In cybersecurity, there is a call for adaptive, accurate and efficient procedures to identifying performance shortcomings and security breaches. The increasing complexity of both Internet services and traffic determines a scenario that in many cases impedes the proper deployment of intrusion detection and prevention systems. Although it is a common practice to monitor network and applications activity, there is not a general methodology to codify and interpret the recorded events. Moreover, this lack of methodology somehow erodes the possibility of diagnosing whether event detection and recording is adequately performed. As a result, there is an urge to construct general codification and classification procedures to be applied on any type of security event in any activity log. This work is focused on defining such a method using the so-called normalized compression distance (NCD). NCD is parameter-free and can be applied to determine the distance between events expressed using strings. As a first step in the concretion of a methodology for the integral interpretation of security events, this work is devoted to the characterization of web logs. On the grounds of the NCD, we propose an anomaly-based procedure for identifying web attacks from web logs. Given a web query as stored in a security log, a NCD-based feature vector is created and classified using a support vector machine. The method is tested using the CSIC-2010 data set, and the results are analyzed with respect to similar proposals.

中文翻译：

---

关于基于压缩的度量标准在网络流量中识别异常行为的应用

在网络安全中，要求采用自适应，准确和高效的程序来识别性能缺陷和安全漏洞。Internet服务和流量的日益复杂性决定了在许多情况下会妨碍入侵检测和防御系统的正确部署的情况。尽管监视网络和应用程序活动是一种常见的做法，但是没有通用的方法来整理和解释记录的事件。此外，这种方法的缺乏在某种程度上侵蚀了诊断事件检测和记录是否正确执行的可能性。结果，迫切需要构建适用于任何活动日志中任何类型的安全事件的通用编码和分类程序。这项工作的重点是使用所谓的归一化压缩距离（NCD）定义这种方法。NCD是无参数的，可用于确定使用字符串表示的事件之间的距离。作为构建对安全事件进行整体解释的方法的第一步，这项工作致力于网络日志的表征。基于NCD，我们提出了一种基于异常的过程，用于从Web日志中识别Web攻击。给定一个存储在安全日志中的网络查询，就可以使用支持向量机创建并分类基于NCD的特征向量。使用CSIC-2010数据集测试了该方法，并针对类似建议分析了结果。NCD是无参数的，可用于确定使用字符串表示的事件之间的距离。作为构建对安全事件进行整体解释的方法的第一步，这项工作致力于网络日志的表征。基于NCD，我们提出了一种基于异常的过程，用于从Web日志中识别Web攻击。给定一个存储在安全日志中的网络查询，就可以使用支持向量机创建并分类基于NCD的特征向量。使用CSIC-2010数据集测试了该方法，并针对类似建议分析了结果。NCD是无参数的，可用于确定使用字符串表示的事件之间的距离。作为构建对安全事件进行整体解释的方法的第一步，这项工作致力于网络日志的表征。基于NCD，我们提出了一种基于异常的过程，用于从Web日志中识别Web攻击。给定一个存储在安全日志中的网络查询，就可以使用支持向量机创建并分类基于NCD的特征向量。使用CSIC-2010数据集测试了该方法，并针对类似建议分析了结果。我们提出了一种基于异常的过程，用于从Web日志中识别Web攻击。给定一个存储在安全日志中的网络查询，就可以使用支持向量机创建并分类基于NCD的特征向量。使用CSIC-2010数据集测试了该方法，并针对类似建议分析了结果。我们提出了一种基于异常的过程，用于从Web日志中识别Web攻击。给定一个存储在安全日志中的网络查询，就可以使用支持向量机创建并分类基于NCD的特征向量。使用CSIC-2010数据集测试了该方法，并针对类似建议分析了结果。