisis de trfico de red como que pueden conducir a un aumento significativo
en las tasas de falsos positivos. A su vez, este efecto supone una pesada carga en el posterior a la
deteccin etapas que inspeccionan los paquetes que han levantado las alarmas reduciendo de este
modo la precisin del anlisis de trfico de la red. Con el fin de mejorar la precisin del anlisis de
trfico de la red, hay una necesidad de un mecanismo automatizado para detectar vlida cambios
de trfico y evitar respuestas ad hoc inapropiados. Caractersticas de funcionamiento del receptor
(ROC) curvas tienen ha utilizado como el mtodo de facto para evaluar la exactitud de analizadores
de trfico de red. Para operacin en tiempo real, el mejor Punto de funcionamiento ROC se elige a
la puntuacin mnima requerida. Pero, en presencia de trfico en la red concepto deriva arroyos
ROC curvas generadas usando umbrales fijos no pueden proporcionar el mejor precisin alcanzable
para un analizador de trfico de red. Tambin, una rgida (tiempo e invariante comportamiento)
Clasificacin umbral puede limitar la precisin de que el trfico de la red analizador potencialmente
puede lograr. Por otra parte, la determinacin del umbral mediante curvas ROC tambin introduce
indeseable la intervencin humana en el funcionamiento de una red de analizador de trfico. En esta
seccin, presentamos una mquina supervisada integrado el aprendizaje y el control de la teora de
modelos para sintonizar de forma adaptativa la umbral de deteccin de anlisis de trfico de red en
tiempo real en de acuerdo con diferentes nube usuario, proveedor de red y comportamiento para
detectar concepto de deriva en los patrones de trfico normales. El modelo consta de una mquina
de vectores de soporte basado clasificador que se ejecuta en un router y funciones de puerta de
enlace como parte del motor de control de realimentacin. Nuestro modelo incluye una divergencia
de Kullback-Leibler basa la medicin relativa entropa esquema para la cuantificacin de los
cambios en el trfico normal. El motor de control de realimentacin se basa en un controlador PID
que vigila la variacin en las mediciones de entropa relativa. Nuestro modelo se puede adaptar a
una variedad de trfico de la red tareas de anlisis sobre los sistemas de computacin en nube.
Mostraremos que, con alguna modificacin, nuestro modelo se puede utilizar para guiar el
analizador de trfico de red, proporcionando informacin sobre cuando se produce el cambio de
trfico. Analizadores de trfico de red para el clculo de los umbrales de RoC se han propuesto [19],
[16]. Sin embargo, la mayora de estos esfuerzos de investigacin no abordan el concepto de red de
deriva- flujos de trfico y, en consecuencia no proporcionan aceptable desempeo bajo condiciones
de trfico varan en el tiempo. Algunos analizadores de trfico de red comerciales ajustan sus
umbrales de conformidad con las caractersticas de trfico de entrada [17]. A medida que estos
productos utilizan algoritmos propietarios, no podemos comentarios sobre las mejoras de precisin
que se pueden lograr por estos algoritmos. Una de las primeras obras de adaptacin
umbralizacin es por Agosta et al. [21], que propone un detector de anomala que ajusta su umbral
segn las variaciones observadas en la entrada. En [5], [8], los autores modelos estocsticos
propuestas para mitigar los umbrales rgidos para la clasificacin de una anomala mediante la
adaptacin de los umbrales con diferentes Caractersticas de las entradas. Los modelos pueden
predecir con exactitud el valores esperados de las puntuaciones de anomalas futuras bajo benigna
condiciones, lo que conduce al umbral de deteccin es adaptada como una funcin de la puntuacin
predicha. Algunos de las limitaciones de este modelo son que puede ser utilizado para mejorar
analizador de trfico de red en tiempo real, un menor nmero de alarmas se producen para
anomala persistente, debido a la menor peso a picos repentinos en las perturbaciones de datos y
carece de estabilidad en trminos de aprendizaje tendencia observada recientemente. Ms
recientemente, se han sido los esfuerzos de deteccin concepto de deriva utilizando Adaboost y
Modelo oculto de Markov [10] y modelos de clustering [18]. Pero estos esfuerzos no son propicias
para el trfico de la red en lnea anlisis debido al tiempo y complejidad de clculo de la algoritmos.
En la prctica, los analizadores de trfico de red se actualizan con frecuencia en presencia de trfico
streaming. Hay una fuerte necesidad para una tcnica genrico que puede adaptar el umbral en
presencia de flujos de red concepto de deriva. Esta tcnica ser independiente del algoritmo de
deteccin de anomalas y debe funcionar a la perfeccin con una gran precisin para cualquier dado
algoritmo. Una tcnica de deteccin genrico concepto de deriva para adaptar el umbral de la
Repblica de China es en gran parte inexplorado en la investigacin literatura. A. adaptativa ROC
umbral en red analizador de trfico En esta seccin, se propone el control de teora integrada
y el modelo de aprendizaje de la mquina que ser capaz de adaptarse el umbral de la Repblica
de China en el analizador de trfico de red en presencia de flujos de red concepto de deriva. El
modelo comprende de tres componentes integrados: modelo en lnea-SVM, en relacin esquema de
medicin de la entropa, y el motor de control de retroalimentacin. En base a las propiedades
estadsticas exhibidos por la evolucin flujo de datos, la siguiente seccin se describe cmo el
tres componentes se pueden rastrear con precisin el concepto de deriva en trfico en tiempo real y
/ o mediciones OS. Para poner las cosas en perspectiva, antes de proceder con la descripcin de
los el algoritmo, hacemos hincapi en nuestra razn de ser y de alto nivel
metodologa. 1) motivacin: La precisin de un analizador de trfico de red se ha caracterizado
tradicionalmente por porcentaje de la media detecciones y los falsos positivos mediante la aplicacin
de diferentes medios modelos de clasificacin. Si bien este tipo de evaluacin es til para tener una
idea de la exactitud del caso medio de una red de analizador de trfico, mtodos para lograr la
mejor precisin para datos de evolucin (trfico o OS) no estn bien investigadas. en
prctica, un analizador de trfico de red tendr que de alguna manera aprender un buen clasificador
en presencia de perturbaciones menores del trfico en tiempo real. Para empeorar las cosas, el
trfico que se introducen en un analizador de trfico de red tpicamente mostrar considerables
variaciones en el tiempo. Caractersticas del trfico varan travs de las organizaciones y los puntos
de despliegue de red, y los patrones de uso diurno y otros. Como un ejemplo, [5] han demostrado
que mediante la observacin del fondo de LBNL tasas de trfico, se puede inferir fcilmente que las
tasas de trfico cambian de aproximadamente 500 pkts / seg a 10.000 pkts / seg dentro unos pocos
segundos. Del mismo modo, la deteccin de anomalas basado en host mtricas son una funcin
del comportamiento del usuario, siendo las aplicaciones utilizado, el sistema operativo, hardware,
etc Por ejemplo, [5] han tambin demostr que el sistema benigna llama errtica variar de 1 a 15 en
las huellas benignos. Puede ser intuitivamente argumentado que un fijo (tiempo-y el comportamiento
invariante) un capacitado clasificador no puede conseguir una buena precisin para tales
variable en el tiempo de entrada. Por ltimo, como caractersticas de los datos de entrada varan, la
determinacin de un clasificador fijo requiera repetir intervencin manual.En un escenario tpico
operacional, una administrador del sistema / red es responsable de ajustar la sensibilidad de un
detector de anomalas basado en la red cuando el nmero de falsas alarmas (es decir, el trfico
clasificado como malicioso pero que de hecho es benigna) aumenta. De manera similar, basada en
host analizadores de trfico de la red esperan que un usuario ajustar su sensibilidad para atender a
su / sus requisitos de seguridad y de comportamiento. Dicha entrada manual repetida hace un
analizador de trfico de red menos automatizada y ms propenso a errores de configuracin.
Por otra parte, en un sistema de tiempo real es difcil de determinar si un umbral configurado
manualmente dar una buena precisin.
2) Metodologa: Se argumenta que un trfico de red precisa analizador detecta automticamente la
entrada variable en el tiempo patrones de trfico y ajustar su modelo de clasificador en
consecuencia. Si precisa, un mecanismo de umbral adaptativo se habilitar un analizador de trfico
de red para lograr una mayor media la deteccin y la precisin falsas alarmas. Como un
subproducto, umbral adaptativo tambin reducir la necesidad de humana tuning umbral, haciendo
as un analizador de trfico de red ms automatizado. Esto nos lleva a la siguiente justificacin para
la tcnica de umbral adaptativo propuesto. Si podemos detectar con precisin las modificaciones
estadsticos en el timeevolving el trfico en condiciones de perturbacin de menor importancia, la
Modelo SVM puede ser entrenado en lnea usando slo los datos nuevos arroyo. El seguimiento de
las modificaciones estadsticos requiere una capacidad para aprender el modelo SVM sin
reentrenamiento en el flujo de datos entero. Una vez, un nuevo modelo de SVM se aprende, se
requiere una medicin relativa entropa para cuantificar la diferencias entre los modelos SVM
antiguos y nuevos. Finalmente, un motor de control de realimentacin controla la entropa relativa
la medicin y la poltica del sistema para decidir cundo ajustar el umbral de la Repblica de China.
La figura 6 representa la adaptacin propuesta tcnica de umbralizacin en un trfico de red basado
anomala analizador. Se remite al lector a una investigacin recientemente publicada
papel para obtener ms detalles sobre el Umbral Adaptativo metodologa [23]. En las siguientes
secciones, proporcionamos una amplia descripcin de los tres componentes importantes de nuestra
metodologa.
3) SVM Online: En las aplicaciones tradicionales de aprendizaje automtico, SVMs se aplican en
modo por lotes. Es decir, una SVM es capacitados en todo un conjunto de datos de entrenamiento,
y despus se pone a prueba en un conjunto separado de los datos de prueba. La deteccin de
intrusos es tpicamente probado y desplegado en un entorno en lnea, que procede
incrementalmente. El aprendiz clasifica una nueva observacin, obtiene retroalimentacin sobre el
resultado de la prediccin, actualiza su hiptesis en consecuencia y, a continuacin, espera una
nueva observacin. Online aprendizaje permite que un sistema implementado para adaptarse en un
cambios en el entorno. Re-entrenamiento de un SVM desde cero en todo el conjunto de datos
observados anteriormente para cada nuevo ejemplo es un costo prohibitivo. Sin embargo, el uso de
una vieja hiptesis como la punto de partida para el reentrenamiento reduce este costo
considerablemente. Hemos propuesto un algoritmo semi-suave que es a nivel mundial
convergente desde cualquier punto de partida. [27] Cada vez que la nueva observaciones se
aaden a un conjunto de datos existente, reiniciar el mtodo semi-fluida de la solucin obtenida para
el viejo conjunto de datos es beneficioso y resulta en una reduccin en el tiempo en comparacin
con la formacin en todo el conjunto de datos. En comparacin, SVMs basadas en mtodos de
punto interior [13]
puede no haber sido iniciado desde un punto arbitrario. 4) Medida relativa Entropa: Medida relativa
entropa se puede utilizar para detectar las derivas concepto en red trfico. Deteccin de la deriva
del concepto requiere cambios de anlisis con el perfil normal en los datos de entrenamiento
establecidos por s sola es no es suficiente, y el modelo (perfil) necesita ser actualizado
continuamente [29]. Cuando hay un concepto de tiempo de evolucin deriva, utilizando los datos
antiguos no selectiva ayuda si el nuevo y viejo conceptos todava tienen consistencias, y la cantidad
de edad datos elegidos arbitrariamente slo pasa a ser derecho [12]. Este requiere un enfoque
eficiente para la extraccin de datos que ayuda a seleccionar una combinacin de datos nuevos y
antiguos (histricos) para hacer reperfilado precisa y otra clasificacin. 5) Control de Feedback del
motor: El motor de control de retroalimentacin se desarrollarn para impulsar una respuesta
defensiva a base en la histresis para reducir la frecuencia de falsos positivos causado por concepto
de deriva, evitando as inapropiado respuestas ad hoc. Aumento de falsos positivos puede ralentizar
el sistema y un impacto negativo en la eficacia de la analizador de trfico de red. El motor de control
de retroalimentacin ser responsable ni de ajustar el umbral de la Repblica de China,
manteniendo el umbral de corriente o desencadenar una alerta basada en la tendencia
observado en las medidas de entropa relativa. Una apropiada la respuesta est integrado en el
modelo que predice el patrn de ataque y desencadena la respuesta selectiva en el Control Engine.
El motor de control se implementa utilizando un controlador PID. El controlador PID realiza una
medicin de la entropa relativa y la compara con un valor de referencia. Se utiliza a continuacin La
diferencia o bien ajustar el umbral de la Repblica de China (ajuste por concepto de deriva),
mantener el umbral de la Repblica de China (que no reaccionan a los cambios aberrantes) o
activar una alerta (actividad anormal) El controlador PID puede ajustar las salidas del proceso
basado en la historia y la tasa de de cambio de la seal de error, que da ms precisa y un control
estable. Esto evita una situacin en la que las alertas puede no ser verdaderas representaciones de
la actividad de intrusos debido a los falsos positivos. esesTales errores de clculo pueden resultar
en ya sea medidas defensivas desproporcionada y costosa o completa fallo en la seguridad. Por
tanto, es esencial para construir una ponderada respuesta integral y diferencial para el mecanismo
de activacin en vez de reaccionar a una medicin instantnea. Mientras una respuesta integral
mide la cantidad de tiempo que el error ha continuado sin corregir, la respuesta diferencial anticipa
futuros errores de la tasa de cambio de error durante un perodo de tiempo. Los valores de
referencia son de naturaleza dinmica y establecer como parte de la configuracin del sistema que
se estiman ms de largo perodos de tiempo. Estas reestimaciones son necesarios a la cuenta para
el cambio de comportamiento de los usuarios, tambin se conoce como concepto de deriva.
IV. CONCLUSIN
Este trabajo presenta tecnologas para el anlisis del trfico de red en el entorno de la nube
computacinal . Las tecnologas son Geolocalizacin IP, anlisis IP del router y la minera de datos
en lnea. Las tres tecnologas se interrelacionan y se requiere para evaluar la seguridad de los datos
externos en la nube. La seguridad de los datos en la nube depende de una nube de computacin
segura sistema y la red. Las tecnologas presentadas en esta captulo dar una idea del impacto de
la red en la nube seguridad de los datos en la nube. Geolocalizacin IP proporciona una capacidad
de determinar la ubicacin geogrfica de los routers en la red camino entre el usuario y el proveedor
de la nube. Anlisis Router IP proporciona un mecanismo para llevar a cabo anlisis de riesgos de
software en estos routers. Por ltimo, la minera de datos en lnea presenta una acercarse al anlisis
del trfico de red de la nube, al tiempo que limita falso positivo desde el concepto a la deriva arroyos.