Tesis sobre el tema "Networks anomalies detection"

With the increasing dependence on Wireless Local Area Networks (WLANs), businesses and educational institutions are in real need of a robust security mechanism. The latest WLAN security protocol, the IEEE 802.11i assures rigid security for wireless networks with the support of IEEE 802.1x protocol for authentication, authorization and key distribution. Nevertheless, users remain skeptical since they lack confidence on the practical trustworthiness of these security mechanisms. In this research we propose a novel Early Warning System (EWS), built on the foundations of IEEE 802.11i security architecture. Our proposed system can effectively detect anomalies, substantiate them, and also identify the basis for such malicious behavior. It has a number of levels of defense to scrutinize malicious behaviors of the wireless network, caused by a range of factors including security issues. Security alerts will be raised only when the legitimacy of abnormal conditions is validated using effective outlier based substantiation techniques. Timing anomalies can occur due to various conditions including security vulnerabilities in the wireless environment. Hence, detecting and analyzing such anomalies may lead to significant advancement towards the detection of misbehaving wireless hosts. In this view, we have discussed the effectiveness of monitoring and analyzing round trip timing values between every request and response messages during the authentication process of wireless hosts. Further, to enhance the capabilities of our detection mechanism we have also considered the effect of behavioral anomalies of the wireless hosts. Every wireless host that tends to connect to the wireless network exhibits a particular behavior. This behavior may vary depending on a number of issues including security vulnerabilities. Hence, in this study we have discussed the use of behavioral analysis for detecting abnormal conditions. We have used the standard theoretical/practical behavior profiles developed using a software model of the wireless hosts to compare the actual behavior during a specific authentication process.
Thesis (PhD Doctorate)
Doctor of Philosophy (PhD)
School of Information and Communication Technology
Science, Environment, Engineering and Technology
Full Text

In order to ensure the validity of sensor data, it must be thoroughly analyzed for various types of anomalies. Traditional machine learning methods of anomaly detections in sensor data are based on domain-specific feature engineering. A typical approach is to use domain knowledge to analyze sensor data and manually create statistics-based features, which are then used to train the machine learning models to detect and classify the anomalies. Although this methodology is used in practice, it has a significant drawback due to the fact that feature extraction is usually labor intensive and requires considerable effort from domain experts. An alternative approach is to use deep learning algorithms. Research has shown that modern deep neural networks are very effective in automated extraction of abstract features from raw data in classification tasks. Long short-term memory networks, or LSTMs in short, are a special kind of recurrent neural networks that are capable of learning long-term dependencies. These networks have proved to be especially effective in the classification of raw time-series data in various domains. This dissertation systematically investigates the effectiveness of the LSTM model for anomaly detection and classification in raw time-series sensor data. As a proof of concept, this work used time-series data of sensors that measure blood glucose levels. A large number of time-series sequences was created based on a genuine medical diabetes dataset. Anomalous series were constructed by six methods that interspersed patterns of common anomaly types in the data. An LSTM network model was trained with k-fold cross-validation on both anomalous and valid series to classify raw time-series sequences into one of seven classes: non-anomalous, and classes corresponding to each of the six anomaly types. As a control, the accuracy of detection and classification of the LSTM was compared to that of four traditional machine learning classifiers: support vector machines, Random Forests, naive Bayes, and shallow neural networks. The performance of all the classifiers was evaluated based on nine metrics: precision, recall, and the F1-score, each measured in micro, macro and weighted perspective. While the traditional models were trained on vectors of features, derived from the raw data, that were based on knowledge of common sources of anomaly, the LSTM was trained on raw time-series data. Experimental results indicate that the performance of the LSTM was comparable to the best traditional classifiers by achieving 99% accuracy in all 9 metrics. The model requires no labor-intensive feature engineering, and the fine-tuning of its architecture and hyper-parameters can be made in a fully automated way. This study, therefore, finds LSTM networks an effective solution to anomaly detection and classification in sensor data.

In the 21st century, information is the new currency. With the omnipresence of devices connected to the internet, humanity can instantly avail any information. However, there are certain are cybercrime groups which steal the information. An Intrusion Detection System (IDS) monitors a network for suspicious activities and alerts its owner about an undesired intrusion. These commercial IDS’es react after detecting intrusion attempts. With the cyber attacks becoming increasingly complex, it is expensive to wait for the attacks to happen and respond later. It is crucial for network owners to employ IDS’es that preemptively differentiate a harmless data request from a malicious one. Machine Learning (ML) can solve this problem by recognizing patterns in internet traffic to predict the behaviour of network users. This project studies how effectively Radial Basis Function Neural Network (RBFN) with Deep Learning Architecture can impact intrusion detection. On the basis of the existing framework, it asks how well can an RBFN predict malicious intrusive attempts, especially when compared to contemporary detection practices.Here, an RBFN is a multi-layered neural network model that uses a radial basis function to transform input traffic data. Once transformed, it is possible to separate the various traffic data points using a single straight line in extradimensional space. The outcome of the project indicates that the proposed method is severely affected by limitations. E.g. the model needs to be fine tuned over several trials to achieve a desired accuracy. The results of the implementation show that RBFN is accurate at predicting various cyber attacks such as web attacks, infiltrations, brute force, SSH etc, and normal internet behaviour on an average 80% of the time. Other algorithms in identical testbed are more than 90% accurate. Despite the lower accuracy, RBFN model is more than 94% accurate at recording specific kinds of attacks such as Port Scans and BotNet malware. One possible solution is to restrict this model to predict only malware attacks and use different machine learning algorithm for other attacks.
I det 21: a århundradet är information den nya valutan. Med allnärvaro av enheter anslutna till internet har mänskligheten tillgång till information inom ett ögonblick. Det finns dock vissa grupper som använder metoder för att stjäla information för personlig vinst via internet. Ett intrångsdetekteringssystem (IDS) övervakar ett nätverk för misstänkta aktiviteter och varnar dess ägare om ett oönskat intrång skett. Kommersiella IDS reagerar efter detekteringen av ett intrångsförsök. Angreppen blir alltmer komplexa och det kan vara dyrt att vänta på att attackerna ska ske för att reagera senare. Det är avgörande för nätverksägare att använda IDS:er som på ett förebyggande sätt kan skilja på oskadlig dataanvändning från skadlig. Maskininlärning kan lösa detta problem. Den kan analysera all befintliga data om internettrafik, känna igen mönster och förutse användarnas beteende. Detta projekt syftar till att studera hur effektivt Radial Basis Function Neural Networks (RBFN) med Djupinlärnings arkitektur kan påverka intrångsdetektering. Från detta perspektiv ställs frågan hur väl en RBFN kan förutsäga skadliga intrångsförsök, särskilt i jämförelse med befintliga detektionsmetoder.Här är RBFN definierad som en flera-lagers neuralt nätverksmodell som använder en radiell grundfunktion för att omvandla data till linjärt separerbar. Efter en undersökning av modern litteratur och lokalisering av ett namngivet dataset användes kvantitativ forskningsmetodik med prestanda indikatorer för att utvärdera RBFN: s prestanda. En Random Forest Classifier algorithm användes också för jämförelse. Resultaten erhölls efter en serie finjusteringar av parametrar på modellerna. Resultaten visar att RBFN är korrekt när den förutsäger avvikande internetbeteende i genomsnitt 80% av tiden. Andra algoritmer i litteraturen beskrivs som mer än 90% korrekta. Den föreslagna RBFN-modellen är emellertid mycket exakt när man registrerar specifika typer av attacker som Port Scans och BotNet malware. Resultatet av projektet visar att den föreslagna metoden är allvarligt påverkad av begränsningar. T.ex. så behöver modellen finjusteras över flera försök för att uppnå önskad noggrannhet. En möjlig lösning är att begränsa denna modell till att endast förutsäga malware-attacker och använda andra maskininlärnings-algoritmer för andra attacker.

Les systèmes SCADA sont de plus en plus ciblés par les cyberattaques en raison de nombreuses vulnérabilités dans le matériel, les logiciels, les protocoles et la pile de communication. Ces systèmes utilisent aujourd'hui du matériel, des logiciels, des systèmes d'exploitation et des protocoles standard. De plus, les systèmes SCADA qui étaient auparavant isolés sont désormais interconnectés aux réseaux d'entreprise et à Internet, élargissant ainsi la surface d'attaque. Dans cette thèse, nous utilisons une approche deep learning pour proposer un réseau de neurones profonds hybride efficace pour la détection d'anomalies dans les systèmes SCADA. Les principales caractéristiques des données SCADA sont apprises de manière automatique et non supervisée, puis transmises à un classificateur supervisé afin de déterminer si ces données sont normales ou anormales, c'est-à-dire s'il y a une cyber-attaque ou non. Par la suite, en réponse au défi dû au temps d’entraînement élevé des modèles deep learning, nous avons proposé une approche distribuée de notre système de détection d'anomalies afin de réduire le temps d’entraînement de notre modèle
SCADA systems are more and more targeted by cyber-attacks because of many vulnerabilities inhardware, software, protocols and the communication stack. Those systems nowadays use standard hardware, software, operating systems and protocols. Furthermore, SCADA systems which used to be air-gaped are now interconnected to corporate networks and to the Internet, widening the attack surface.In this thesis, we are using a deep learning approach to propose an efficient hybrid deep neural network for anomaly detection in SCADA systems. The salient features of SCADA data are automatically and unsupervisingly learnt, and then fed to a supervised classifier in order to dertermine if those data are normal or abnormal, i.e if there is a cyber-attack or not. Afterwards, as a response to the challenge caused by high training time of deep learning models, we proposed a distributed approach of our anomaly detection system in order lo lessen the training time of our model

Online social networks have become a staging ground for many modern movements, with the Arab Spring being the most prominent example. In an effort to understand and predict those movements, social media can be regarded as a valuable social sensor for disclosing underlying behaviors and patterns. To fully understand mass movement information propagation patterns in social networks, several problems need to be considered and addressed. Specifically, modeling mass movements that incorporate multiple spaces, a dynamic network structure, and misinformation propagation, can be exceptionally useful in understanding information propagation in social media. This dissertation explores four research problems underlying efforts to identify and track the adoption of mass movements in social media. First, how do mass movements become mobilized on Twitter, especially in a specific geographic area? Second, can we detect protest activity in social networks by observing group anomalies in graph? Third, how can we distinguish real movements from rumors or misinformation campaigns? and fourth, how can we infer the indicators of a specific type of protest, say climate related protest? A fundamental objective of this research has been to conduct a comprehensive study of how mass movement adoption functions in social networks. For example, it may cross multiple spaces, evolve with dynamic network structures, or consist of swift outbreaks or long term slowly evolving transmissions. In many cases, it may also be mixed with misinformation campaigns, either deliberate or in the form of rumors. Each of those issues requires the development of new mathematical models and algorithmic approaches such as those explored here. This work aims to facilitate advances in information propagation, group anomaly detection and misinformation distinction and, ultimately, help improve our understanding of mass movements and their adoption in social networks.
Ph. D.

Grâce à l'évolution des outils d'automatisation et d'intelligence artificielle, les réseauxmobiles sont devenus de plus en plus dépendants de la machine. De nos jours, une grandepartie des tâches de gestion de réseaux est exécutée d'une façon autonome, sans interventionhumaine. Dans cette thèse, nous avons focalisé sur l'utilisation des techniques d'analyse dedonnées dans le but d'automatiser et de consolider le processus de résolution de défaillancesdans les réseaux. Pour ce faire, nous avons défini deux objectifs principaux : la détectiond'anomalies et le diagnostic des causes racines de ces anomalies. Le premier objectif consiste àdétecter automatiquement les anomalies dans les réseaux sans faire appel aux connaissancesdes experts. Pour atteindre cet objectif, nous avons proposé un algorithme, Watchmen AnomalyDetection (WAD), basé sur le concept de la reconnaissance de formes (pattern recognition). Cetalgorithme apprend le modèle du trafic réseau à partir de séries temporelles périodiques etdétecte des distorsions par rapport à ce modèle dans le flux de nouvelles données. Le secondobjectif a pour objet la détermination des causes racines des problèmes réseau sans aucuneconnaissance préalable sur l'architecture du réseau et des différents services. Pour ceci, nousavons conçu un algorithme, Automatic Root Cause Diagnosis (ARCD), qui permet de localiser lessources d'inefficacité dans le réseau. ARCD est composé de deux processus indépendants :l'identification des contributeurs majeurs à l'inefficacité globale du réseau et la détection desincompatibilités. WAD et ARCD ont fait preuve d'efficacité. Cependant, il est possible d'améliorerces algorithmes sur plusieurs aspects
With the evolution of automation and artificial intelligence tools, mobile networks havebecome more and more machine reliant. Today, a large part of their management tasks runs inan autonomous way, without human intervention. In this thesis, we have focused on takingadvantage of the data analysis tools to automate the troubleshooting task and carry it to a deeperlevel. To do so, we have defined two main objectives: anomaly detection and root causediagnosis. The first objective is about detecting issues in the network automatically withoutincluding expert knowledge. To meet this objective, we have proposed an algorithm, WatchmenAnomaly Detection (WAD), based on pattern recognition. It learns patterns from periodic timeseries and detect distortions in the flow of new data. The second objective aims at identifying theroot cause of issues without any prior knowledge about the network topology and services. Toaddress this question, we have designed an algorithm, Automatic Root Cause Diagnosis (ARCD)that identifies the roots of network issues. ARCD is composed of two independent threads: MajorContributor identification and Incompatibility detection. WAD and ARCD have been proven to beeffective. However, many improvements of these algorithms are possible

L'utilisation des réseaux de capteurs sans fil (WSN) ne cesse d'augmenter au point de couvrir divers domaines et applications. Cette tendance est supportée par les avancements techniques achevés dans la conception des capteurs, qui ont permis de réduire le coût ainsi que la taille de ces composants. Toutefois, il reste plusieurs défis qui font face au déploiement et au bon fonctionnement de ce type de réseaux et qui parviennent principalement de la limitation des ressources de capteurs ainsi de l'imperfection des données collectées. Dans cette thèse, on adresse le problème de collecte de données et de détection d'anomalies dans les réseaux de capteurs. Nous visons à assurer ces deux fonctionnalités tout en économisant l'utilisation des ressources de capteurs et en prolongeant la durée de vie de réseaux. Tout au long de ce travail, nous présentons plusieurs solutions qui permettent une collecte efficace de données de capteurs ainsi que une bonne détection des éventuelles anomalies. Dans notre première contribution, nous décrivons une solution basée sur la technique Compressive Sensing (CS) qui permet d'équilibrer le trafic transmis par les nœuds dans le réseau. Notre approche diffère des solutions existantes par la prise en compte de la corrélation temporelle ainsi que spatiale dans le processus de décompression des données. De plus, nous proposons une nouvelle formulation pour détecter les anomalies. Les simulations réalisées sur des données réelles prouvent l'efficacité de notre approche en termes de reconstruction de données et de détection d'anomalies par rapport aux approches existantes. Pour mieux optimiser l'utilisation des ressources de WSNs, nous proposons dans une deuxième contribution une solution de collecte de données et de détection d'anomalies basée sur la technique Matrix Completion (MC) qui consiste à transmettre un sous ensemble aléatoire de données de capteurs. Nous développons un algorithme qui estime les mesures manquantes en se basant sur plusieurs propriétés des données. L'algorithme développé permet également de dissimuler les anomalies de la structure normale des données. Cette solution est améliorée davantage dans notre troisième contribution, où nous proposons une formulation différente du problème de collecte de données et de détection d'anomalies. Nous reformulons les connaissances a priori sur les données cibles par des contraintes convexes. Ainsi, les paramètres impliqués dans l'algorithme développé sont liés a certaines propriétés physiques du phénomène observé et sont faciles à ajuster. Nos deux approches montrent de bonnes performances en les simulant sur des données réelles. Enfin, nous proposons dans la dernière contribution une nouvelle technique de collecte de données qui consiste à envoyer que les positions les plus importantes dans la représentation parcimonieuse des données uniquement. Nous considérons dans cette approche le bruit qui peut s'additionner aux données reçues par le nœud collecteur. Cette solution permet aussi de détecter les pics dans les mesures prélevées. En outre, nous validons l'efficacité de notre solution par une analyse théorique corroborée par des simulations sur des données réelles
The use of Wireless Sensor Networks (WSN)s is steadily increasing to cover various applications and domains. This trend is supported by the technical advancements in sensor manufacturing process which allow a considerable reduction in the cost and size of these components. However, there are several challenges facing the deployment and the good functioning of this type of networks. Indeed, WSN's applications have to deal with the limited energy, memory and processing capacities of sensor nodes as well as the imperfection of the probed data. This dissertation addresses the problem of collecting data and detecting anomalies in WSNs. The aforementioned functionality needs to be achieved while ensuring a reliable data quality at the collector node, a good anomaly detection accuracy, a low false alarm rate as well as an efficient energy consumption solution. Throughout this work, we provide different solutions that allow to meet these requirements. Foremost, we propose a Compressive Sensing (CS) based solution that allows to equilibrate the traffic carried by nodes regardless their distance from the sink. This solution promotes a larger lifespan of the WSN since it balances the energy consumption between sensor nodes. Our approach differs from existing CS-based solutions by taking into account the sparsity of sensory representation in the temporal domain in addition to the spatial dimension. Moreover, we propose a new formulation to detect aberrant readings. The simulations carried on real datasets prove the efficiency of our approach in terms of data recovering and anomaly detection compared to existing solutions. Aiming to further optimize the use of WSN resources, we propose in our second contribution a Matrix Completion (MC) based data gathering and anomaly detection solution where an arbitrary subset of nodes contributes at the data gathering process at each operating period. To fill the missing values, we mainly relay on the low rank structure of sensory data as well as the sparsity of readings in some transform domain. The developed algorithm also allows to dissemble anomalies from the normal data structure. This solution is enhanced in our third contribution where we propose a constrained formulation of the data gathering and anomalies detection problem. We reformulate the textit{a prior} knowledge about the target data as hard convex constraints. Thus, the involved parameters into the developed algorithm become easy to adjust since they are related to some physical properties of the treated data. Both MC based approaches are tested on real datasets and demonstrate good capabilities in terms of data reconstruction quality and anomaly detection performance. Finally, we propose in the last contribution a position based compressive data gathering scheme where nodes cooperate to compute and transmit only the relevant positions of their sensory sparse representation. This technique provide an efficient tool to deal with the noisy nature of WSN environment as well as detecting spikes in the sensory data. Furthermore, we validate the efficiency of our solution by a theoretical analysis and corroborate it by a simulation evaluation

La détection d'anomalies dans les séries temporelles multivariées est un enjeu majeur dans de nombreux domaines. La complexité croissante des systèmes et l'explosion de la quantité de données ont rendu son automatisation indispensable. Cette thèse propose une méthode non supervisée de détection d'anomalies dans les séries temporelles multivariées appelée USAD. Cependant, les méthodes de réseaux de neurones profonds souffrent d'une limitation dans leur capacité à extraire des caractéristiques des données puisqu'elles ne s'appuient que sur des informations locales. Afin d'améliorer les performances de ces méthodes, cette thèse présente une stratégie d'ingénierie des caractéristiques qui introduit des informations non-locales. Enfin, cette thèse propose une comparaison de seize méthodes de détection d'anomalies dans les séries temporelles pour comprendre si l'explosion de la complexité des méthodes de réseaux de neurones proposées dans les publications actuelles est réellement nécessaire
Anomaly detection in multivariate time series is a major issue in many fields. The increasing complexity of systems and the explosion of the amount of data have made its automation indispensable. This thesis proposes an unsupervised method for anomaly detection in multivariate time series called USAD. However, deep neural network methods suffer from a limitation in their ability to extract features from the data since they only rely on local information. To improve the performance of these methods, this thesis presents a feature engineering strategy that introduces non-local information. Finally, this thesis proposes a comparison of sixteen time series anomaly detection methods to understand whether the explosion in complexity of neural network methods proposed in the current literature is really necessary

Les réseaux complexes constituent un outil pratique pour modéliser les systèmes complexes réels. Pour cette raison, ils sont devenus très populaires au cours de la dernière décennie. De nombreux outils existent pour étudier les réseaux complexes. Parmi ceux-ci, la détection de la communauté est l’un des plus importants. Une communauté est grossièrement définie comme un groupe de nœuds plus densément connectés entre eux qu’avec le reste du réseau. Dans la littérature, cette définition intuitive a été formalisée de plusieurs différentes façons, ce qui a conduit à d’innombrables méthodes et variantes permettant de les détecter. Du point de vue applicatif, le sens des communautés est aussi important que leur détection. Cependant, bien que la tâche de détection de communautés en elle-même ait attiré énormément d’attention, le problème de leur interprétation n’a pas été sérieusement abordé jusqu’à présent. Dans cette thèse, nous voyons l’interprétation des communautés comme un problème indépendant du processus de leur détection, consistant à identifier les éléments leurs caractéristiques les plus typiques. Nous le décomposons en deux sous-problèmes : 1) trouver un moyen approprié pour représenter une communauté ; et 2) sélectionner de façon objective les parties les plus caractéristiques de cette représentation. Pour résoudre ces deux sous-problèmes, nous exploitons l’information encodée dans les réseaux dynamiques attribués. Nous proposons une nouvelle représentation des communautés sous la forme de séquences temporelles de descripteurs associés à chaque nœud individuellement. Ces descripteurs peuvent être des mesures topologiques et des attributs nodaux. Nous détectons ensuite les motifs séquentiels émergents dans cet ensemble de données, afin d’identifier les ceux qui sont les plus caractéristiques de la communauté. Nous effectuons une validation de notre procédé sur des réseaux attribués dynamiques générés artificiellement. A cette occasion, nous étudions son comportement relativement à des changements structurels de la structure de communautés, à des modifications des valeurs des attributs. Nous appliquons également notre procédé à deux systèmes du monde réel : un réseau de collaborations scientifiques issu de DBLP, et un réseau d’interactions sociales et musicales tiré du service LastFM. Nos résultats montrent que les communautés détectées ne sont pas complètement homogènes. Certaines communautés sont composées de petits groupes de nœuds qui ont tendance à évoluer ensemble au cours du temps, que ce soit en termes de propriétés individuelles ou collectives. Les anomalies détectées correspondent généralement à des profils typiques : nœuds mal placés par l’outil de détection de communautés, ou nœuds différant des tendances de leur communautés sur certains points, et/ou non-synchrones avec l’évolution de leur communauté, ou encore nœuds complètement différents
Complex Networks constitute a convenient tool to model real-world complex systems. For this reason, they have become very popular in the last decade. Many tools exist to study complex networks. Among them, community detection is one of the most important. A community is roughly defined as a group of nodes more connected internally than to the rest of the network. In the literature, this intuitive definition has been formalized in many ways, leading to countless different methods and variants to detect communities. In the large majority of cases, the result of these methods is set of node groups in which each node group corresponds to a community. From the applicative point of view, the meaning of these groups is as important as their detection. However, although the task of detecting communities in itself took a lot of attraction, the problem of interpreting them has not been properly tackled until now. In this thesis, we see the interpretation of communities as a problem independent from the community detection process, consisting in identifying the most characteristic features of communities. We break it down into two sub-problems: 1) finding an appropriate way to represent a community and 2) objectively selecting the most characteristic parts of this representation. To solve them, we take advantage of the information encoded in dynamic attributed networks. We propose a new representation of communities under the form of temporal sequences of topological measures and attribute values associated to individual nodes. We then look for emergent sequential patterns in this dataset, in order to identify the most characteristic community features. We perform a validation of our framework on artificially generated dynamic attributed networks. At this occasion, we study its behavior relatively to changes in the temporal evolution of the communities, and to the distribution and evolution of nodal features. We also apply our framework to real-world systems: a DBLP network of scientific collaborations, and a LastFM network of social and musical interactions. Our results show that the detected communities are not completely homogeneous, in the sense several node topic or interests can be identified for a given community. Some communities are composed of smaller groups of nodes which tend to evolve together as time goes by, be it in terms of individual (attributes, topological measures) or relational (community migration) features. The detected anomalies generally fit some generic profiles: nodes misplaced by the community detection tool, nodes relatively similar to their communities, but also significantly different on certain features and/or not synchronized with their community evolution, and finally nodes with completely different interests

L'architecture de l'Internet a été conçue pour connecter des hôtes distants. Mais l'évolution de son usage, qui s'apparente à celui d'une plate-forme mondiale pour la distribution de contenu met à mal son modèle de communication originale. Afin de mettre en cohérence l'architecture de l'Internet et son usage, de nouvelles architectures réseaux orientées contenu ont été proposées et celles-ci sont prêtes à être mises en oeuvre. Les questions de leur gestion, déploiement et sécurité se posent alors comme des verrous indispensables à lever pour les opérateurs de l'Internet. Dans cette thèse, nous proposons un plan de surveillance de la sécurité pour Named Data Networking (NDN), l'architecture la plus aboutie et bénéficiant d'une implémentation fonctionnelle. Dans le déploiement réel, nous avons caractérisé les attaques NDN les plus importantes - Interest Flooding Attack (IFA) et Content Poisoning Attack (CPA). Ces résultats ont permis de concevoir des micro-détecteurs qui reposent sur la théorie des tests d'hypothèses. L'approche permet de concevoir un test optimal (AUMP) capable d'assurer une probabilité de fausses alarmes (PFA) désirée en maximisant la puissance de détection. Nous avons intégré ces micro-détecteurs dans un plan de surveillance de la sécurité permettant de détecter des changements anormaux et les corréler par le réseau Bayésien, qui permet d'identifier les événements de sécurité dans un noeud NDN. Cette solution a été validée par simulation et expérimentation sur les attaques IFA et CPA
The current architecture of the Internet has been designed to connect remote hosts. But the evolution of its usage, which is now similar to that of a global platform for content distribution undermines its original communication model. In order to bring consistency between the Internet's architecture with its use, new content-oriented network architectures have been proposed, and these are now ready to be implemented. The issues of their management, deployment, and security now arise as locks essential to lift for Internet operators. In this thesis, we propose a security monitoring plan for Named Data Networking (NDN), the most advanced architecture which also benefits from a functional implementation. In this context, we have characterized the most important NDN attacks - Interest Flooding Attack (IFA) and Content Poisoning Attack (CPA) - under real deployment conditions. These results have led to the development of micro-detector-based attack detection solutions leveraging hypothesis testing theory. The approach allows the design of an optimal (AUMP) test capable of providing a desired false alarm probability (PFA) by maximizing the detection power. We have integrated these micro-detectors into a security monitoring plan to detect abnormal changes and correlate them through a Bayesian network, which can identify events impacting security in an NDN node. This proposal has been validated by simulation and experimentation on IFA and CPA attacks

Cette thèse vise à exploiter la future masse de données qui émergera du nombre conséquent d'objets connectés à venir. Concentré sur les données de bâtiments connectés, ces travaux ont pour but de contribuer à un système générique de détection d'anomalies. La première année fut consacrée à définir la problématique, le contexte et à recenser les modèles candidats. La piste des réseaux de neurones auto-encodeurs a été privilégiée et justifiée par une première expérimentation. Une deuxième expérience plus conséquente, prenant plus en compte l'aspect temporel et traitant de toutes les classes d'anomalies a été menée en deuxième année. Cette expérimentation vise à étudier les améliorations que peuvent apporter la récurrence face la convolution au sein d’un auto-encodeur utilisé dans le cadre de bâtiments connectés. Les résultats de cette étude a donné lieu à une présentation et une publication dans une conférence IEEE sur IoT en Egypte. La dernière année a été consacrée à l'amélioration de l'utilisation d'auto-encodeur en incluant au fonctionnement original de l'auto-encodeur une estimation de l'incertitude. Ces tests, menés sur divers jeux de données connus dans un premier temps puis sur un jeu de données de bâtiment connecté dans un second temps, ont montrés une amélioration des performances et ont été publiés dans une conférence IEEE IA
This thesis aims to exploit the future mass of data that will emerge from the large number of connected objects to come. Focusing on data from connected buildings, this work aims to contribute to a generic anomaly detection system. The first year was devoted to defining the problem, the context and identifying the candidate models. The path of autoencoder neural networks has been selected and justified by a first experiment. A second, more consistent experiment, taking more into account the temporal aspect and dealing with all classes of anomalies was conducted in the second year. This experiment aims to study the improvements that recurrence can bring in response to convolution within an autoencoder used in connected buildings. The results of this study were presented and published in an IEEE conference on IoT in Egypt. The last year was devoted to improving the use of auto-encoder by proposing to include an estimate of uncertainty in the original operation of the auto-encoder. These tests, conducted on various known datasets initially and then on a connected building dataset later, showed improved performance and were published in an IEEE IA conference

Les réseaux sociaux en ligne font partie intégrante de l'activité sociale quotidienne des gens. Ils fournissent des plateformes permettant de mettre en relation des personnes du monde entier et de partager leurs intérêts. Des statistiques récentes indiquent que 56% de la population mondiale utilisent ces médias sociaux. Cependant, ces services de réseau ont également eu de nombreux impacts négatifs et l'existence de phénomènes d'agressivité et d'intimidation dans ces espaces est inévitable et doit donc être abordée. L'exploration de la structure complexe des réseaux sociaux pour détecter les comportements violents et les menaces est un défi pour l'exploration de données, l'apprentissage automatique et l'intelligence artificielle. Dans ce travail de thèse, nous visons à proposer de nouvelles approches de détection des comportements violents dans les réseaux sociaux. Nos approches tentent de résoudre cette problématique pour plusieurs raisons pratiques. Premièrement, des personnes différentes ont des façons différentes d'exprimer le même comportement violent. Il est souhaitable de concevoir une approche qui fonctionne pour tout le monde en raison de la variété des comportements et des diverses manières dont ils sont exprimés. Deuxièmement, les approches doivent avoir un moyen de détecter les comportements anormaux potentiels non vus et de les ajouter automatiquement à l'ensemble d'apprentissage. Troisièmement, la multimodalité et la multidimensionnalité des données disponibles sur les sites de réseaux sociaux doivent être prises en compte pour le développement de solutions d'exploration de données qui seront capables d'extraire des informations pertinentes utiles à la détection de comportements violents. Enfin, les approches doivent considérer la nature variable dans le temps des réseaux pour traiter les nouveaux utilisateurs et liens et mettre automatiquement à jour les modèles construits. A la lumière de cela et pour atteindre les objectifs susmentionnés, les principales contributions de cette thèse sont les suivantes: - La première contribution propose un modèle de détection des comportements violents sur Twitter. Ce modèle prend en charge la nature dynamique du réseau et est capable d'extraire et d'analyser de données hétérogènes. - La deuxième contribution introduit une approche de détection des comportements atypiques sur un réseau multidimensionnel. Cette approche se base sur l'exploration et l'analyse des relations entre les individus présents sur cette structure sociale multidimensionnelle. - La troisième contribution présente un framework d'identification des personnes anormales. Ce cadre intelligent s'appuie sur l'exploitation d'un modèle multidimensionnel qui prend en entrée des données multimodales provenant de plusieurs sources, capable d'enrichir automatiquement l'ensemble d'apprentissage par les comportements violents détectés et considère la dynamicité des données afin de détecter les nouveaux comportements violents qui apparaissent sur le réseau. Cette thèse décrit des réalisations combinant les techniques d'exploration de données avec les nouvelles techniques d’apprentissage automatique. Pour prouver la performance de nos résultats d'expérimentation, nous nous sommes basés sur des données réelles extraites de trois réseaux sociaux populaires
Online social networks are an integral part of people's daily social activity. They provide platforms to connect people from all over the world and share their interests. Recent statistics indicate that 56% of the world's population use these social media. However, these network services have also had many negative impacts and the existence of phenomena of aggression and intimidation in these spaces is inevitable and must therefore be addressed. Exploring the complex structure of social networks to detect violent behavior and threats is a challenge for data mining, machine learning, and artificial intelligence. In this thesis work, we aim to propose new approaches for the detection of violent behavior in social networks. Our approaches attempt to resolve this problem for several practical reasons. First, different people have different ways of expressing the same violent behavior. It is desirable to design an approach that works for everyone because of the variety of behaviors and the various ways in which they are expressed. Second, the approaches must have a way to detect potential unseen abnormal behaviors and automatically add them to the training set. Third, the multimodality and multidimensionality of the data available on social networking sites must be taken into account for the development of data mining solutions that will be able to extract relevant information useful for the detection of violent behavior. Finally, approaches must consider the time-varying nature of networks to process new users and links and automatically update built models. In the light of this and to achieve the aforementioned objectives, the main contributions of this thesis are as follows: - The first contribution proposes a model for detecting violent behavior on Twitter. This model supports the dynamic nature of the network and is capable of extracting and analyzing heterogeneous data. - The second contribution introduces an approach for detecting atypical behaviors on a multidimensional network. This approach is based on the exploration and analysis of the relationships between the individuals present on this multidimensional social structure. - The third contribution presents a framework for identifying abnormal people. This intelligent framework is based on the exploitation of a multidimensional model which takes as input multimodal data coming from several sources, capable of automatically enriching the learning set by the violent behaviors detected and considers the dynamicity of the data in order to detect new violent behaviors that appear on the network. This thesis describes achievements combining data mining techniques with new machine learning techniques. To prove the performance of our experimental results, we sums based on real data taken from three popular social networks

Computer crime is a large problem (CSI, 2004; Kabay, 2001a; Kabay, 2001b). Security managers have a variety of tools at their disposal – firewalls, Intrusion Detection Systems (IDSs), encryption, authentication, and other hardware and software solutions to combat computer crime. Many IDS variants exist which allow security managers and engineers to identify attack network packets primarily through the use of signature detection; i.e., the IDS recognizes attack packets due to their well-known "fingerprints" or signatures as those packets cross the network's gateway threshold. On the other hand, anomaly-based ID systems determine what is normal traffic within a network and reports abnormal traffic behavior. This paper will describe a methodology towards developing a more-robust Intrusion Detection System through the use of data-mining techniques and anomaly detection. These data-mining techniques will dynamically model what a normal network should look like and reduce the false positive and false negative alarm rates in the process. We will use classification-tree techniques to accurately predict probable attack sessions. Overall, our goal is to model network traffic into network sessions and identify those network sessions that have a high-probability of being an attack and can be labeled as a "suspect session." Subsequently, we will use these techniques inclusive of signature detection methods, as they will be used in concert with known signatures and patterns in order to present a better model for detection and protection of networks and systems.
Ph.D.
Other
Arts and Sciences
Modeling and Simulation

Un flot de liens est un ensemble de liens {(t,u,v)} dans lequel un triplet (t,u,v) modélise l'interaction entre deux entités u et v à l'instant t. Dans de nombreuses situations, les données résultent de la mesure des interactions entre plusieurs millions d'entités au cours du temps et peuvent ainsi être étudiées grâce au formalisme des flots de liens. C'est le cas des appels téléphoniques, des échanges d'e-mails, des transferts d'argent, des contacts entre individus, du trafic IP, des achats en ligne, et bien d'autres encore. L'objectif de cette thèse est la détection d'ensembles de liens anormaux dans un flot de liens. Dans une première partie, nous concevons une méthode qui construit différents contextes, un contexte étant un ensemble de caractéristiques décrivant les circonstances d'une anomalie. Ces contextes nous permettent de trouver des comportements inattendus pertinents, selon plusieurs dimensions et perspectives. Dans une seconde partie, nous concevons une méthode permettant de détecter des anomalies dans des distributions hétérogènes dont le comportement est constant au cours du temps, en comparant une séquence de distributions hétérogènes similaires. Nous appliquons nos outils méthodologiques à des interactions temporelles provenant de retweets sur Twitter et de trafic IP du groupe MAWI
A link stream is a set of links {(t, u, v)} in which a triplet (t, u, v) models the interaction between two entities u and v at time t. In many situations, data result from the measurement of interactions between several million of entities over time and can thus be studied through the link stream's formalism. This is the case, for instance, of phone calls, email exchanges, money transfers, contacts between individuals, IP traffic, online shopping, and many more. The goal of this thesis is the detection of sets of abnormal links in a link stream. In a first part, we design a method that constructs different contexts, a context being a set of characteristics describing the circumstances of an anomaly. These contexts allow us to find unexpected behaviors that are relevant, according to several dimensions and perspectives. In a second part, we design a method to detect anomalies in heterogeneous distributions whose behavior is constant over time, by comparing a sequence of similar heterogeneous distributions. We apply our methodological tools to temporal interactions coming from retweets of Twitter and IP traffic of MAWI group

Les réseaux de capteurs corporels (RC2) sont constitués de bio-capteurs à faibles ressources énergétiques et de calcul. Ils collectent des données physiologiques du corps humain et de son environnement, et les transmettent à un coordinateur comme le PDA (Personal Digital Assistant) ou un smartphone, pour être acheminé ensuite aux experts de santé. Les réseaux de capteurs corporels collaboratifs (RC3) sont une collection de RC2 qui se déplacent dans une zone donnée et collaborent,interagissent et échangent des données entre eux pour identifier l'activité du groupe et surveiller l'état individuel et collectif des participants. Dans les réseaux RC2 et RC3, l'envoi de données de manière fiable tout en assurant une bonne Quality of Service (QoS) et une latence de données optimisée est crucial, vu la sensibilité des données collectées. La QoS dans ce type de réseaux dépend en grande partie du choix des protocoles de contrôle d'accès MAC (Medium Access Control) et des protocoles de routage, de l'efficacité énergétique, de la précision et de la détection des anomalies.Les protocoles existants dans la littérature et proposés pour les RC2et RC3 présentent de nombreuses limites au niveau de la latence de données, de la fiabilité, et de la détection de pannes. Le travail présenté dans cette thèse a trois objectifs principaux. Le premier consiste à étudier et concevoir de nouveaux algorithmes pour la couche MAC, robustes et capables de répondre aux défis de RC2 et RC3. Pour cela, nous avons conçu un nouveau protocole MAC qui prend en considération le trafic élevé et les contraintes de ressources dans ces types de réseaux, ainsi que la latence des données et l'urgence de relayer les informations sensibles. Le deuxième objectif consiste à proposer des protocoles de routage efficaces en termes de consommation d'énergie et de calcul, adaptés aux RC2 et RC3. Le troisième objectif est dédiée à l'étude d'un algorithme d’échantillonnage de données permettant de réduire la quantité de données collectées et transmises dans le réseau, sans perte d'information. Notre approche garantit la détection et l'envoi d'information en cas d'urgence tout en optimisant la consommation énergétique des nœuds. Pour montrer l'efficacité de nos approches, nous les avons testées dans un environnement de simulation OPNet dédié aux réseaux de capteurs et nous les avons comparées à plusieurs protocoles existants. Les résultats obtenus montrent l'efficacité de ces protocoles en termes d'optimisation de la consommation d'énergie, de latence et d'intégrité des données, et de détection d'anomalies
Body Sensor Networks (BSNs) are formed of medical sensors that gather physiological and activity data from the human body and its environment, and send them wirelessly to a personal device like Personal Digital Assistant (PDA) or a smartphone that acts as a gateway to health care. Collaborative Body Sensor Networks (CBSNs) are collection of BSNs that move in a given area and collaborate, interact and exchange data between each other to identify group activity, and monitor the status of single and multiple persons.In both BSN and CBNS networks, sending data with the highest Quality of Service (QoS) and performance metrics is crucial since the data sent affects people’s life. For instance, the sensed physiological data should be sent reliably and with minimal delay to take appropriate actions before it is too late, and the energy consumption of nodes should be preserved as they have limited capacities and they are expected to serve for a long period of time. The QoS in BSNs and CBSNs largely depends on the choice of the Medium Access Control (MAC) protocols, the adopted routing schemes, and the efficient and accuracy of anomaly detection.The current MAC, routing and anomaly detection schemes proposed for BSNs and CBSNs in the literature present many limitations and open the door toward more research and propositions in these areas. Thus this thesis work focuses on three main axes. The first axe consists in studying and designing new and robust MAC algorithms able to address BSNs and CBSNs' challenges. Standard MAC protocols are compared in high traffic BSNs and a new MAC protocol is proposed for such environments; then an emergency aware MAC scheme is presented to address the dynamic traffic requirements of BSN in ensuring delivery of emergency data within strict delay requirements, and energy efficiency of nodes during regular observations; moreover, a traffic and mobility aware MAC scheme is proposed for CBSNs to address both traffic and mobility requirements for these networks.The second axe consists in proposing a thorough and efficient routing scheme suitable for BSNs and CBSNs. First, different routing models are compared for CBSNs and a new routing scheme is proposed in the aim of reducing the delay of data delivery, and increasing the network throughput and the energy efficiency of nodes. The proposed scheme is then adapted to BSN's requirements to become a solid solution for the challenges faced by this network. The third axe involves proposing an adaptive sampling approach that guarantees high accuracy in the detection of emergency cases, while ensuring at the same time high energy efficiency of the sensors.In the three axes, the performance of the proposed schemes is qualitatively compared to existing algorithms in the literature; then simulations are carried a posteriori with respect to different performance metrics and under different scenarios to assess their efficiency and ability to face BSNs and CBSNs' challenges.Simulation results demonstrate that the proposed MAC, routing and anomaly detection schemes outperform the existing algorithms, and present strong solutions that satisfy BSNs and CBSNs' requirements

This thesis proposes a novel anomaly detection algorithm for detect-ing anomalies in high-dimensional, multimodal, real-valued time se-ries data. The approach, requiring no domain knowledge, is based on Stochastic Recurrent Networks (STORNs), a universal distribution approximator for sequential data leveraging the power of Recurrent Neural Networks (RNNs) and Variational Auto-Encoders (VAEs). The detection algorithm is evaluated on real robot time series data in order to prove that the method robustly detects anomalies off- and on-line.
Detta arbete förslår en ny detektionsalgoritm för anomalier i högdi-mensionell multimodal reellvärd tidsseriedata. Metoden kräver in-gen domänkunskap och baseras på Stochastic Recurrent Networks (STORNs), en teknik för oövervakad och universell fördelningssapprox-imation för sekventiell data som bygger på Recurrent Neural Net-works (RNNs) och Variational Auto-Encoders (VAEs). Algoritmen utvärderades på robotgenererade tidsserier och slutsat-sen är att metoden på ett robust sätt upptäcker anomalier både offline och online.
Anomaliedetektion in Roboterzeitreihen  mittels stochastischer Rekurrenter Netzwerke   In dieser Arbeit wird ein neuartiger Algorithmus entwickelt, um in hochdimensionalen, multimodalen, reellwertigen Zeitreihen Anomalien zu detektieren. Der Ansatz benötigt keine domänenspezifisches Fachwissen und basiert auf Stochastischen Rekurrenten Netzwerken (STORN), einem universellen Wahrscheinlichkeitsverteilungsapproximator für sequenzielle Daten, der die Stärken von Rekurrenten Neuronalen Netzwerken (RNN) und dem Variational Auto-Encoder (VAE) vereinigt. Der Detektionsalgorithmus wird auf realen Robotertrajektorien evaluiert. Es wird gezeigt, dass Anomalien robust online und offline gefunden werden können.

Detecting suspicious or unauthorized activities is an important concern for High-Performance Computing (HPC) systems administrators. Automatic classification of programs running on these systems could be a valuable aid towards this goal. This thesis proposes a machine learning model capable of classifying programs running on a HPC system into various types by monitoring metrics associated with different physical and architectural system components. As a specific case study, we consider the problem of detecting password-cracking programs that may have been introduced into the normal workload of a HPC system through clandestine means. Our study is based on data collected from a HPC system called DAVIDE installed at Cineca. These data correspond to hundreds of physical and architectural metrics that are defined for this system. We rely on Principal Component Analysis (PCA) as well as our personal knowledge of the system to select a subset of metrics to be used for the analysis. A time series oversampling technique is also proposed in order to increase the available data related to password-cracking activities. Finally, a deep learning model based on Temporal Convolutional Networks (TCNs) is presented, with the goal of distinguishing between anomalous and normal activities. Our results show that the proposed model has excellent performance in terms of classification accuracy both with balanced (95%) and imbalanced (98%) datasets. The proposed network achieves an F score of 95.5% when training on a balanced dataset, and an AUC-ROC of 0.99 for both balanced and imbalanced data.

Cette thèse aborde certains problèmes de télédétection et de modélisation statistique de fond en utilisant la théorie a-contrario et des modèles de réseaux neuronaux artificiels. Le travail est motivé par deux applications en télédétection où le contrôle des fausses alarmes est un problème en raison de la large échelle des problèmes.L'identification et la mesure des sites de dépôts pétroliers à l'aide d'images satellites ont une valeur commerciale et stratégique importante. Nous nous intéressons ici au premier aspect : la détection de sites de stockage de pétrole par l'analyse de grandes quantités d'images satellite couvrant un pays ou un continent entier. Dans ce contexte, pour être utile, un algorithme doit atteindre un taux de rappel élevé tout en contrôlant le nombre de fausses détections et avec un coût de calcul réduit. La première méthode proposée ici commence par la détection d'objets circulaires, qui sont ensuite regroupés à l'aide de méthodes a-contrario ; en effet, les dépôts pétroliers correspondent souvent à un groupe dense de bâtiments cylindriques. L'approche est complétée par une procédure de patch-matching a-contrario pour récupérer les réservoirs manquants. Comme la méthode repose fortement sur la détection d'objets circulaires, plusieurs algorithmes de détection de cercles dans des images satellite à faible résolution sont comparés. L'algorithme a-contrario est également comparé à deux architectures de réseaux neuronaux pour la segmentation sémantique.La deuxième application de la télédétection est la détection des points chauds de jour à l'aide d'images satellites multibandes qui ne comportent pas de bandes thermiques. Cela permet de surveiller l'activité des raffineries de pétrole, des cimenteries et des aciéries, ainsi que l'activité des volcans.La première méthode proposée est basée sur un algorithme de détection d'anomalies.Une deuxième approche repose sur la mesure de l'adéquation des radiances mesurées dans les bandes spectrales sélectionnées au modèle du corps noir.Enfin, cette thèse traite de la détection d'éléments hors distribution, en anglais "Out-of-Distribion'' (OOD) detection, dans les méthodes d'apprentissage profond. Une première approche consiste à compléter l'ensemble de données d'apprentissage par des données étrangères affectées à une classe supplémentaire hors distribution. L'entraînement du modèle sur un ensemble de données séparé aide ce dernier à discriminer les échantillons hors distribution, y compris ceux auxquels le modèle n'a jamais été exposé pendant l'entraînement. Une approche non supervisée de la détection des OOD est également présentée. Pour ce faire, une nouvelle couche de réseau neuronal est proposée, qui impose une représentation gaussienne pour une classe donnée. Grâce à cette nouvelle couche, chaque classe cible peut être représentée par une distribution gaussienne. Les nouveaux échantillons sont ensuite évalués pour déterminer s'ils appartiennent ou non à une classe cible en effectuant un test du chi-2 pour chacun d'entre eux. Les échantillons rejetés par tous les tests sont considérés comme OOD. Cette méthodologie permet également d'identifier les échantillons ambigus lorsqu'ils sont validés par plus d'une classe
This thesis addresses some problems in remote sensing and statistical background modeling using the a-contrario theory and artificial neural network models. The work is motivated by two applications in remote sensing where the control of false alarms is an issue due to the large-scale nature of the problems.The identification and measuring of oil depots using satellite images has important commercial and strategic value. Here is addressed the former: the detection of oil storage sites while analyzing vast quantities of satellite images covering a whole country or continent. In this context, to be useful an algorithm needs to achieve a high recall while controlling the number of false detections and with a reduced computational cost. The first method proposed here starts by detecting circular objects, which are then clustered using the a-contrario framework; indeed, oil depots often correspond to a dense group of cylindrical buildings. The approach is completed by an a-contrario patch-matching procedure to recover the missing tanks. Since the method relies heavily on the detection of circular objects, several algorithms for detecting circles in low-resolution satellite images are compared. The a-contrario algorithm is also compared to two neural-network architectures for oil depot segmentation.The second remote sensing application is the detection of hot spots in the daytime using multi-band satellite images that do not have thermal bands. This allows the monitoring of the activity of oil refineries, cement works, and steel mills as well as the activities of volcanoes.The first proposed method is based on an anomaly detection algorithm.A second approach relies on measuring the fitness of the measured radiances in the selected spectral bands to the black body model.Finally, this thesis deals with out-of-distribution (OOD) detection in deep learning methods. A first approach is to supplement the training dataset with extraneous data assigned to an additional out-of-distribution class. Training the model on a segregated dataset helps the model to discriminate out-of-distribution samples, including those the model was never exposed to during training. An unsupervised approach to OOD detection is also presented. For that, a new neural network layer is proposed that enforces a Gaussian embedding for each class. Using this new layer, each target class can be represented by a Gaussian distribution. New samples are then evaluated as belonging to a target class or not by performing a chi-square test for each one. Samples rejected by all tests are considered OOD. This methodology also allows to identify ambiguous samples when validated by more than one class

The aim of this thesis is to come up with cost-efficient, accurate and fast schemes for link-level network anomaly detection and localization. It has been established that for detecting all potential link-level anomalies, a set of paths that cover all links of the network must be monitored, whereas for localizing all potential link-level anomalies, a set of paths that can distinguish between all links of the network pairwise must be monitored. Either end-node of each path monitored must be equipped with a monitoring device. Most existing link-level anomaly detection and localization schemes are two-step. The first step selects a minimal set of monitor locations that can detect/localize any link-level anomaly. The second step selects a minimal set of monitoring paths between the selected monitor locations such that all links of the network are covered/distinguishable pairwise. However, such stepwise schemes do not consider the interplay between the conflicting optimization objectives of the two steps, which results in suboptimal consumption of the network resources and biased monitoring measurements. One of the objectives of this thesis is to evaluate and reduce this interplay. To this end, one-step anomaly detection and localization schemes that select monitor locations and paths that are to be monitored jointly are proposed. Furthermore, we demonstrate that the already established condition for anomaly localization is sufficient but not necessary. A necessary and sufficient condition that minimizes the localization cost drastically is established. The problems are demonstrated to be NP-Hard. Scalable and near-optimal heuristic algorithms are proposed.

Die Analyse von Proxy-Zeitreihen aus Paläoklimaarchiven wie zum Beispiel Baumringen, Seesedimenten, Tropfsteinen und Eisbohrkernen mittels gefensterter Rekurrenznetzwerkanalyse ermöglicht die Identifizierung und Charakterisierung dynamischer Anomalien in der Klimavariabilität der Vergangenheit. Das Ziel der vorliegenden Arbeit ist die Entwicklung einer zuverlässigeren Routine zur gefensterten Rekurrenznetzwerkanalyse. Aufbauend auf dem bestehenden methodischen Rahmen werden die Bereiche der Phasenraumrekonstruktion und des Signifikanztests als verbesserungsfähig identifiziert. Deshalb werden verschiedene Methoden zur Rekonstruktion des Phasenraums aus unregelmäßig abgetasteten, verrauschten Daten verglichen. Außerdem wird ein allgemeiner flächenweiser Signifikanztest eingeführt, der, basierend auf einem ausgewählten Nullmodell, Korrelationen in den Analyseergebnissen numerisch abschätzt, um damit das Problem hoher Raten an falsch positiv signifikanten Ergebnissen zu adressieren. Im zweiten Teil der Arbeit wird die entwickelte Methodik genutzt, um die nichtlineare Variabilität des Klimas der Vergangenheit in Nord- und Südamerika zu untersuchen, indem vier reale Zeitreihen verschiedener Proxys studiert werden. Außerdem werden Proxy-System-Modelle genutzt, um auf die Frage der Eignung von Daten verschiedener Paläoklimaarchive zur Charakterisierung der Klimavariabilität mittels gefensterter Rekurrenznetzwerkanalyse einzugehen. Mit der Arbeit wird der Einsatz nichtlinearer Methoden zur Analyse von Paläoklima-Zeitreihen vorangebracht, das Potential und die Grenzen der gefensterten Rekurrenznetzwerkanalyse aufgezeigt und zukünftige relevante Fragestellungen, die die erhaltenen Ergebnisse und Schlussfolgerungen komplementieren können, identifiziert.
Studying palaeoclimate proxy data from archives such as tree rings, lake sediments, speleothems, and ice cores using windowed recurrence network analysis offers the possibility to characterise dynamical anomalies in past climate variability. This thesis aims at developing a more reliable framework of windowed recurrence network analysis by comparing different phase space reconstruction approaches for non-uniformly sampled noisy data and by tackling the problem of increased numbers of false positive significant points when correlations within the analysis results can not be neglected. For this, different phase space reconstruction approaches are systematically compared and a generalised areawise significance test which implements a numerical estimation of the correlations within the analysis results is introduced. In particular, the test can be used to identify patches of possibly false positive significant points. The developed analysis framework is applied to detect and characterise dynamical anomalies in past climate variability in North and South America by studying four real-world palaeoclimatic time series from different archives. Furthermore, the question whether palaeoclimate proxy time series from different archives are equally well suited for tracking past climate dynamics with windowed recurrence network analysis is approached by using the framework of proxy system modelling. This thesis promotes the use of non-linear methods for analysing palaeoclimate proxy time series, provides a detailed assessment of potentials and limitations of windowed recurrence network analysis and identifies future research directions that can complement the obtained results and conclusions.

Nous vivons dans un monde hyperconnecté. À présent, la majorité des objets qui nous entourentéchangent des données soit entre-eux soit avec un serveur. Ces échanges produisent alors de l’activitéréseau. C’est l’étude de cette activité réseau qui nous intéresse ici et sur laquelle porte ce mémoire. Eneffet, tous les messages et donc le trafic réseau généré par ces équipements est voulu et par conséquentlégitime. Il est de ce fait parfaitement formaté et connu. Parallèlement à ce trafic qui peut êtrequalifié de ”normal”, il peut exister du trafic qui ne respecte pas les critères attendus. Ces échangesnon conformes aux attendus peuvent être catégorisés comme étant du trafic ”anormal”. Ce traficillégitime peut être dû à plusieurs causes tant internes qu’externes. Tout d’abord, pour des raisonsbassement mercantiles, la plus part de ces équipements connectés (téléphones, montres, serrures,caméras,. . . ) est peu, mal, voire pas protégée du tout. De ce fait, ils sont devenus les cibles privilégiéesdes cybercriminels. Une fois compromis, ces matériels communiquant constituent des réseaux capablesde lancer des attaques coordonnées : des botnets. Le trafic induit par ces attaques ou les communicationsde synchronisation internes à ces botnets génèrent alors du trafic illégitime qu’il faut pouvoir détecter.Notre première contribution a pour objectif de mettre en lumière ces échanges internes, spécifiques auxbotnets. Du trafic anormal peut également être généré lorsque surviennent des événements externesnon prévus ou extra-ordinaires tels des incidents ou des changements de comportement des utilisateurs.Ces événements peuvent impacter les caractéristiques des flux de trafic échangés comme leur volume,leurs sources, destinations ou encore les paramètres réseaux qui les caractérisent. La détection de cesvariations de l’activité réseau ou de la fluctuation de ces caractéristiques est l’objet de nos contributionssuivantes. Il s’agit d’un framework puis d’une méthodologie qui en découle permettant d’automatiserla détection de ces anomalies réseaux et éventuellement de lever des alertes en temps réel
We live in a hyperconnected world. Currently, the majority of the objects surrounding us exchangedata either among themselves or with a server. These exchanges consequently generate networkactivity. It is the study of this network activity that interests us here and forms the focus of thisthesis. Indeed, all messages and thus the network traffic generated by these devices are intentionaland therefore legitimate. Consequently, it is perfectly formatted and known. Alongside this traffic,which can be termed ”normal,” there may exist traffic that does not adhere to expected criteria. Thesenon-conforming exchanges can be categorized as ”abnormal” traffic. This illegitimate traffic can bedue to several internal and external causes. Firstly, for purely commercial reasons, most of theseconnected devices (phones, watches, locks, cameras, etc.) are poorly, inadequately, or not protectedat all. Consequently, they have become prime targets for cybercriminals. Once compromised, thesecommunicating devices form networks capable of launching coordinated attacks : botnets. The trafficinduced by these attacks or the internal synchronization communications within these botnets thengenerates illegitimate traffic that needs to be detected. Our first contribution aims to highlight theseinternal exchanges, specific to botnets. Abnormal traffic can also be generated when unforeseen orextraordinary external events occur, such as incidents or changes in user behavior. These events canimpact the characteristics of the exchanged traffic flows, such as their volume, sources, destinations,or the network parameters that characterize them. Detecting these variations in network activity orthe fluctuation of these characteristics is the focus of our subsequent contributions. This involves aframework and resulting methodology that automates the detection of these network anomalies andpotentially raises real-time alerts

Les réseaux de capteurs sans fil émergent comme une technologie innovatrice qui peut révolutionner et améliorer notre façon de vivre, de travailler et d'interagir avec l'environnement physique qui nous entoure. Néanmoins, l'utilisation d'une telle technologie soulève de nouveaux défis concernant le développement de systèmes fiables et sécurisés. Ces réseaux de capteurs sans fil sont souvent caractérisés par un déploiement dense et à grande échelle dans des environnements limités en terme de ressources. Les contraintes imposées sont la limitation des capacités de traitement, de stockage et surtout d'énergie car ils sont généralement alimentés par des piles.Nous visons comme objectif principal à travers cette thèse à proposer des solutions permettant de garantir un certain niveau de fiabilité dans un RCSF dédié aux applications sensibles. Nous avons ainsi abordé trois axes, qui sont :- Le développement de méthodes permettant de détecter les noeuds capteurs défaillants dans un RCSF,- Le développement de méthodes permettant de détecter les anomalies dans les mesures collectées par les nœuds capteurs, et par la suite, les capteurs usés (fournissant de fausses mesures).- Le développement de méthodes permettant d'assurer l'intégrité et l'authenticité des données transmise dans un RCSF
Wireless sensor networks emerge as an innovative technology that can revolutionize and improve our way to live, work and interact with the physical environment around us. Nevertheless, the use of such technology raises new challenges in the development of reliable and secure systems. These wireless sensor networks are often characterized by dense deployment on a large scale in resource-onstrained environments. The constraints imposed are the limitation of the processing, storage and especially energy capacities since they are generally powered by batteries.Our main objective is to propose solutions that guarantee a certain level of reliability in a WSN dedicated to sensitive applications. We have thus proposed three axes, which are:- The development of methods for detecting failed sensor nodes in a WSN.- The development of methods for detecting anomalies in measurements collected by sensor nodes, and subsequently fault sensors (providing false measurements).- The development of methods ensuring the integrity and authenticity of transmitted data over a WSN

La ricerca di anomalie nei processi produttivi è una tematica molto attuale, di estremo interesse e di notevole complessità. Lo scopo di questa tesi è stato quello di verificare se, attraverso l'utilizzo di strategie di deep learning, fosse possibile sviluppare una soluzione in grado di distinguere quali fossero i campioni anomali rispetto ai campioni normali esaminando nello specifico immagini ottenute dal processo di lavorazione di superfici metalliche, che presentavano texture poco marcate e variabili. Dopo aver valutato il problema ed aver analizzato le soluzioni presenti in letteratura inerenti al nostro caso d'interesse, abbiamo deciso di basare la nostra soluzione sull'utilizzo degli autoencoder, in combinazione con tecniche di visione artificiale necessarie a identificare ed evidenziare i difetti presenti nei campioni oggetto di studio. Addestrando l'autoencoder a ricostruire solo campioni normali si ottiene che, nella ricostruzione di un campione anomalo, il difetto venga eliminato in quanto non è mai stato visto dalla rete nella fase di addestramento. Uno dei vantaggi delle soluzioni basate su questo tipo di architettura è quindi dovuto al fatto che è necessario conoscere solo i campioni normali e, qualsiasi tipo di anomalia si presenti, potenzialmente anche anomalie mai viste prima, esse non vengano ricostruite dalla rete, risolvendo così il problema dato dall'impossibilità di conoscere a priori tutti i possibili difetti che si possono presentare in fase di produzione. In particolare sono state esplorate varie metodologie e architetture (Convolutional Autoencoders, Variational Autoencoders, Transfer Learning) adottando quella più idonea al tipo di dato in nostro possesso. Attraverso la soluzione sviluppata siamo riusciti ad ottenere buoni risultati sia per quanto riguarda le prestazioni inerenti a data set pubblici, utilizzati come benchmark, sia sul data set privato in nostro possesso, obiettivo primario di questa ricerca.

Cette thèse porte sur la modélisation du réseau microvasculaire de la rétine dans le but d’étudier les processus circulatoire en jeu dans la rétine saine et en présence de rétinopathies, en faisant le pont entre modélisation numérique, expérimentales, et données cliniques. Le réseau rétinien présente l'avantage unique d'être le seul réseau microvasculaire accessible de manière non invasive pour l'étude in-vivo du corps humain. Nous vivons de grandes avancées techniques dans le domaine de l'imagerie rétinienne avec un accroissement de la précision des images de la morphométrie et du flux sanguin, fournissant des informations sur la situation vasculaire dans l'œil et le reste du système microvasculaire. De plus, ces données constituent une ressource précieuse pour la modélisation, complément utile aux études cliniques de la rétine, car elle permet l’accès à des paramètres non mesurables dans l'ensemble du réseau et la simulation de perturbations ou de pathologies contrôlées. Les pathologies cardiovasculaires peuvent induire des modifications dans les réseaux microvasculaires, par altération des processus biologiques et des conditions hémodynamiques. Les observations cliniques associées montrent des anomalies de la morphométrie locale et de la topologie du réseau. Ces anomalies vasculaires peuvent entraîner d'importantes variations du flux sanguin, car une forte interaction existe entre l'hémodynamique et la morphologie à l'échelle microvasculaire ; et provoquer des variations dans l’oxygénation et les capacités fonctionnelles, car c’est la zone d'échanges essentiels entre le sang et les tissus. Ainsi, la distribution discrète des globules rouges et des nutriments, dans le réseau est cruciale dans le bon fonctionnement des organes. Cette distribution, guidée par la topologie du réseau, est le résultat de nombreux phénomènes non linéaires complexes. Mieux comprendre ce qui se passe au niveau microvasculaire serait d'un intérêt majeur pour mesurer les retentissements hémodynamiques d’une anomalie locale et plus globalement d’une pathologie, ce qui permettrait d’en améliorer le dépistage et la prise en charge. Dans cette thèse, nous proposons deux types d'approches sur le sujet : l'une est une modélisation numérique où nous nous concentrons sur la répartition du flux dans le réseau avec une approche continue du sang ; et l'autre est une modélisation expérimentale où nous nous concentrons sur la répartition des globules rouges avec une approche discrète du sang. Pour les deux modélisations, des images morphométriques cliniques servent de base pour construire le réseau, une étape cruciale lors de l'étude de tels systèmes. D’abord, nous avons développé un modèle unidimensionnel patient-spécifique de la circulation artériolaire dans la rétine. Notre modèle est basé sur les lois de conservation et utilise des données d’imagerie de flux sanguin pour imposer des conditions aux limites réalistes. Pour vérifier notre modèle, nous effectuons une analyse de sensibilité et comparons ses résultats à des données de la littérature. Dans l'ensemble, notre modèle constitue un outil pour explorer la dynamique du flux sanguin rétinien et ses éventuelles implications cliniques. Ainsi, une application pour les cas de sténoses simples et multiples est présentée dans la dernière partie. En parallèle, nous avons développé un dispositif microfluidique imitant le réseau artériel rétinien. Les expériences réalisées fournissent des données sur la résistance de la puce et le flux dans l'ensemble du réseau rempli de sang, ce qui permet une comparaison avec les résultats du modèle. De plus, il apporte des données nouvelles sur la répartition des globules rouges dans un vaste réseau, ce qui donne des pistes pour l’amélioration des lois mathématiques existantes pour la modélisation de la viscosité et de la répartition des globules rouges
This thesis focuses on modeling the microvascular network of the retina to investigate circulatory processes in both the healthy retina and in the presence of retinopathies, bridging the gap between numerical modeling, experimental approaches, and clinical data. The retinal network offers the unique advantage of being the only non-invasively accessible microvascular network for in-vivo studies in the human body. We are currently experiencing significant advancements in the field of retinal imaging, with increased precision in morphometric and blood flow imaging, providing insights into the vascular status within the eye and the broader microvascular system. Furthermore, these data serve as a valuable resource for modeling, which complements clinical studies of the retina by providing access to parameters that cannot be measured throughout the entire network and enabling the simulation of controlled disturbances or pathologies. Cardiovascular pathologies can induce modifications in microvascular networks through alterations in biological processes and hemodynamic conditions. Associated clinical observations reveal anomalies in local morphometry and network topology. These vascular anomalies can lead to significant variations in blood flow, as there is a strong interaction between hemodynamics and morphology at the microvascular scale, causing changes in oxygenation and functional capacities. The discrete distribution of red blood cells and nutrients within the network is crucial for proper organ function. This distribution, guided by the network's topology, is the result of many complex nonlinear phenomena. A better understanding of what occurs at the microvascular level would be of significant interest in measuring the hemodynamic repercussions of a local anomaly and, more broadly, a pathology, which could enhance early detection and management. In this thesis, we present two types of approaches on the subject : one is a numerical modeling approach where we focus on the distribution of flow within the network using a continuous blood approach, and the other is an experimental modeling approach where we concentrate on the distribution of red blood cells using a discrete blood approach. For both modeling approaches, clinical morphometric images serve as the foundation for constructing the network, a crucial step in the study of such systems. Initially, we developed a patient-specific one-dimensional model of arteriolar circulation in the retina. Our model is based on the principles of conservation and utilizes blood flow imaging data to impose realistic boundary conditions. To validate our model, we conducted a sensitivity analysis and compared its results to data from the literature. Overall, our model serves as a tool to explore the dynamics of retinal blood flow and its potential clinical implications. An application for cases of single and multiple stenoses is presented in the final section. In parallel, we developed a microfluidic device that replicates the retinal arterial network. The experiments conducted provide data on the chip's resistance and blood flow throughout the network filled with blood, enabling comparison with the model's results. Furthermore, it yields new data on the distribution of red blood cells in a large network, offering insights for enhancing existing mathematical laws for modeling viscosity and red blood cell distribution

Il presente documento di tesi illustra le tecniche, i modelli e le soluzioni impiegate per far fronte al problema dell’individuazione di anomalie relative alla produzione industriale di componenti elettronici tramite tecniche di Computer Vision e Deep Learning. L'individuazione delle anomalie, o anomaly detection, è un campo di studio molto vasto dove la complessità delle soluzioni da impiegare è fortemente dipendente dal contesto in cui vengono applicate. In questo caso infatti, la scarsa quantità di dati a disposizione e la ridotta dimensione delle anomalie all'interno delle immagini ne rende particolarmente complessa l’individuazione. Lo studio di possibili soluzioni è partito dai modelli basati sull'architettura GAN, Generative Adversarial Network. I risultati ottenuti con uno dei modelli più promettenti, denominato GANomaly, hanno dimostrato le ottime capacità della rete quando addestrata con la giusta parametrizzazione. Purtroppo però l’impossibilità del modello di andare ad evidenziare nell'immagine le anomalie da esso identificate, ha portato allo studio di altri tipi di architetture, i Variational Autoencoders. Gli approcci basati su autoencoders hanno eguagliato i risultati ottenuti da GANomaly, dando in più la possibilità di verificare la correttezza delle anomalie individuate. Infine, nel tentativo di sopperire alla scarsità di immagini, si sono tentati vari approcci di data augmentation per ingrandire le dimensioni del dataset e migliorare i risultati ottenuti, nonché verificare la robustezza dei modelli realizzati. Inizialmente si è optato per augmentation classica, quindi basata su trasformazioni geometriche, per poi passare ad approcci parametrizzati come DCGAN e WGAN. Tuttavia, in entrambi i casi la capacità di generare immagini sintetiche non è stata abbastanza efficace da poter essere utilizzata con successo per addestrare reti di anomaly detection.

L'objectif général de cette thèse est d'évaluer l'intérêt des graphes dans le domaine de l'analyse des données de sécurité.Nous proposons une approche de bout en bout composé d'un modèle unifié de données réseau sous forme de graphes, d'un système de découverte de communauté, d'un système de détection d'anomalies non supervisé et d'une visualisation des données sous forme de graphes. Le modèle unifié est obtenue en utilisant des graphes de connaissance pour représenter des journaux d'évènements hétérogènes ainsi que du trafic réseau. La détection de communautés permet de sélectionner des sous-graphes représentant des événements fortement liés à une alerte ou à un IoC et qui sont donc pertinents pour l'analyse forensique. Notre système de détection d'intrusion basé sur les anomalies repose sur la détection de nouveauté par un autoencodeur et donne de très bons résultats sur les jeux de données CICIDS 2017 et 2018. Enfin, la visualisation immersive des données de sécurité permet de mettre en évidence les relations entre les éléments de sécurité et les événements malveillants ou les IoCs. Cela donne à l'analyste de sécurité un bon point de départ pour explorer les données et reconstruire des scénarii d'attaques globales
The general objective of this thesis is to evaluate the interest of graph structures in the field of security data analysis.We propose an end-to-end approach consisting in a unified view of the network data in the form of graphs, a community discovery system, an unsupervised anomaly detection system, and a visualization of the data in the form of graphs. The unified view is obtained using knowledge graphs to represent heterogeneous log files and network traffics. Community detection allows us to select sub-graphs representing events that are strongly related to an alert or an IoC and that are thus relevant for forensic analysis. Our anomaly-based intrusion detection system relies on novelty detection by an autoencoder and exhibits very good results on CICIDS 2017 and 2018 datasets. Finally, an immersive visualization of security data allows highlighting the relations between security elements and malicious events or IOCs. This gives the security analyst a good starting point to explore the data and reconstruct global attack scenarii

Aquesta tesi proposa una plataforma de detecció d’intrusions per a revelar atacs a les xarxes de sensors sense fils (WSN, per les sigles en anglès) de les ciutats intel·ligents (smart cities). La plataforma està dissenyada tenint en compte les necessitats dels administradors de la ciutat intel·ligent, els quals necessiten accés a una arquitectura centralitzada que pugui gestionar alarmes de seguretat en un sistema altament heterogeni i distribuït. En aquesta tesi s’identifiquen els diversos passos necessaris des de la recollida de dades fins a l’execució de les tècniques de detecció d’intrusions i s’avalua que el procés sigui escalable i capaç de gestionar dades típiques de ciutats intel·ligents. A més, es comparen diversos algorismes de detecció d’anomalies i s’observa que els mètodes de vectors de suport d’una mateixa classe (one-class support vector machines) resulten la tècnica multivariant més adequada per a descobrir atacs tenint en compte les necessitats d’aquest context. Finalment, es proposa un esquema per a ajudar els administradors a identificar els tipus d’atacs rebuts a partir de les alarmes disparades.
Esta tesis propone una plataforma de detección de intrusiones para revelar ataques en las redes de sensores inalámbricas (WSN, por las siglas en inglés) de las ciudades inteligentes (smart cities). La plataforma está diseñada teniendo en cuenta la necesidad de los administradores de la ciudad inteligente, los cuales necesitan acceso a una arquitectura centralizada que pueda gestionar alarmas de seguridad en un sistema altamente heterogéneo y distribuido. En esta tesis se identifican los varios pasos necesarios desde la recolección de datos hasta la ejecución de las técnicas de detección de intrusiones y se evalúa que el proceso sea escalable y capaz de gestionar datos típicos de ciudades inteligentes. Además, se comparan varios algoritmos de detección de anomalías y se observa que las máquinas de vectores de soporte de una misma clase (one-class support vector machines) resultan la técnica multivariante más adecuada para descubrir ataques teniendo en cuenta las necesidades de este contexto. Finalmente, se propone un esquema para ayudar a los administradores a identificar los tipos de ataques recibidos a partir de las alarmas disparadas.
This thesis proposes an intrusion detection platform which reveals attacks in smart city wireless sensor networks (WSN). The platform is designed taking into account the needs of smart city administrators, who need access to a centralized architecture that can manage security alarms in a highly heterogeneous and distributed system. In this thesis, we identify the various necessary steps from gathering WSN data to running the detection techniques and we evaluate whether the procedure is scalable and capable of handling typical smart city data. Moreover, we compare several anomaly detection algorithms and we observe that one-class support vector machines constitute the most suitable multivariate technique to reveal attacks, taking into account the requirements in this context. Finally, we propose a classification schema to assist administrators in identifying the types of attacks compromising their networks.

Ces dernières années, le piratage est devenu une industrie à part entière, augmentant le nombre et la diversité des cyberattaques. Les menaces qui pèsent sur les réseaux informatiques vont des logiciels malveillants aux attaques par déni de service, en passant par le phishing et l'ingénierie sociale. Un plan de cybersécurité efficace ne peut plus reposer uniquement sur des antivirus et des pare-feux pour contrer ces menaces : il doit inclure plusieurs niveaux de défense. Les systèmes de détection d'intrusion (IDS) réseaux sont un moyen complémentaire de renforcer la sécurité, avec la possibilité de surveiller les paquets de la couche 2 (liaison) à la couche 7 (application) du modèle OSI. Les techniques de détection d'intrusion sont traditionnellement divisées en deux catégories : la détection par signatures et la détection par anomalies. La plupart des IDS utilisés aujourd'hui reposent sur la détection par signatures ; ils ne peuvent cependant détecter que des attaques connues. Les IDS utilisant la détection par anomalies sont capables de détecter des attaques inconnues, mais sont malheureusement moins précis, ce qui génère un grand nombre de fausses alertes. Dans ce contexte, la création d'IDS précis par anomalies est d'un intérêt majeur pour pouvoir identifier des attaques encore inconnues.Dans cette thèse, les modèles d'apprentissage automatique sont étudiés pour créer des IDS qui peuvent être déployés dans de véritables réseaux informatiques. Tout d'abord, une méthode d'optimisation en trois étapes est proposée pour améliorer la qualité de la détection : 1/ augmentation des données pour rééquilibrer les jeux de données, 2/ optimisation des paramètres pour améliorer les performances du modèle et 3/ apprentissage ensembliste pour combiner les résultats des meilleurs modèles. Les flux détectés comme des attaques peuvent être analysés pour générer des signatures afin d'alimenter les bases de données d'IDS basées par signatures. Toutefois, cette méthode présente l'inconvénient d'exiger des jeux de données étiquetés, qui sont rarement disponibles dans des situations réelles. L'apprentissage par transfert est donc étudié afin d'entraîner des modèles d'apprentissage automatique sur de grands ensembles de données étiquetés, puis de les affiner sur le trafic normal du réseau à surveiller. Cette méthode présente également des défauts puisque les modèles apprennent à partir d'attaques déjà connues, et n'effectuent donc pas réellement de détection d'anomalies. C'est pourquoi une nouvelle solution basée sur l'apprentissage non supervisé est proposée. Elle utilise l'analyse de l'en-tête des protocoles réseau pour modéliser le comportement normal du trafic. Les anomalies détectées sont ensuite regroupées en attaques ou ignorées lorsqu'elles sont isolées. Enfin, la détection la congestion réseau est étudiée. Le taux d'utilisation de la bande passante entre les différents liens est prédit afin de corriger les problèmes avant qu'ils ne se produisent
In recent years, hacking has become an industry unto itself, increasing the number and diversity of cyber attacks. Threats on computer networks range from malware to denial of service attacks, phishing and social engineering. An effective cyber security plan can no longer rely solely on antiviruses and firewalls to counter these threats: it must include several layers of defence. Network-based Intrusion Detection Systems (IDSs) are a complementary means of enhancing security, with the ability to monitor packets from OSI layer 2 (Data link) to layer 7 (Application). Intrusion detection techniques are traditionally divided into two categories: signatured-based (or misuse) detection and anomaly detection. Most IDSs in use today rely on signature-based detection; however, they can only detect known attacks. IDSs using anomaly detection are able to detect unknown attacks, but are unfortunately less accurate, which generates a large number of false alarms. In this context, the creation of precise anomaly-based IDS is of great value in order to be able to identify attacks that are still unknown.In this thesis, machine learning models are studied to create IDSs that can be deployed in real computer networks. Firstly, a three-step optimization method is proposed to improve the quality of detection: 1/ data augmentation to rebalance the dataset, 2/ parameters optimization to improve the model performance and 3/ ensemble learning to combine the results of the best models. Flows detected as attacks can be analyzed to generate signatures to feed signature-based IDS databases. However, this method has the disadvantage of requiring labelled datasets, which are rarely available in real-life situations. Transfer learning is therefore studied in order to train machine learning models on large labeled datasets, then finetune them on benign traffic of the network to be monitored. This method also has flaws since the models learn from already known attacks, and therefore do not actually perform anomaly detection. Thus, a new solution based on unsupervised learning is proposed. It uses network protocol header analysis to model normal traffic behavior. Anomalies detected are then aggregated into attacks or ignored when isolated. Finally, the detection of network congestion is studied. The bandwidth utilization between different links is predicted in order to correct issues before they occur

Anomaly detection on time series forecasts can be used by many industries in especially forewarning systems that can predict anomalies before they happen. Infor (Sweden) AB is software company that provides Enterprise Resource Planning cloud solutions. Infor is interested in predicting anomalies in their data and that is the motivation for this thesis work. The general idea is firstly to forecast the time series and then secondly detect and classify anomalies on the forecast. The first part is time series forecasting and the second part is anomaly detection and classification done on the forecasted values. In this thesis work, the time series forecasting to predict anomalous behaviour is done using two strategies namely the recursive strategy and the direct strategy. The recursive strategy includes two methods; AutoRegressive Integrated Moving Average and Neural Network AutoRegression. The direct strategy is done with ForecastML-eXtreme Gradient Boosting. Then the three methods are compared concerning performance of forecasting. The anomaly detection and classification is done by setting a decision rule based on a threshold. In this thesis work, since the true anomaly thresholds were not previously known, an arbitrary initial anomaly threshold is set by using a combination of statistical methods for outlier detection and then human judgement by the company commissioners. These statistical methods include Seasonal and Trend decomposition using Loess + InterQuartile Range, Twitter + InterQuartile Range and Twitter + GESD (Generalized Extreme Studentized Deviate). After defining what an anomaly threshold is in the usage context of Infor (Sweden) AB, then a decision rule is set and used to classify anomalies in time series forecasts. The results from comparing the classifications of the forecasts from the three time series forecasting methods are unfortunate and no recommendation is made concerning what model or algorithm to be used by Infor (Sweden) AB. However, the thesis work concludes by recommending other methods that can be tried in future research.

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)
A detecção de anomalias em vídeos de vigilância é um tema de pesquisa recorrente em visão computacional. Os métodos de aprendizagem profunda têm alcançado o estado da arte para o reconhecimento de padrões em imagens e o Autocodificador Convolucional (ACC) é uma das abordagens mais utilizadas por sua capacidade em capturar as estruturas 2D dos objetos. Neste trabalho, a detecção de anomalias se refere ao problema de encontrar padrões em vídeos que não pertencem a um conceito normal esperado. Com o objetivo de classificar anomalias adequadamente, foram verificadas formas de aprender representações relevantes para essa tarefa. Por esse motivo, estudos tanto da capacidade do modelo em aprender características automaticamente quanto do efeito da fusão de características extraídas manualmente foram realizados. Para problemas de detecção de anomalias do mundo real, a representação da classe normal é uma questão importante, sendo que um ou mais agrupamentos podem descrever diferentes aspectos de normalidade. Para fins de classificação, esses agrupamentos devem ser tão compactos (densos) quanto possível. Esta tese propõe o uso do ACC como uma abordagem orientada a dados aplicada ao contexto de detecção de anomalias em vídeos. Foram propostos métodos para o aprendizado de características espaço-temporais, bem como foi introduzida uma abordagem híbrida chamada Autocodificador Convolucional com Incorporação Compacta (ACC-IC), cujo objetivo é melhorar a compactação dos agrupamentos normais. Além disso, foi proposto um novo critério de parada baseado na sensibilidade e sua adequação para problemas de detecção de anomalias foi verificada. Todos os métodos propostos foram avaliados em conjuntos de dados disponíveis publicamente e comparados com abordagens estado da arte. Além do mais, foram introduzidos dois novos conjuntos de dados projetados para detecção de anomalias em vídeos de vigilância em rodovias. O ACC se mostrou promissor na detecção de anomalias em vídeos. Resultados sugerem que o ACC pode aprender características espaço-temporais automaticamente e a agregação de características extraídas manualmente parece ser valiosa para alguns conjuntos de dados. A compactação introduzida pelo ACC-IC melhorou o desempenho de classificação para a maioria dos casos e o critério de parada baseado na sensibilidade é uma nova abordagem que parece ser uma alternativa interessante. Os vídeos foram analisados qualitativamente de maneira visual, indicando que as características aprendidas com os dois métodos (ACC e ACC-IC) estão intimamente correlacionadas com os eventos anormais que ocorrem em seus quadros. De fato, ainda há muito a ser feito para uma definição mais geral e formal de normalidade, de modo que se possa ajudar pesquisadores a desenvolver métodos computacionais eficientes para a interpretação dos vídeos.
The anomaly detection in automated video surveillance is a recurrent topic in recent computer vision research. Deep Learning (DL) methods have achieved the state-of-the-art performance for pattern recognition in images and the Convolutional Autoencoder (CAE) is one of the most frequently used approach, which is capable of capturing the 2D structure of objects. In this work, anomaly detection refers to the problem of finding patterns in images and videos that do not belong to the expected normal concept. Aiming at classifying anomalies adequately, methods for learning relevant representations were verified. For this reason, both the capability of the model for learning automatically features and the effect of fusing hand-crafted features together with raw data were studied. Indeed, for real-world problems, the representation of the normal class is an important issue for detecting anomalies, in which one or more clusters can describe different aspects of normality. For classification purposes, these clusters must be as compact (dense) as possible. This thesis proposes the use of CAE as a data-driven approach in the context of anomaly detection problems. Methods for feature learning using as input both hand-crafted features and raw data were proposed, and how they affect the classification performance was investigated. This work also introduces a hybrid approach using DL and one-class support vector machine methods, named Convolutional Autoencoder with Compact Embedding (CAE-CE), for enhancing the compactness of normal clusters. Besides, a novel sensitivity-based stop criterion was proposed, and its suitability for anomaly detection problems was assessed. The proposed methods were evaluated using publicly available datasets and compared with the state-of-the-art approaches. Two novel benchmarks, designed for video anomaly detection in highways were introduced. CAE was shown to be promising as a data-driven approach for detecting anomalies in videos. Results suggest that the CAE can learn spatio-temporal features automatically, and the aggregation of hand-crafted features seems to be valuable for some datasets. Also, overall results suggest that the enhanced compactness introduced by the CAE-CE improved the classification performance for most cases, and the stop criterion based on the sensitivity is a novel approach that seems to be an interesting alternative. Videos were qualitatively analyzed at the visual level, indicating that features learned using both methods (CAE and CAE-CE) are closely correlated to the anomalous events occurring in the frames. In fact, there is much yet to be done towards a more general and formal definition of normality/abnormality, so as to support researchers to devise efficient computational methods to mimetize the semantic interpretation of visual scenes by humans.

During the lifetime of a satellite malfunctions may occur. Unexpected behaviour are monitored using sensors all over the satellite. The telemetry values are then sent to Earth and analysed seeking for anomalies. These anomalies could be detected by humans, but this is considerably expensive. To lower the costs, machine learning techniques can be applied. In this research many diferent machine learning techniques are tested and compared using satellite telemetry data provided by OHB System AG. The fact that the anomalies are collective, together with some data properties, is exploited to improve the performances of the machine learning algorithms. Since the data comes from a real spacecraft, it presents some defects. The data covers in fact a small time-lapse and does not present critical anomalies due to the spacecraft healthiness. Some steps are then taken to improve the evaluation of the algorithms.

Submitted by VINÍCIUS OLIVEIRA FERREIRA null (viniciusoliveira@acmesecurity.org) on 2016-05-18T20:29:41Z No. of bitstreams: 1 Dissertação-mestrado-vinicius-oliveira-biblioteca-final.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5)
Approved for entry into archive by Ana Paula Grisoto (grisotoana@reitoria.unesp.br) on 2016-05-20T16:27:30Z (GMT) No. of bitstreams: 1 ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5)
Made available in DSpace on 2016-05-20T16:27:30Z (GMT). No. of bitstreams: 1 ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) Previous issue date: 2016-04-27
Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES)
Os Sistemas de Detecção de Intrusão baseados em rede (NIDS) são tradicionalmente divididos em dois tipos de acordo com os métodos de detecção que empregam, a saber: (i) detecção por abuso e (ii) detecção por anomalia. Aqueles que funcionam a partir da detecção de anomalias têm como principal vantagem a capacidade de detectar novos ataques, no entanto, é possível elencar algumas dificuldades com o uso desta metodologia. Na detecção por anomalia, a análise das anomalias detectadas pode se tornar dispendiosa, uma vez que estas geralmente não apresentam informações claras sobre os eventos maliciosos que representam; ainda, NIDSs que se utilizam desta metodologia sofrem com a detecção de altas taxas de falsos positivos. Neste contexto, este trabalho apresenta um modelo para a classificação automatizada das anomalias detectadas por um NIDS. O principal objetivo é a classificação das anomalias detectadas em classes conhecidas de ataques. Com essa classificação pretende-se, além da clara identificação das anomalias, a identificação dos falsos positivos detectados erroneamente pelos NIDSs. Portanto, ao abordar os principais problemas envolvendo a detecção por anomalias, espera-se equipar os analistas de segurança com melhores recursos para suas análises.
Network Intrusion Detection Systems (NIDS) are traditionally divided into two types according to the detection methods they employ, namely (i) misuse detection and (ii) anomaly detection. The main advantage in anomaly detection is its ability to detect new attacks. However, this methodology has some downsides. In anomaly detection, the analysis of the detected anomalies is expensive, since they often have no clear information about the malicious events they represent; also, it suffers with high amounts of false positives detected. In this context, this work presents a model for automated classification of anomalies detected by an anomaly based NIDS. Our main goal is the classification of the detected anomalies in well-known classes of attacks. By these means, we intend the clear identification of anomalies as well as the identification of false positives erroneously detected by NIDSs. Therefore, by addressing the key issues surrounding anomaly based detection, our main goal is to equip security analysts with best resources for their analyses.

This work presents an investigation of tailoring Network Representation Learning (NRL) for an application in the Financial Industry. NRL approaches are data-driven models that learn how to encode graph structures into low-dimensional vector spaces, which can be further exploited by downstream Machine Learning applications. They can potentially bring a lot of benefits in the Financial Industry since they extract in an automatic way features that can provide useful input regarding graph structures, called embeddings. Financial transactions can be represented as a network, and through NRL, it is possible to extract embeddings that reflect the intrinsic inter-connected nature of economic relationships. Such embeddings can be used for several purposes, among which Anomaly Detection to fight financial crime.This work provides a qualitative analysis over state-of-the-art NRL models, which identifies Graph Convolutional Network (ConvGNN) as the most suitable category of approaches for Financial Industry but with a certain need for further improvement. Financial Industry poses additional challenges when modelling a NRL solution. Despite the need of having a scalable solution to handle real-world graph with considerable dimensions, it is necessary to take into consideration several characteristics: transactions graphs are inherently dynamic since every day new transactions are executed and nodes can be heterogeneous. Besides, everything is further complicated by the need to have updated information in (near) real-time due to the sensitivity of the application domain. For these reasons, GraphSAGE has been considered as a base for the experiments, which is an inductive ConvGNN model. Two variants of GraphSAGE are presented: a dynamic variant whose weights evolve accordingly with the input sequence of graph snapshots, and a variant specifically meant to handle bipartite graphs. These variants have been evaluated by applying them to real-world data and leveraging the generated embeddings to perform Anomaly Detection. The experiments demonstrate that leveraging these variants leads toimagecomparable results with other state-of-the-art approaches, but having the advantage of being suitable to handle real-world financial data sets.
Detta arbete presenterar en undersökning av tillämpningar av Network Representation Learning (NRL) inom den finansiella industrin. Metoder inom NRL möjliggör datadriven kondensering av grafstrukturer till lågdimensionella och lätthanterliga vektorer.Dessa vektorer kan sedan användas i andra maskininlärningsuppgifter. Närmare bestämt, kan metoder inom NRL underlätta hantering av och informantionsutvinning ur beräkningsintensiva och storskaliga grafer inom den finansiella sektorn, till exempel avvikelsehantering bland finansiella transaktioner. Arbetet med data av denna typ försvåras av det faktum att transaktionsgrafer är dynamiska och i konstant förändring. Utöver detta kan noderna, dvs transaktionspunkterna, vara vitt skilda eller med andra ord härstamma från olika fördelningar.I detta arbete har Graph Convolutional Network (ConvGNN) ansetts till den mest lämpliga lösningen för nämnda tillämpningar riktade mot upptäckt av avvikelser i transaktioner. GraphSAGE har använts som utgångspunkt för experimenten i två olika varianter: en dynamisk version där vikterna uppdateras allteftersom nya transaktionssekvenser matas in, och en variant avsedd särskilt för bipartita (tvådelade) grafer. Dessa varianter har utvärderats genom användning av faktiska datamängder med avvikelsehantering som slutmål.

Orientador: Carlos Roberto Minussi
Banca: Anna Diva Plasencia Lotufo
Banca: Mara Lúcia Martins Lopes
Banca: Arlan Luiz Bettiol
Banca: Edmárcio Antonio Belati
Resumo: Muitos esforços têm sido despendidos para tentar sanar problemas relacionados com Qualidade da Energia Elétrica (QEE), principalmente na automação de processos e desenvolvimento de equipamentos de monitorização que possibilitem maior desempenho e confiabilidade a todo o Sistema Elétrico. Esta pesquisa apresenta um sistema eficiente de identificador/classificador automático de distúrbios chamado de Rede Neuro-Fuzzy-Wavelet. A estrutura básica dessa rede é composta por três módulos: o módulo de detecção de anomalias onde os sinais com distúrbios são identificados, o módulo de extração de características onde as formas de onda com distúrbio são analisadas, e o módulo de classificação que conta com uma rede neural ARTMAP Fuzzy, a qual indica qual o tipo de distúrbio sofrido pelo sinal. Os tipos de distúrbios incluem os isolados de curto prazo, tais como: afundamento de tensão (sag), elevação de tensão (swell), os distúrbios de longo prazo como distorção harmônica, bem como distúrbios múltiplos simultâneos como afundamento de tensão com distorção harmônica e elevação de tensão com distorção harmônica. A concepção do sistema de inferência (neural wavelet ARTMAP fuzzy) permite realizar a classificação dos referidos distúrbios de forma robusta e com grande rapidez na obtenção das soluções. Testes apontam para o alto desempenho dessa rede na detecção e classificação correta dos tipos de distúrbios de tensão analisados, 100% de acerto. A forma robusta e grande rapidez na obtenção dos resultados, possibilita sua aplicação em tempo real, visto que o esforço computacional, muito pequeno, é alocado, basicamente, na fase de treinamento. Somente uma pequena parcela de tempo computacional é necessária para a efetivação das análises. Além do mais, a metodologia proposta pode ser estendida para a realização de tarefas mais complexas... (Resumo completo, clicar acesso eletrônico abaixo)
Abstract: Many efforts have been spent to solve problems related to Power Quality (PQ), principally in process automation and developing monitoring equipments that can provide more reliability and behavior for the electrical system. This research presents an efficient automatic system to identify/classify disturbs by Fuzzy Wavelet Neural Network. The basic structure of this neural network is composed of three modules such as: module for detecting anomalies where the signals with disturbs are identified, module for extracting the characteristics where the wave forms with disturbs are analyzed, and the module of classification that contains a fuzzy ARTMAP neural network that shows the type of disturbs existing in the signal. The types of disturbs include the short term isolated ones which are: voltage dip (sag), voltage increasing (swell); the long term disturbs such as harmonic distortion as well as the multiple simultaneous ones like the voltage dip with harmonic distortion and voltage increasing with harmonic distortion. The inference system (neural wavelet ARTMAP fuzzy) allows executing the classification of the cited disturbs very fast and obtaining reliable results. This neural network provides high performance when classifying and detecting the voltage disturbs very fast with about 100% of accuracy. The speed in obtaining the results allows an application in real time due to a low computational effort, which is basically in the training phase of the neural network. A little time of the computational effort is spent for the analysis. Moreover the proposed methodology can be used for realizing more complex tasks, as for example the localization of the power sources of the voltage disturbs. It is a very important contribution in the power quality, mainly to be a needy activity for solutions on the specialized literature
Doutor

La visió per computador ha experimentat canvis considerables en l’última dècada, ja que les xarxes neuronals han passat a ser d’ús comú. A mesura que les capacitats computacionals disponibles han crescut, les xarxes neuronals han aconseguit avenços en moltes tasques de visió per computador i fins i tot han superat el rendiment humà en altres. Un camp de recerca que ha experimentat un notable augment de l’interès és la dels sistemes d’aprenentatge continuat. Aquests sistemes haurien de ser capaços de realitzar tasques de manera eficient, identificar-ne i aprendre’n de noves, a més de ser capaços de desplegar versions més compactes d’ells mateixos que siguin experts en tasques específiques. En aquesta tesi, contribuïm a la investigació sobre l’aprenentatge continuat i abordem la compressió i adaptació de xarxes a dominis més petits, l’aprenentatge incremental de xarxes enfrontades a diverses tasques i, finalment, la detecció d’anomalies i novetats en temps d’inferència. Explorem com es pot transferir el coneixement des de grans models pre-entrenats a xarxes amb tasques més específiques, capaces d’executar-se en dispositius més limitats extraient la informació més rellevant. L’ús d’un model pre-entrenat proporciona representacions més robustes i una inicialització més estable quan s’aprèn una tasca més específica, cosa que comporta un rendiment més alt i es coneix com a adaptació de domini. Tanmateix, aquests models són massa grans per a determinades aplicacions que cal desplegar en dispositius amb poca memòria i poca capacitat de càlcul. En aquesta tesi demostrem que, després de realitzar l’adaptació de domini, algunes activacions apreses amb prou feines contribueixen a les prediccions del model. Per tant, proposem aplicar la compressió de xarxa basada en la descomposició de matrius de baix rang mitjançant les estadístiques de les activacions. Això es tradueix en una reducció significativa de la mida del model i del cost computacional. Igual que la intel·ligència humana, el machine learning pretén tenir la capacitat d’aprendre i recordar el coneixement. Tot i això, quan una xarxa neuronal ja entrenada aprèn una nova tasca, s’acaba oblidant de les anteriors. Això es coneix com a oblit catastròfic i s’estudia la seva prevenció en l’aprenentatge continu. El treball presentat en aquesta tesi estudia àmpliament les tècniques d’aprenentatge continu com una aproximació per evitar oblits catastròfics en escenaris d’aprenentatge seqüencial. La nostra tècnica es basa en l’ús de màscares ternàries per tal d’actualitzar una xarxa a tasques noves, reutilitzant el coneixement d’altres anteriors sense oblidar res d’elles. A diferència dels treballs anteriors, les nostres màscares s’apliquen a les activacions de cada capa en lloc dels pesos. Això redueix considerablement el nombre de paràmetres que s’afegiran per a cada nova tasca. A més, analitzem l’estat de l’art en aprenentatge incremental sense accés a l’identificador de tasca. Això proporciona informació sobre les direccions de recerca actuals que se centren a evitar l’oblit catastròfic mitjançant la regularització, l’assaig de tasques anteriors des d’una petita memòria externa o compensant el biaix de la tasca més recent. Les xarxes neuronals entrenades amb una funció de cost basada en entropia creuada obliguen les sortides del model a tendir cap a un vector codificat de sortida única. Això fa que els models tinguin massa confiança quan intenten predir imatges o classes que no estaven presents a la distribució original. La capacitat d’un sistema per ser conscient dels límits de les tasques apreses i identificar anomalies o classes que encara no s’han après és clau per a l’aprenentatge continu i els sistemes autònoms. En aquesta tesi, presentem un enfocament d’aprenentatge mètric per a la detecció d’anomalies que aprèn la tasca en un espai mètric.
La visión por computador ha experimentado cambios considerables en la última década a medida que las redes neuronales se han vuelto de uso común. Debido a que las capacidades computacionales disponibles han ido aumentando, las redes neuronales han logrado avances en muchas tareas de visión por computador e incluso han superado el rendimiento humano en otras. Una dirección de investigación que ha experimentado un aumento notable en interés son los sistemas de aprendizaje continuado. Estos sistemas deben ser capaces de realizar tareas de manera eficiente, identificar y aprender otras nuevas y, además, deben poder implementar versiones más compactas de sí mismos que sean expertos en tareas específicas. En esta tesis, contribuimos a la investigación sobre el aprendizaje continuado y abordamos la compresión y adaptación de redes a pequeños dominios, el aprendizaje incremental de redes ante una variedad de tareas y, finalmente, la detección de anomalías y novedades durante la inferencia. Exploramos cómo se puede transferir el conocimiento de grandes modelos pre-entrenados a redes con tareas más específicas capaces de ejecutarse en dispositivos más pequeños. El uso de un modelo pre-entrenado proporciona representaciones más robustas y una inicialización más estable al aprender una tarea más pequeña, lo que conduce a un mayor rendimiento y se conoce como adaptación de dominio. Sin embargo, esos modelos son demasiado grandes para ciertas aplicaciones que deben implementarse en dispositivos con memoria y capacidad computacional limitadas. En esta tesis mostramos que, después de realizar la adaptación de dominio, algunas activaciones aprendidas apenas contribuyen a las predicciones del modelo. Por lo tanto, proponemos aplicar compresión de redes basada en la descomposición matricial de bajo rango utilizando las estadísticas de las activaciones. Esto da como resultado una reducción significativa del tamaño del modelo y del coste computacional. Al igual que la inteligencia humana, el machine learning tiene como objetivo tener la capacidad de aprender y recordar conocimientos. Sin embargo, cuando una red neuronal ya entrenada aprende una nueva tarea, termina olvidando las anteriores. Esto se conoce como olvido catastrófico y su prevención se estudia en el aprendizaje continuo. El trabajo presentado en esta tesis analiza ampliamente las técnicas de aprendizaje continuo y presenta un enfoque para evitar el olvido catastrófico en escenarios de aprendizaje secuencial de tareas. Nuestra técnica se basa en utilizar máscaras ternarias cuando la red tiene que aprender nuevas tareas, reutilizando los conocimientos de las anteriores sin olvidar nada de ellas. A diferencia otros trabajos, nuestras máscaras se aplican a las activaciones de cada capa en lugar de a los pesos. Esto reduce considerablemente el número de parámetros que se agregarán para cada nueva tarea. Además, el análisis de una amplia gama de trabajos sobre aprendizaje incremental sin acceso a la identificación de la tarea, proporciona información sobre los enfoques actuales del estado del arte que se centran en evitar el olvido catastrófico mediante el uso de la regularización, el ensayo de tareas anteriores con memorias externas, o compensando el sesgo hacia la tarea más reciente. Las redes neuronales entrenadas con una función de coste basada en entropía cruzada obligan a las salidas del modelo a tender hacia un vector de salida única. Esto hace que los modelos tengan demasiada confianza cuando se les presentan imágenes o clases que no estaban presentes en la distribución del entrenamiento. La capacidad de un sistema para conocer los límites de las tareas aprendidas e identificar anomalías o clases que aún no se han aprendido es clave para el aprendizaje continuado y los sistemas autónomos. En esta tesis, presentamos un enfoque de aprendizaje con métricas para la detección de anomalías que aprende la tarea en un espacio métrico.
Computer vision has gone through considerable changes in the last decade as neural networks have come into common use. As available computational capabilities have grown, neural networks have achieved breakthroughs in many computer vision tasks, and have even surpassed human performance in others. With accuracy being so high, focus has shifted to other issues and challenges. One research direction that saw a notable increase in interest is on lifelong learning systems. Such systems should be capable of efficiently performing tasks, identifying and learning new ones, and should moreover be able to deploy smaller versions of themselves which are experts on specific tasks. In this thesis, we contribute to research on lifelong learning and address the compression and adaptation of networks to small target domains, the incremental learning of networks faced with a variety of tasks, and finally the detection of out-of-distribution samples at inference time. We explore how knowledge can be transferred from large pretrained models to more task-specific networks capable of running on smaller devices by extracting the most relevant information based on activation statistics. Using a pretrained model provides more robust representations and a more stable initialization when learning a smaller task, which leads to higher performance and is known as domain adaptation. However, those models are too large for certain applications that need to be deployed on devices with limited memory and computational capacity. In this thesis we show that, after performing domain adaptation, some learned activations barely contribute to the predictions of the model. Therefore, we propose to apply network compression based on low-rank matrix decomposition using the activation statistics. This results in a significant reduction of the model size and the computational cost. Like human intelligence, machine intelligence aims to have the ability to learn and remember knowledge. However, when a trained neural network is presented with learning a new task, it ends up forgetting previous ones. This is known as catastrophic forgetting and its avoidance is studied in continual learning. The work presented in this thesis extensively surveys continual learning techniques (both when knowing the task-ID at test time or not) and presents an approach to avoid catastrophic forgetting in sequential task learning scenarios. Our technique is based on using ternary masks in order to update a network to new tasks, reusing the knowledge of previous ones while not forgetting anything about them. In contrast to earlier work, our masks are applied to the activations of each layer instead of the weights. This considerably reduces the number of mask parameters to be added for each new task; with more than three orders of magnitude for most networks. Furthermore, the analysis on a wide range of work on incremental learning without access to the task-ID, provides insight on current state-of-the-art approaches that focus on avoiding catastrophic forgetting by using regularization, rehearsal of previous tasks from a small memory, or compensating the task-recency bias. We also consider the problem of out-of-distribution detection. Neural networks trained with a cross-entropy loss force the outputs of the model to tend toward a one-hot encoded vector. This leads to models being too overly confident when presented with images or classes that were not present in the training distribution. The capacity of a system to be aware of the boundaries of the learned tasks and identify anomalies or classes which have not been learned yet is key to lifelong learning and autonomous systems. In this thesis, we present a metric learning approach to out-of-distribution detection that learns the task at hand on an embedding space.

Made available in DSpace on 2014-06-11T19:30:50Z (GMT). No. of bitstreams: 0 Previous issue date: 2010-04-26Bitstream added on 2014-06-13T19:40:17Z : No. of bitstreams: 1 malange_fcv_dr_ilha.pdf: 2238559 bytes, checksum: 4603e9cf1612e9f68b0c3cf1e7a80e43 (MD5)
Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq)
Muitos esforços têm sido despendidos para tentar sanar problemas relacionados com Qualidade da Energia Elétrica (QEE), principalmente na automação de processos e desenvolvimento de equipamentos de monitorização que possibilitem maior desempenho e confiabilidade a todo o Sistema Elétrico. Esta pesquisa apresenta um sistema eficiente de identificador/classificador automático de distúrbios chamado de Rede Neuro-Fuzzy-Wavelet. A estrutura básica dessa rede é composta por três módulos: o módulo de detecção de anomalias onde os sinais com distúrbios são identificados, o módulo de extração de características onde as formas de onda com distúrbio são analisadas, e o módulo de classificação que conta com uma rede neural ARTMAP Fuzzy, a qual indica qual o tipo de distúrbio sofrido pelo sinal. Os tipos de distúrbios incluem os isolados de curto prazo, tais como: afundamento de tensão (sag), elevação de tensão (swell), os distúrbios de longo prazo como distorção harmônica, bem como distúrbios múltiplos simultâneos como afundamento de tensão com distorção harmônica e elevação de tensão com distorção harmônica. A concepção do sistema de inferência (neural wavelet ARTMAP fuzzy) permite realizar a classificação dos referidos distúrbios de forma robusta e com grande rapidez na obtenção das soluções. Testes apontam para o alto desempenho dessa rede na detecção e classificação correta dos tipos de distúrbios de tensão analisados, 100% de acerto. A forma robusta e grande rapidez na obtenção dos resultados, possibilita sua aplicação em tempo real, visto que o esforço computacional, muito pequeno, é alocado, basicamente, na fase de treinamento. Somente uma pequena parcela de tempo computacional é necessária para a efetivação das análises. Além do mais, a metodologia proposta pode ser estendida para a realização de tarefas mais complexas...
Many efforts have been spent to solve problems related to Power Quality (PQ), principally in process automation and developing monitoring equipments that can provide more reliability and behavior for the electrical system. This research presents an efficient automatic system to identify/classify disturbs by Fuzzy Wavelet Neural Network. The basic structure of this neural network is composed of three modules such as: module for detecting anomalies where the signals with disturbs are identified, module for extracting the characteristics where the wave forms with disturbs are analyzed, and the module of classification that contains a fuzzy ARTMAP neural network that shows the type of disturbs existing in the signal. The types of disturbs include the short term isolated ones which are: voltage dip (sag), voltage increasing (swell); the long term disturbs such as harmonic distortion as well as the multiple simultaneous ones like the voltage dip with harmonic distortion and voltage increasing with harmonic distortion. The inference system (neural wavelet ARTMAP fuzzy) allows executing the classification of the cited disturbs very fast and obtaining reliable results. This neural network provides high performance when classifying and detecting the voltage disturbs very fast with about 100% of accuracy. The speed in obtaining the results allows an application in real time due to a low computational effort, which is basically in the training phase of the neural network. A little time of the computational effort is spent for the analysis. Moreover the proposed methodology can be used for realizing more complex tasks, as for example the localization of the power sources of the voltage disturbs. It is a very important contribution in the power quality, mainly to be a needy activity for solutions on the specialized literature

This work addresses the following research question: Can we detect videogame glitches using Convolutional Neural Networks? Focusing on the most common types of glitches, texture glitches (Stretched, Lower Resolution, Missing, and Placeholder). We first systematically generate a dataset with both images with texture glitches and normal samples.  To detect the faulty images we try both Classification and Semantic Segmentation approaches, with a clear focus on the former. The best setting in classification uses a ShuffleNetV2 architecture and obtains precisions of 80.0%, 64.3%, 99.2%, and 97.0% in the respective glitch classes Stretched, Lower Resolution, Missing, and Placeholder. All of this with a low false positive rate of 6.7%. To complement this study, we also discuss how the models extrapolate to different graphical environments, which are the main sources of confusion for the model, how to estimate the confidence of the network, and ways to interpret the internal behavior of the models.
Detta projekt svarar på följande forskningsfråga: Kan man använda Convolutional Neural Networks för att upptäcka felaktiga bilder i videospel? Vi fokuserar på de vanligast förekommande grafiska defekter i videospel, felaktiga textures (sträckt, lågupplöst, saknas och platshållare). Med hjälp av en systematisk process genererar vi data med både normala och felaktiga bilder. För att hitta defekter använder vi CNN via både Classification och Semantic Segmentation, med fokus på den första metoden. Den bäst presterande Classification-modellen baseras på ShuffleNetV2 och når 80.0%, 64.3%, 99.2% och 97.0% precision på respektive sträckt-, lågupplöst-, saknas- och platshållare-buggar. Detta medan endast 6.7% av negativa datapunkter felaktigt klassifieras som positiva. Denna undersökning ser även till hur modellen generaliserar till olika grafiska miljöer, vilka de primära orsakerna till förvirring hos modellen är, hur man kan bedöma säkerheten i nätverkets prediktion och hur man bättre kan förstå modellens interna struktur.

Cette thèse aborde différents problèmes autour de l'analyse et la modélisation de signaux sur graphes, autrement dit des données vectorielles observées sur des graphes. Nous nous intéressons en particulier à deux tâches spécifique. La première est le problème de détection d'événements, c'est-à-dire la détection d'anomalies ou de ruptures, dans un ensemble de vecteurs sur graphes. La seconde tâche consiste en l'inférence de la structure de graphe sous-jacente aux vecteurs contenus dans un ensemble de données. Dans un premier temps notre travail est orienté vers l'application. Nous proposons une méthode pour détecter des pannes ou des défaillances d'antenne dans un réseau de télécommunication.La méthodologie proposée est conçue pour être efficace pour des réseaux de communication au sens large et tient implicitement compte de la structure sous-jacente des données. Dans un deuxième temps, une nouvelle méthode d'inférence de graphes dans le cadre du Graph Signal Processing est étudiée. Dans ce problème, des notions de régularité local et global, par rapport au graphe sous-jacent, sont imposées aux vecteurs. Enfin, nous proposons de combiner la tâche d'apprentissage des graphes avec le problème de détection de ruptures. Cette fois, un cadre probabiliste est considéré pour modéliser les vecteurs, supposés ainsi être distribués selon un certain champ aléatoire de Markov. Dans notre modélisation, le graphe sous-jacent aux données peut changer dans le temps et un point de rupture est détecté chaque fois qu'il change de manière significative
This thesis addresses different problems around the analysis and the modeling of graph signals i.e. vector data that are observed over graphs. In particular, we are interested in two tasks. The rst one is the problem of event detection, i.e. anomaly or changepoint detection, in a set of graph vectors. The second task concerns the inference of the graph structure underlying the observed graph vectors contained in a data set. At first, our work takes an application oriented aspect in which we propose a method for detecting antenna failures or breakdowns in a telecommunication network. The proposed approach is designed to be eective for communication networks in a broad sense and it implicitly takes into account the underlying graph structure of the data. In a second time, a new method for graph structure inference within the framework of Graph Signal Processing is investigated. In this problem, notions of both local and globalsmoothness, with respect to the underlying graph, are imposed to the vectors.Finally, we propose to combine the graph learning task with the change-point detection problem. This time, a probabilistic framework is considered to model the vectors, assumed to be distributed from a specifc Markov Random Field. In the considered modeling, the graph underlying the data is allowed to evolve in time and a change-point is actually detected whenever this graph changes significantly

Les opérateurs télécoms doivent aujourd'hui faire face à une évolution profonde, inéluctable, des services et des infrastructures. Ils sont constamment tenus d'accélérer le renouvellement de leurs offres afin de faire face à de nouveaux défis et opportunités. C'est dans ce contexte que le concept des fonctions réseau « Cloud-native» [1][2][3] est en train de prendre de plus en plus d'ampleur. S'inspirant du monde IT où la « Cloud readiness» a déjà fait ses preuves, l'idée de la cloudification des fonctions réseau consiste à mettre en place des fonctions « scalables » et auto-réparables tout en fournissant des API génériques accessibles par leurs systèmes de management et d'orchestration. Néanmoins, la transition vers un modèle « Cloud-native » ne se limite pas à l'encapsulation des fonctions réseau dans des machines virtuelles. Elle exige une adaptation, voire une refonte totale des fonctions réseau.C'est dans ce contexte que les architectures micro-service [4] deviennent incontournables pour la conception des applications 5G cloud natives. En effet, la décomposition des applications en services indépendants permet d'apporter de la flexibilité en termes de i) développement, ii) déploiement et iii) évolutivité. Néanmoins, adopter ce nouveau paradigme architectural pour les fonctions réseau virtualisées apporte de nouvelles interrogations sur les opérations liées à l'orchestration et l'automatisation. En particulier, l'observabilité représente un pilier d'une démarche de surveillance des fonctions 5G dans le but de fournir le plus haut niveau de satisfaction client. Cette fonctionnalité correspond aux activités impliquant les mesures, la collecte et l'analyse des données de télémétrie remontés à la fois de l'infrastructure de l'opérateur et des applications qui s'y exécutent. L'observabilité permet ainsi d'acquérir une compréhension approfondie du comportement du réseau et d'anticiper des dégradations de la qualité de service. Diverses approches d'observabilité sont proposées dans la littérature [5]. Ces dernières permettent d'analyser le comportement des applications IT cloud-natives et d'apporter les actions de remédiation nécessaires.Dans ce contexte, les données de télémétries représentent des informations précises sur l'état des réseaux des opérateurs. Cependant, la complexité de l'infrastructure softwarisée de l'opérateur et le volume de données [6] à traiter nécessitent l'élaboration de nouvelles techniques capables de détecter en temps réel une situation à risque et de prendre les bonnes décisions afin d'éviter par exemple une violation du contrat en matière de Qualité de Service (SLA). C'est dans ce cadre que s'inscrivent les travaux de cette thèse
Operators today are facing a profound and inevitable evolution of services and infrastructure. They are constantly pressured to accelerate the renewal of their offerings to meet new challenges and opportunities. It is in this context that the concept of "Cloud-native" network functions [1][2][3] is gaining increasing significance. Drawing inspiration from the IT world where "Cloud readiness" has already proven its worth, the idea of cloudifying network functions involves implementing scalable and self-healing functions while providing generic APIs accessible through their management and orchestration systems. However, the transition to a "Cloud-native" model is not limited to encapsulating network functions in virtual machines. It requires an adaptation, even a total redesign, of network functions.In this context, microservices architectures [4] become essential for the design of cloud-native 5G applications. Decomposing applications into independent services brings flexibility in terms of i) development, ii) deployment, and iii) scalability. Nevertheless, adopting this new architectural paradigm for virtualized network functions raises new questions about orchestration and automation operations. In particular, observability represents a cornerstone in monitoring 5G functions to provide the highest level of customer satisfaction. This functionality involves activities related to measuring, collecting, and analyzing telemetry data from both the operator's infrastructure and the applications running on it. Observability enables a deep understanding of network behavior and the anticipation of service quality degradation. Various observability approaches are proposed in the literature [5], allowing the analysis of the behavior of cloud-native IT applications and the implementation of necessary remediation actions.In this context, telemetry data provides precise information about the state of operator networks. However, the complexity of the operator's software-defined infrastructure and the volume of data [6] to be processed require the development of new techniques capable of detecting real-time risk situations and making the right decisions, for example, to avoid a violation of the Service Level Agreement (SLA). This is the framework in which the work of this thesis is situated

Dans le cadre de la maintenance prédictive du constructeur automobile Renault, cette thèse vise à fournir des solutions à faible coût énergétique pour la détection non supervisée d'anomalies sur des séries temporelles. Avec l'évolution récente de l'automobile, de plus en plus de données sont produites et doivent être traitées par des algorithmes d'apprentissage automatique. Ce traitement peut être effectué dans le cloud ou directement à bord de la voiture. Dans un tel cas, la bande passante du réseau, les coûts des services cloud, la gestion de la confidentialité des données et la perte de données peuvent être économisés. L'intégration d'un modèle d'apprentissage automatique dans une voiture est un défi car elle nécessite des modèles frugaux en raison des contraintes de mémoire et de calcul. Dans ce but, nous étudions l'utilisation de réseaux de neurones impulsionnels (SNN) pour la detection d'anomalies, la prédiction et la classification sur des séries temporelles. Les performances et les coûts énergétiques des modèles d'apprentissage automatique sont évalués dans un scénario Edge à l'aide de modèles matériels génériques qui prennent en compte tous les coûts de calcul et de mémoire. Pour exploiter autant que possible l'activité neuronale parcimonieuse des SNN, nous proposons un modèle avec des connexions peu denses et entraînables qui consomme la moitié de l'énergie de sa version dense. Ce modèle est évalué sur des benchmarks publics de détection d'anomalies, un cas d'utilisation réel de détection d'anomalies sur les voitures de Renault Alpine, les prévisions météorologiques et le dataset Google Speech Command. Nous comparons également ses performances avec d'autres modèles d'apprentissage automatique existants. Nous concluons que, pour certains cas d'utilisation, les modèles SNN peuvent atteindre les performances de l'état de l'art tout en consommant 2 à 8 fois moins d'énergie. Pourtant, d'autres études devraient être entreprises pour évaluer ces modèles une fois embarqués dans une voiture. Inspirés par les neurosciences, nous soutenons que d'autres propriétés bio-inspirées telles que l'attention, l'activité parcimonieuse, la hiérarchie ou la dynamique des assemblées de neurons pourraient être exploités pour obtenir une meilleure efficacité énergétique et de meilleures performances avec des modèles SNN. Enfin, nous terminons cette thèse par un essai à la croisée des neurosciences cognitives, de la philosophie et de l'intelligence artificielle. En plongeant dans les difficultés conceptuelles liées à la conscience et en considérant les mécanismes déterministes de la mémoire, nous soutenons que la conscience et le soi pourraient être constitutivement indépendants de la mémoire. L'objectif de cet essai est de questionner la nature de l'humain par opposition à celle des machines et de l'IA
In the context of the predictive maintenance of the car manufacturer Renault, this thesis aims at providing low-power solutions for unsupervised anomaly detection on time-series. With the recent evolution of cars, more and more data are produced and need to be processed by machine learning algorithms. This processing can be performed in the cloud or directly at the edge inside the car. In such a case, network bandwidth, cloud services costs, data privacy management and data loss can be saved. Embedding a machine learning model inside a car is challenging as it requires frugal models due to memory and processing constraints. To this aim, we study the usage of spiking neural networks (SNNs) for anomaly detection, prediction and classification on time-series. SNNs models' performance and energy costs are evaluated in an edge scenario using generic hardware models that consider all calculation and memory costs. To leverage as much as possible the sparsity of SNNs, we propose a model with trainable sparse connections that consumes half the energy compared to its non-sparse version. This model is evaluated on anomaly detection public benchmarks, a real use-case of anomaly detection from Renault Alpine cars, weather forecasts and the google speech command dataset. We also compare its performance with other existing SNN and non-spiking models. We conclude that, for some use-cases, spiking models can provide state-of-the-art performance while consuming 2 to 8 times less energy. Yet, further studies should be undertaken to evaluate these models once embedded in a car. Inspired by neuroscience, we argue that other bio-inspired properties such as attention, sparsity, hierarchy or neural assemblies dynamics could be exploited to even get better energy efficiency and performance with spiking models. Finally, we end this thesis with an essay dealing with cognitive neuroscience, philosophy and artificial intelligence. Diving into conceptual difficulties linked to consciousness and considering the deterministic mechanisms of memory, we argue that consciousness and the self could be constitutively independent from memory. The aim of this essay is to question the nature of humans by contrast with the ones of machines and AI

Les traces réelles de réseaux cellulaires représentent une mine d’information utile pour améliorer les performances des réseaux. Des traces comme les CDRs (Call detail records) contiennent des informations horodatées sur toutes les interactions des utilisateurs avec le réseau sont exploitées dans cette thèse. Nous avons proposé des nouvelles approches dans l’étude et l’analyse des problématiques des réseaux de télécommunications, qui sont basé sur les traces réelles et des algorithmes d’apprentissage automatique. En effet, un outil global d’analyse de données, pour la classification automatique des stations de base, la prédiction de la charge de réseau et la gestion de la bande passante est proposé ainsi qu’un outil pour la détection automatique des anomalies de réseau. Ces outils ont été validés par des applications directes, et en utilisant différentes topologies de réseaux comme les réseaux WMN et les réseaux basés sur les drone-cells. Nous avons montré ainsi, qu’en utilisant des outils d’analyse de données avancés, il est possible d’optimiser dynamiquement les réseaux mobiles et améliorer la gestion de la bande passante
Real datasets of mobile network traces contain valuable information about the network resources usage. These traces may be used to enhance and optimize the network performances. A real dataset of CDR (Call Detail Records) traces, that include spatio-temporal information about mobile users’ activities, are analyzed and exploited in this thesis. Given their large size and the fact that these are real-world datasets, information extracted from these datasets have intensively been used in our work to develop new algorithms that aim to revolutionize the infrastructure management mechanisms and optimize the usage of resource. We propose, in this thesis, a framework for network profiles classification, load prediction and dynamic network planning based on machine learning tools. We also propose a framework for network anomaly detection. These frameworks are validated using different network topologies such as wireless mesh networks (WMN) and drone-cell based networks. We show that using advanced data mining techniques, our frameworks are able to help network operators to manage and optimize dynamically their networks

Les traces réelles de réseaux cellulaires représentent une mine d’information utile pour améliorer les performances des réseaux. Des traces comme les CDRs (Call detail records) contiennent des informations horodatées sur toutes les interactions des utilisateurs avec le réseau sont exploitées dans cette thèse. Nous avons proposé des nouvelles approches dans l’étude et l’analyse des problématiques des réseaux de télécommunications, qui sont basé sur les traces réelles et des algorithmes d’apprentissage automatique. En effet, un outil global d’analyse de données, pour la classification automatique des stations de base, la prédiction de la charge de réseau et la gestion de la bande passante est proposé ainsi qu’un outil pour la détection automatique des anomalies de réseau. Ces outils ont été validés par des applications directes, et en utilisant différentes topologies de réseaux comme les réseaux WMN et les réseaux basés sur les drone-cells. Nous avons montré ainsi, qu’en utilisant des outils d’analyse de données avancés, il est possible d’optimiser dynamiquement les réseaux mobiles et améliorer la gestion de la bande passante
Real datasets of mobile network traces contain valuable information about the network resources usage. These traces may be used to enhance and optimize the network performances. A real dataset of CDR (Call Detail Records) traces, that include spatio-temporal information about mobile users’ activities, are analyzed and exploited in this thesis. Given their large size and the fact that these are real-world datasets, information extracted from these datasets have intensively been used in our work to develop new algorithms that aim to revolutionize the infrastructure management mechanisms and optimize the usage of resource. We propose, in this thesis, a framework for network profiles classification, load prediction and dynamic network planning based on machine learning tools. We also propose a framework for network anomaly detection. These frameworks are validated using different network topologies such as wireless mesh networks (WMN) and drone-cell based networks. We show that using advanced data mining techniques, our frameworks are able to help network operators to manage and optimize dynamically their networks

Les systèmes navals représentent une infrastructure stratégique pour le commerce international et les activités militaires. Ces systèmes sont de plus en plus informatisés afin de réaliser une navigation optimale et sécurisée. Pour atteindre cet objectif, une grande variété de systèmes embarqués génèrent différentes informations sur la navigation et l'état des composants, ce qui permet le contrôle et le monitoring à distance. Du fait de leur importance et de leur informatisation, les systèmes navals sont devenus une cible privilégiée des pirates informatiques. Par ailleurs, la mer est un environnement rude et incertain qui peut produire des dysfonctionnements. En conséquence, la prise de décisions basée sur des fausses informations à cause des anomalies, peut être à l'origine de répercussions potentiellement catastrophiques.Du fait des caractéristiques particulières de ces systèmes, les méthodologies classiques de détection d'anomalies ne peuvent pas être appliquées tel que conçues originalement. Dans cette thèse nous proposons les mesures de qualité comme une potentielle alternative. Une méthodologie adaptée aux systèmes cyber-physiques a été définie pour évaluer la qualité des flux de données générés par les composants de ces systèmes. À partir de ces mesures, une nouvelle approche pour l'analyse de scénarios fonctionnels a été développée. Des niveaux d'acceptation bornent les états de normalité et détectent des mesures aberrantes. Les anomalies examinées par composant permettent de catégoriser les détections et de les associer aux catégories définies par le modèle proposé. L'application des travaux à 13 scénarios créés pour une plate-forme composée par deux cuves et à 11 scénarios pour deux drones aériens a servi à démontrer la pertinence et l'intérêt de ces travaux
Naval systems represent a strategic infrastructure for international commerce and military activity. Their protection is thus an issue of major importance. Naval systems are increasingly computerized in order to perform an optimal and secure navigation. To attain this objective, on board vessel sensor systems provide navigation information to be monitored and controlled from distant computers. Because of their importance and computerization, naval systems have become a target for hackers. Maritime vessels also work in a harsh and uncertain operational environments that produce failures. Navigation decision-making based on wrongly understood anomalies can be potentially catastrophic.Due to the particular characteristics of naval systems, the existing detection methodologies can't be applied. We propose quality evaluation and analysis as an alternative. The novelty of quality applications on cyber-physical systems shows the need for a general methodology, which is conceived and examined in this dissertation, to evaluate the quality of generated data streams. Identified quality elements allow introducing an original approach to detect malicious acts and failures. It consists of two processing stages: first an evaluation of quality; followed by the determination of agreement limits, compliant with normal states to identify and categorize anomalies. The study cases of 13 scenarios for a simulator training platform of fuel tanks and 11 scenarios for two aerial drones illustrate the interest and relevance of the obtained results

This dissertation investigates modeling techniques and computing algorithms for detection of anomalous contents and traffic flows of ingress Internet traffic at an enterprise network gateway. Anomalous contents refer to a large volume of ingress packets whose contents are not wanted by enterprise users, such as unsolicited electronic messages (UNE). UNE are often sent by Botnet farms for network resource exploitation, information stealing, and they incur high costs in bandwidth waste. Many products have been designed to block UNE, but most of them rely on signature database(s) for matching, and they cannot recognize unknown attacks. To address this limitation, in this dissertation I propose a Progressive E-Message Classifier (PEC) to timely classify message patterns that are commonly associated with UNE. On the basis of a scoring and aging engine, a real-time scoreboard keeps track of detected feature instances of the detection features until they are considered either as UNE or normal messages. A mathematical model has been designed to precisely depict system behaviors and then set detection parameters. The PEC performance is widely studied using different parameters based on several experiments. The objective of anomalous traffic flow detection is to detect selfish Transmission Control Protocol, TCP, flows which do not conform to one of the handful of congestion control protocols in adjusting their packet transmission rates in the face of network congestion. Given that none of the operational parameters in congestion control are carried in the transmitted packets, a gateway can only use packet arrival times to recover states of end to end congestion control rules, if any. We develop new techniques to estimate round trip time (RTT) using EWMA Lomb-Scargle periodogram, detect change of congestion windows by the CUSUM algorithm, and then finally predict detected congestion flow states using a prioritized decision chain. A high level finite state machine (FSM) takes the predictions as inputs to determine if a TCP flow follows a particular congestion control protocol. Multiple experiments show promising outcomes of classifying flows of different protocols based on the ratio of the aberrant transition count to normal transition count generated by FSM.

碩士
國立中正大學
資訊工程研究所
100
It is common to see the delivery of unsolicited emails in the Internet, namely spam. Most spam-filtering solutions are deployed on the receiver side. Although the solutions are good at filtering spam for end users, spam messages still keep wasting Internet bandwidth and the storage space of mail servers. This work is intended to detect spam hosts in a university campus to nip the spam sources in the bud. We use the Bro network intrusion detection system (NIDS) to collect the SMTP sessions, and track the volume and uniqueness of the target email addresses of outgoing sessions from each individual internal host as the features for detecting spamming hosts. The large number of email addresses can be efficiently stored in the Bloom filters. Over a period of six months from November 2011 to April 2012, we found totally 65 spammers in the campus and also observed 1.5 million outgoing spam messages. We also found 33% of internal mail servers that have an account cracking problem. The precision of the detection is 0.91, and the recall is 0.97.