Network anomaly detection with graph neural networks

Abstract

(English) Modern networks support critical applications with increasingly diverse, complex, and dynamic requirements. Ensuring their proper functioning is vital to maintaining the reliability and availability of these dependent services. Anomaly Detection (AD) plays a crucial role in preserving network performance by promptly identifying disruptions or degradations. In computer networks, the behavior of a node (e.g., a router) is heavily influenced by its surrounding elements. However, many traditional and Machine Learning (ML)-based methods often fail to exploit these structural correlations effectively, and in some cases ignore them entirely. While some existing approaches attempt to incorporate topological information into the AD task, they often do so suboptimally, losing key relational information. As a result, these systems struggle to achieve the robustness and adaptability required for deployment in dynamic, production environments. Graph Neural Networks (GNNs) have recently gained prominence for modeling tasks where spatial correlations are essential. Nevertheless, their application to AD in computer networks remains underexplored, despite their natural suitability for such structured environments. This thesis investigates new uses of GNNs for AD in networked systems, focusing on three representative scenarios: (i) Border Gateway Protocol (BGP) AD, where hijacks and misconfigurations cause structural changes; (ii) contextual AD, where anomalies depend on the behavior of neighboring entities; and (iii) zero-shot spatiotemporal modeling, enabling forecasting in data-scarce environments. In the first scenario, we leverage the raw BGP topology to design a model capable of generalizing across incidents while maintaining a low false-positive rate, an essential requirement for real-world deployment. We evaluate the model on well-known BGP incidents and extensive regular operation data to validate its robustness. For contextual AD, we propose two GNN-based models that uncover hidden relationships between flows in a backbone network. We validate these models on datasets containing both real and synthetic anomalies and show how the attention mechanisms provide interpretable visualizations of the learned contextual dependencies. Finally, we introduce a GNN-based spatiotemporal model trained on non-networking time series, capable of achieving zero-shot forecasting performance on network monitoring data. The model exploits attention mechanisms to learn and transfer spatial and temporal correlations across domains, outperforming state-of-the-art baselines. Moreover, the learned attention patterns suggest opportunities to simplify spatiotemporal representations, which is critical for scaling models to large production networks. These predictions can subsequently be used to perform AD, which is our main motivation to develop it. Collectively, the contributions of this thesis advance the use of Graph Neural Networks for Anomaly Detection in computer networks by systematically leveraging topological information to improve predictive performance and interpretability. Furthermore, the role of attention mechanisms for providing more interpretable results is also explored, opening the door to using them as a way to both understand the reasons behind the detected anomalies and to provide more transparency to the underlying dynamics in computer networks.

(Català) Les xarxes modernes donen suport a aplicacions crítiques amb requisits cada vegada més diversos, complexos i dinàmics. Garantir el seu funcionament correcte és fonamental per mantenir la fiabilitat i disponibilitat dels serveis que en depenen. La Detecció d’Anomalies (AD, per les seves sigles en anglès) juga un paper clau en la preservació del rendiment de la xarxa, ja que permet identificar ràpidament interrupcions o degradacions. En les xarxes de computadors, el comportament d’un node (per exemple, un encaminador) està fortament influenciat pels elements del seu entorn. No obstant això, molts mètodes tradicionals i basats en l’aprenentatge automàtic (ML) no aprofiten de manera efectiva aquestes correlacions estructurals i, en alguns casos, les ignoren completament. Tot i que alguns enfocaments existents intenten incorporar informació topològica a la tasca de detecció d’anomalies, sovint ho fan de manera subòptima, perdent informació relacional clau. Això provoca que aquests sistemes tinguin dificultats per assolir la robustesa i adaptabilitat necessàries per ser desplegats en entorns de producció dinàmics. Les Xarxes Neuronals Gràfiques (GNNs) han guanyat protagonisme recentment per a tasques de modelatge on les correlacions espacials són essencials. Tanmateix, la seva aplicació a la detecció d’anomalies en xarxes de computadors encara està poc explorada, tot i la seva adequació natural per a entorns estructurats. Aquesta tesi investiga nous usos de les GNNs per a la detecció d’anomalies en sistemes en xarxa, centrant-se en tres escenaris representatius: (i) detecció d’anomalies al protocol Border Gateway Protocol (BGP), on segrestos i errors de configuració provoquen canvis estructurals; (ii) detecció d’anomalies contextuals, on les anomalies depenen del comportament de les entitats veïnes; i (iii) modelatge espaciotemporal zero-shot, que permet fer prediccions en entorns amb escassetat de dades. En el primer escenari, s’utilitza la topologia BGP en brut per dissenyar un model capaç de generalitzar entre incidents mantenint una baixa taxa de falsos positius, un requisit essencial per al seu ús en entorns reals. El model s’avalua amb incidents BGP coneguts i dades extenses d’operació regular per validar-ne la robustesa. Per a la detecció d’anomalies contextuals, es proposen dos models basats en GNN que descobreixen relacions ocultes entre fluxos en una xarxa backbone. Aquests models s’avaluen amb conjunts de dades que contenen anomalies tant reals com sintètiques, i es demostra com els mecanismes d’atenció permeten generar visualitzacions interpretables de les dependències contextuals apreses. Finalment, s’introdueix un model espaciotemporal basat en GNN entrenat amb sèries temporals que no són de xarxes, capaç d’assolir un rendiment de predicció zero-shot sobre dades de monitoratge de xarxa. El model aprofita mecanismes d’atenció per aprendre i transferir correlacions espacials i temporals entre dominis, superant els mètodes de referència de l’estat de l’art. A més, els patrons d’atenció apresos suggereixen oportunitats per simplificar les representacions espaciotemporals, cosa que és crítica per escalar aquests models a xarxes de producció de gran escala. Aquestes prediccions es poden utilitzar posteriorment per dur a terme detecció d’anomalies, que és la nostra principal motivació per desenvolupar aquest enfocament. En conjunt, les contribucions d’aquesta tesi impulsen l’ús de Xarxes Neuronals Gràfiques per a la Detecció d’Anomalies en xarxes de computadors, aprofitant de manera sistemàtica la informació topològica per millorar tant el rendiment predictiu com la interpretabilitat. Així mateix, s’explora el paper dels mecanismes d’atenció com a eina per entendre millor les causes de les anomalies detectades i aportar més transparència a la dinàmica subjacent de les xarxes de computadors.

(Español) Las redes modernas soportan aplicaciones críticas con requisitos cada vez más diversos, complejos y dinámicos. Garantizar su correcto funcionamiento es fundamental para mantener la fiabilidad y disponibilidad de los servicios que dependen de ellas. La Detección de Anomalías (AD) desempeña un papel crucial en la preservación del rendimiento de la red al identificar de forma rápida interrupciones o degradaciones. En las redes de computadores, el comportamiento de un nodo (por ejemplo, un router) está fuertemente influenciado por los elementos que lo rodean. Sin embargo, muchos métodos tradicionales y basados en Aprendizaje Automático (ML) no logran explotar eficazmente estas correlaciones estructurales y, en algunos casos, las ignoran por completo. Si bien algunos enfoques existentes intentan incorporar información topológica en la tarea de detección de anomalías, a menudo lo hacen de forma subóptima, perdiendo información relacional clave. Como resultado, estos sistemas tienen dificultades para alcanzar la robustez y adaptabilidad necesarias para su despliegue en entornos de producción dinámicos. Las Redes Neuronales Gráficas (GNNs) han ganado recientemente relevancia en tareas de modelado donde las correlaciones espaciales son esenciales. No obstante, su aplicación a la detección de anomalías en redes de computadores sigue siendo poco explorada, a pesar de su idoneidad natural para entornos estructurados. Esta tesis investiga nuevos usos de las GNNs para la detección de anomalías en sistemas en red, centrándose en tres escenarios representativos: (i) detección de anomalías en el protocolo Border Gateway Protocol (BGP), donde secuestros y errores de configuración provocan cambios estructurales; (ii) detección de anomalías contextuales, donde las anomalías dependen del comportamiento de entidades vecinas; y (iii) modelado espaciotemporal zero-shot, que permite realizar predicciones en entornos con escasez de datos.

En el primer escenario, se aprovecha la topología BGP en bruto para diseñar un modelo capaz de generalizar entre incidentes manteniendo una baja tasa de falsos positivos, un requisito esencial para su uso en entornos reales. El modelo se evalúa sobre incidentes BGP conocidos y datos extensos de operación normal para validar su robustez. Para la detección de anomalías contextuales, se proponen dos modelos basados en GNN que descubren relaciones ocultas entre flujos en una red backbone. Estos modelos se validan sobre conjuntos de datos que contienen anomalías tanto reales como sintéticas, y se muestra cómo los mecanismos de atención permiten generar visualizaciones interpretables de las dependencias contextuales aprendidas. Finalmente, se introduce un modelo espaciotemporal basado en GNN entrenado sobre series temporales ajenas al dominio de redes, capaz de lograr rendimiento de predicción zero-shot sobre datos de monitorización de red. El modelo explota mecanismos de atención para aprender y transferir correlaciones espaciales y temporales entre dominios, superando a los métodos de referencia del estado del arte. Además, los patrones de atención aprendidos sugieren oportunidades para simplificar las representaciones espaciotemporales, lo cual es fundamental para escalar estos modelos a redes de producción de gran tamaño. Estas predicciones pueden utilizarse posteriormente para realizar detección de anomalías, lo cual constituye nuestra principal motivación para desarrollar este enfoque. En conjunto, las contribuciones de esta tesis avanzan el uso de Redes Neuronales Gráficas para la Detección de Anomalías en redes de computadores, aprovechando de forma sistemática la información topológica para mejorar el rendimiento predictivo y la interpretabilidad. Asimismo, se explora el papel de los mecanismos de atención como una vía para comprender las causas detrás de las anomalías detectadas y aportar mayor transparencia a la dinámica subyacente en las redes de computadores.