Anomaly Detection for Portfolio Risk Management : An evaluation of econometric and machine learning based approaches to detecting anomalous behaviour in portfolio risk measures / Avvikelsedetektering för Riskhantering av Portföljer : En utvärdering utav ekonometriska och maskininlärningsbaserade tillvägagångssätt för att detektera avvikande beteende hos portföljriskmått

Westerlind, Simon

January 2018

Financial institutions manage numerous portfolios whose risk must be managed continuously, and the large amounts of data that has to be processed renders this a considerable effort. As such, a system that autonomously detects anomalies in the risk measures of financial portfolios, would be of great value. To this end, the two econometric models ARMA-GARCH and EWMA, and the two machine learning based algorithms LSTM and HTM, were evaluated for the task of performing unsupervised anomaly detection on the streaming time series of portfolio risk measures. Three datasets of returns and Value-at-Risk series were synthesized and one dataset of real-world Value-at-Risk series had labels handcrafted for the experiments in this thesis. The results revealed that the LSTM has great potential in this domain, due to an ability to adapt to different types of time series and for being effective at finding a wide range of anomalies. However, the EWMA had the benefit of being faster and more interpretable, but lacked the ability to capture anomalous trends. The ARMA-GARCH was found to have difficulties in finding a good fit to the time series of risk measures, resulting in poor performance, and the HTM was outperformed by the other algorithms in every regard, due to an inability to learn the autoregressive behaviour of the time series. / Finansiella institutioner hanterar otaliga portföljer vars risk måste hanteras kontinuerligt, och den stora mängden data som måste processeras gör detta till ett omfattande uppgift. Därför skulle ett system som autonomt kan upptäcka avvikelser i de finansiella portföljernas riskmått, vara av stort värde. I detta syftet undersöks två ekonometriska modeller, ARMA-GARCH och EWMA, samt två maskininlärningsmodeller, LSTM och HTM, för ändamålet att kunna utföra så kallad oövervakad avvikelsedetektering på den strömande tidsseriedata av portföljriskmått. Tre dataset syntetiserades med avkastningar och Value-at-Risk serier, och ett dataset med verkliga Value-at-Risk serier fick handgjorda etiketter till experimenten i denna avhandling. Resultaten visade att LSTM har stor potential i denna domänen, tack vare sin förmåga att anpassa sig till olika typer av tidsserier och för att effektivt lyckas finna varierade sorters anomalier. Däremot så hade EWMA fördelen av att vara den snabbaste och enklaste att tolka, men den saknade förmågan att finna avvikande trender. ARMA-GARCH hade svårigheter med att modellera tidsserier utav riskmått, vilket resulterade i att den preseterade dåligt. HTM blev utpresterad utav de andra algoritmerna i samtliga hänseenden, på grund utav dess oförmåga att lära sig tidsserierna autoregressiva beteende.

Anomaly detection

Outlier Detection

Portfolio management

Risk management

Value-at-Risk

HTM

EWMA

ARIMA

LSTM

GARCH

Anomalidetektering

Avvikelsedetektering

Portföljhantering

Riskhantering

Valueat-Risk

HTM

EWMA

ARIMA

LSTM

GARCH

Economics

Nationalekonomi

Information-Theoretic Framework for Network Anomaly Detection: Enabling online application of statistical learning models to high-speed traffic / ITF-NAD : Ett informationsteoretiskt ramverk för realtidsdetektering av nätverksanomalier

Damour, Gabriel

January 2019

With the current proliferation of cyber attacks, safeguarding internet facing assets from network intrusions, is becoming a vital task in our increasingly digitalised economies. Although recent successes of machine learning (ML) models bode the dawn of a new generation of intrusion detection systems (IDS); current solutions struggle to implement these in an efficient manner, leaving many IDSs to rely on rule-based techniques. In this paper we begin by reviewing the different approaches to feature construction and attack source identification employed in such applications. We refer to these steps as the framework within which models are implemented, and use it as a prism through which we can identify the challenges different solutions face, when applied in modern network traffic conditions. Specifically, we discuss how the most popular framework -- the so called flow-based approach -- suffers from significant overhead being introduced by its resource heavy pre-processing step. To address these issues, we propose the Information Theoretic Framework for Network Anomaly Detection (ITF-NAD); whose purpose is to facilitate online application of statistical learning models onto high-speed network links, as well as provide a method of identifying the sources of traffic anomalies. Its development was inspired by previous work on information theoretic-based anomaly and outlier detection, and employs modern techniques of entropy estimation over data streams. Furthermore, a case study of the framework's detection performance over 5 different types of Denial of Service (DoS) attacks is undertaken, in order to illustrate its potential use for intrusion detection and mitigation. The case study resulted in state-of-the-art performance for time-anomaly detection of single source as well as distributed attacks, and show promising results regarding its ability to identify underlying sources. / I takt med att antalet cyberattacker växer snabbt blir det alltmer viktigt för våra digitaliserade ekonomier att skydda uppkopplade verksamheter från nätverksintrång. Maskininlärning (ML) porträtteras som ett kraftfullt alternativ till konventionella regelbaserade lösningar och dess anmärkningsvärda framgångar bådar för en ny generation detekteringssytem mot intrång (IDS). Trots denna utveckling, bygger många IDS:er fortfarande på signaturbaserade metoder, vilket förklaras av de stora svagheter som präglar många ML-baserade lösningar. I detta arbete utgår vi från en granskning av nuvarande forskning kring tillämpningen av ML för intrångsdetektering, med fokus på de nödvändiga steg som omger modellernas implementation inom IDS. Genom att sätta upp ett ramverk för hur variabler konstrueras och identifiering av attackkällor (ASI) utförs i olika lösningar, kan vi identifiera de flaskhalsar och begränsningar som förhindrar deras praktiska implementation. Särskild vikt läggs vid analysen av de populära flödesbaserade modellerna, vars resurskrävande bearbetning av rådata leder till signifikant tidsfördröjning, vilket omöjliggör deras användning i realtidssystem. För att bemöta dessa svagheter föreslår vi ett nytt ramverk -- det informationsteoretiska ramverket för detektering av nätverksanomalier (ITF-NAD) -- vars syfte är att möjliggöra direktanslutning av ML-modeller över nätverkslänkar med höghastighetstrafik, samt tillhandahåller en metod för identifiering av de bakomliggande källorna till attacken. Ramverket bygger på modern entropiestimeringsteknik, designad för att tillämpas över dataströmmar, samt en ASI-metod inspirerad av entropibaserad detektering av avvikande punkter i kategoriska rum. Utöver detta presenteras en studie av ramverkets prestanda över verklig internettrafik, vilken innehåller 5 olika typer av överbelastningsattacker (DoS) genererad från populära DDoS-verktyg, vilket i sin tur illustrerar ramverkets användning med en enkel semi-övervakad ML-modell. Resultaten visar på hög nivå av noggrannhet för detektion av samtliga attacktyper samt lovande prestanda gällande ramverkets förmåga att identifiera de bakomliggande aktörerna.

Network Security

Distributed Denial of Service

DDoS

DoS

Anomaly Detection

Intrusion Detection

Attack Source Identification

Information Theory

Statistical Learnin

Nätverkssäkerhet

Distribuerad Överbelastningsattack

DDoS

DoS

Anomalidetektering

Intrångsdetektering

Identifiering av Attackkällor

Informationsteori

Maskininlärning

Probability Theory and Statistics

Sannolikhetsteori och statistik

Cyber Threat Detection using Machine Learning on Graphs : Continuous-Time Temporal Graph Learning on Provenance Graphs / Detektering av cyberhot med hjälp av maskininlärning på grafer : Inlärning av kontinuerliga tidsdiagram på härkomstgrafer

Reha, Jakub

January 2023

Cyber attacks are ubiquitous and increasingly prevalent in industry, society, and governmental departments. They affect the economy, politics, and individuals. Ever-increasingly skilled, organized, and funded threat actors combined with ever-increasing volumes and modalities of data require increasingly sophisticated and innovative cyber defense solutions. Current state-of-the-art security systems conduct threat detection on dynamic graph representations of computer systems and enterprise communication networks known as provenance graphs. Most of these security systems are statistics-based, based on rules defined by domain experts, or discard temporal information, and as such come with a set of drawbacks (e.g., incapability to pinpoint the attack, incapability to adapt to evolving systems, reduced expressibility due to lack of temporal information). At the same time, there is little research in the machine learning community on graphs such as provenance graphs, which are a form of largescale, heterogeneous, and continuous-time dynamic graphs, as most research on graph learning has been devoted to static homogeneous graphs to date. Therefore, this thesis aims to bridge these two fields and investigate the potential of learning-based methods operating on continuous-time dynamic provenance graphs for cyber threat detection. Without loss of generality, this work adopts the general Temporal Graph Networks framework for learning representations and detecting anomalies in such graphs. This method explicitly addresses the drawbacks of current security systems by considering the temporal setting and bringing the adaptability of learning-based methods. In doing so, it also introduces and releases two large-scale, continuoustime temporal, heterogeneous benchmark graph datasets with expert-labeled anomalies to foster future research on representation learning and anomaly detection on complex real-world networks. To the best of the author’s knowledge, these are one of the first datasets of their kind. Extensive experimental analyses of modules, datasets, and baselines validate the potency of continuous-time graph neural network-based learning, endorsing its practical applicability to the detection of cyber threats and possibly other semantically meaningful anomalies in similar real-world systems. / Cyberattacker är allestädes närvarande och blir allt vanligare inom industrin, samhället och statliga myndigheter. De påverkar ekonomin, politiken och enskilda individer. Allt skickligare, organiserade och finansierade hotaktörer i kombination med ständigt ökande volymer och modaliteter av data kräver alltmer sofistikerade och innovativa cyberförsvarslösningar. Dagens avancerade säkerhetssystem upptäcker hot på dynamiska grafrepresentationer (proveniensgrafer) av datorsystem och företagskommunikationsnät. De flesta av dessa säkerhetssystem är statistikbaserade, baseras på regler som definieras av domänexperter eller bortser från temporär information, och som sådana kommer de med en rad nackdelar (t.ex. oförmåga att lokalisera attacken, oförmåga att anpassa sig till system som utvecklas, begränsad uttrycksmöjlighet på grund av brist på temporär information). Samtidigt finns det lite forskning inom maskininlärning om grafer som proveniensgrafer, som är en form av storskaliga, heterogena och dynamiska grafer med kontinuerlig tid, eftersom den mesta forskningen om grafinlärning hittills har ägnats åt statiska homogena grafer. Därför syftar denna avhandling till att överbrygga dessa två områden och undersöka potentialen hos inlärningsbaserade metoder som arbetar med dynamiska proveniensgrafer med kontinuerlig tid för detektering av cyberhot. Utan att för den skull göra avkall på generaliserbarheten använder detta arbete det allmänna Temporal Graph Networks-ramverket för inlärning av representationer och upptäckt av anomalier i sådana grafer. Denna metod tar uttryckligen itu med nackdelarna med nuvarande säkerhetssystem genom att beakta den temporala induktiva inställningen och ge anpassningsförmågan hos inlärningsbaserade metoder. I samband med detta introduceras och släpps också två storskaliga, kontinuerliga temporala, heterogena referensgrafdatauppsättningar med expertmärkta anomalier för att främja framtida forskning om representationsinlärning och anomalidetektering i komplexa nätverk i den verkliga världen. Såvitt författaren vet är detta en av de första datamängderna i sitt slag. Omfattande experimentella analyser av moduler, dataset och baslinjer validerar styrkan i induktiv inlärning baserad på kontinuerliga grafneurala nätverk, vilket stöder dess praktiska tillämpbarhet för att upptäcka cyberhot och eventuellt andra semantiskt meningsfulla avvikelser i liknande verkliga system.

Graph neural networks

Temporal graphs

Benchmark datasets

Anomaly detection

Heterogeneous graphs

Provenance graphs

Grafiska neurala nätverk

temporala grafer

benchmark-datauppsättningar

anomalidetektering

heterogena grafer

härkomstgrafer

Computer and Information Sciences

Data- och informationsvetenskap

Machine learning for usability : A case study of mobile application design for Nokia

Hou, Shanshan

January 2021

Nokia launched a website service Customer Insights (CI) to managers and executives from operator companies to track their customers’ experience. An upgraded mobile service is developed for providing more valuable information. The data was retrieved from the same dataset but less amount of information would be displayed in the mobile application. Two questions need to be answered in this design work, what to show in the application and how to show them. A tough situation in user research and a large amount of data made the user-centered design hard to answer the ‘what’ question. Based on experts’ view, data points that have different patterns from other data could be valuable. Considering ML is good at quantitative analysis tool and anomaly detection method can help filter outliers, we combined it with User-centered Design (UCD) in the content preparation. The challenge was how to mind the gap between experts and real users’ expectations. The initial user research was missed and involving users during the modeling progress was not realistic. Our strategy was to select information by anomaly detection methods, got users’ feedbacks after launching the application and utilized those feedbacks to improve the algorithm. Based on the study in ML, PCA anomaly detection was chosen and it worked well in filtering outliers in this case. Two validations proved the possibility of improving the precision and recall of the results based on supervised learning and labeled data. On the other hand, UCD focused on answering the ‘how’ problem based on a questionnaire, personas, scenarios and design guidelines. The results from ML research were also considered in the design work, thus the interface and interaction design would help the algorithm to a larger extent. Four experts participated in the design evaluation. All three iterations of the design helped us to summarize some universal guidance on how to design for similar mobile applications. / Nokia lanserade en webbtjänst Customer Insights (CI) för att chefer och ledare från operativa företag ska kunna följa kundernas erfarenheter. En uppgraderad mobiltjänst utvecklas för att ge mer värdefull information. Uppgifterna hämtas från samma datamängd, men mindre mängd information visas i mobilapplikationen. Två frågor måste besvaras i detta designarbete, nämligen vad som ska visas i applikationen och hur de ska visas. Den svåra situationen i användarforskningen och den stora mängden data gjorde det svårt att besvara frågan om "vad" i den användarcentrerade designen. Enligt experternas uppfattning kan datapunkter som har olika mönster jämfört med andra data vara värdefulla. Med tanke på att ML är ett bra verktyg för kvantitativ analys och att metoden för anomalidetektion kan hjälpa till att filtrera avvikelser, kombinerade vi den med UCD i innehållsberedningen. Utmaningen var hur vi skulle kunna hantera klyftan mellan experternas och de verkliga användarnas förväntningar. Den inledande användarundersökningen missades och det var inte realistiskt att involvera användarna under modelleringsprocessen. Vår strategi var att välja ut information med hjälp av metoder för anomalidetektion, få användarnas feedback efter lanseringen av applikationen och använda dessa feedback för att förbättra algoritmen. Baserat på studien om ML valdes PCA-anomalidetektion och den fungerade bra för att filtrera utfall i det här fallet. Två valideringar visade att det är möjligt att förbättra precisionen och återkallandet av resultaten baserat på övervakad inlärning och märkta data. Å andra sidan fokuserade UCD på att besvara "hur"-problemet med hjälp av ett frågeformulär, personas, scenarier och riktlinjer för utformning. Resultaten från ML-forskningen beaktades också i designarbetet, vilket innebär att gränssnitts- och interaktionsdesignen skulle hjälpa algoritmen i större utsträckning. Fyra experter deltog i designutvärderingen. Alla tre iterationer av designen hjälpte oss att sammanfatta några universella riktlinjer för hur man utformar liknande mobilapplikationer.

Machine learning

user-centered design

anomaly detection

user experience

human-in-the-loop

information visualization

algorithm-friendly design

Maskininlärning

användarcentrerad design

anomalidetektering

användarupplevelse

människa i loopen

informationsvisualisering

algoritmvänlig design.

Computer and Information Sciences

Data- och informationsvetenskap

Sign of the Times : Unmasking Deep Learning for Time Series Anomaly Detection / Skyltarna på Tiden : Avslöjande av djupinlärning för detektering av anomalier i tidsserier

Richards Ravi Arputharaj, Daniel

January 2023

Time series anomaly detection has been a longstanding area of research with applications across various domains. In recent years, there has been a surge of interest in applying deep learning models to this problem domain. This thesis presents a critical examination of the efficacy of deep learning models in comparison to classical approaches for time series anomaly detection. Contrary to the widespread belief in the superiority of deep learning models, our research findings suggest that their performance may be misleading and the progress illusory. Through rigorous experimentation and evaluation, we reveal that classical models outperform deep learning counterparts in various scenarios, challenging the prevailing assumptions. In addition to model performance, our study delves into the intricacies of evaluation metrics commonly employed in time series anomaly detection. We uncover how it inadvertently inflates the performance scores of models, potentially leading to misleading conclusions. By identifying and addressing these issues, our research contributes to providing valuable insights for researchers, practitioners, and decision-makers in the field of time series anomaly detection, encouraging a critical reevaluation of the role of deep learning models and the metrics used to assess their performance. / Tidsperiods avvikelsedetektering har varit ett långvarigt forskningsområde med tillämpningar inom olika områden. Under de senaste åren har det uppstått ett ökat intresse för att tillämpa djupinlärningsmodeller på detta problemområde. Denna avhandling presenterar en kritisk granskning av djupinlärningsmodellers effektivitet jämfört med klassiska metoder för tidsperiods avvikelsedetektering. I motsats till den allmänna övertygelsen om överlägsenheten hos djupinlärningsmodeller tyder våra forskningsresultat på att deras prestanda kan vara vilseledande och framsteg illusoriskt. Genom rigorös experimentell utvärdering avslöjar vi att klassiska modeller överträffar djupinlärningsalternativ i olika scenarier och därmed utmanar de rådande antagandena. Utöver modellprestanda går vår studie in på detaljerna kring utvärderings-metoder som oftast används inom tidsperiods avvikelsedetektering. Vi avslöjar hur dessa oavsiktligt överdriver modellernas prestandapoäng och kan därmed leda till vilseledande slutsatser. Genom att identifiera och åtgärda dessa problem bidrar vår forskning till att erbjuda värdefulla insikter för forskare, praktiker och beslutsfattare inom området tidsperiods avvikelsedetektering, och uppmanar till en kritisk omvärdering av djupinlärningsmodellers roll och de metoder som används för att bedöma deras prestanda.

Anomaly detection

multivariate time series data

deep learning models

model complexity

resource-constrained systems

Variational Autoencoders (VAEs)

Convolutional Variational Autoencoders

evaluation metrics in time series

Anomalidetektering

Multivariata tidsseriedata

Djupinlärningsmodeller

Modellkomplexitet

Resursbegränsade system

Variational Autoencoders (VAEs)

Konvolutionella Variational Autoencoders

Utvärderingsmått inom tidsserier

Computer and Information Sciences

Data- och informationsvetenskap

Unsupervised Anomaly Detection and Root Cause Analysis in HFC Networks : A Clustering Approach

Forsare Källman, Povel

January 2021

Following the significant transition from the traditional production industry to an informationbased economy, the telecommunications industry was faced with an explosion of innovation, resulting in a continuous change in user behaviour. The industry has made efforts to adapt to a more datadriven future, which has given rise to larger and more complex systems. Therefore, troubleshooting systems such as anomaly detection and root cause analysis are essential features for maintaining service quality and facilitating daily operations. This study aims to explore the possibilities, benefits, and drawbacks of implementing cluster analysis for anomaly detection in hybrid fibercoaxial networks. Based on the literature review on unsupervised anomaly detection and an assumption regarding the anomalous behaviour in hybrid fibercoaxial network data, the kmeans, SelfOrganizing Map, and Gaussian Mixture Model were implemented both with and without Principal Component Analysis. Analysis of the results demonstrated an increase in performance for all models when the Principal Component Analysis was applied, with kmeans outperforming both SelfOrganizing Map and Gaussian Mixture Model. On this basis, it is recommended to apply Principal Component Analysis for clusteringbased anomaly detection. Further research is necessary to identify whether cluster analysis is the most appropriate unsupervised anomaly detection approach. / Följt av övergången från den traditionella tillverkningsindustrin till en informationsbaserad ekonomi stod telekommunikationsbranschen inför en explosion av innovation. Detta skifte resulterade i en kontinuerlig förändring av användarbeteende och branschen tvingades genomgå stora ansträngningar för att lyckas anpassa sig till den mer datadrivna framtiden. Större och mer komplexa system utvecklades och således blev felsökningsfunktioner såsom anomalidetektering och rotfelsanalys centrala för att upprätthålla servicekvalitet samt underlätta för den dagliga driftverksamheten. Syftet med studien är att utforska de möjligheterna, för- samt nackdelar med att använda klusteranalys för anomalidetektering inom HFC- nätverk. Baserat på litteraturstudien för oövervakad anomalidetektering samt antaganden för anomalibeteenden inom HFC- data valdes algritmerna k- means, Self- Organizing Map och Gaussian Mixture Model att implementeras, både med och utan Principal Component Analysis. Analys av resultaten påvisade en uppenbar ökning av prestanda för samtliga modeller vid användning av PCA. Vidare överträffade k- means, både Self- Organizing Maps och Gaussian Mixture Model. Utifrån resultatanalysen rekommenderas det således att PCA bör tillämpas vid klusterings- baserad anomalidetektering. Vidare är ytterligare forskning nödvändig för att avgöra huruvida klusteranalys är den mest lämpliga metoden för oövervakad anomalidetektering.

Anomaly Detection

Root Cause Analysis

Cluster Analysis

k- means

Self- Organizing Map

Gaussian Mixture Model

Dimensionality Reduction

Principal Component Analysis

Hybrid Fiber- Coaxial Network.

Anomalidetektering

Rotfelsanalys

Klusteranalys

k- means

Self- Organizing Map

Gaussian Mixture Model

Dimensionsreducering

Principal Component Analysis

Hybrid Fiber Coax- nät.

Computer and Information Sciences

Data- och informationsvetenskap