2007
High-Performance Agent System for Intrusion Detection in Backbone Networks
REHÁK, Martin; Michal PĚCHOUČEK; Pavel ČELEDA; Vojtěch KRMÍČEK; Jiří MONINEC et al.Základní údaje
Originální název
High-Performance Agent System for Intrusion Detection in Backbone Networks
Název česky
Vysokorychlostní agentní systém pro detekci útoků na páteřních sítích
Autoři
REHÁK, Martin; Michal PĚCHOUČEK; Pavel ČELEDA ORCID; Vojtěch KRMÍČEK; Jiří MONINEC; Tomáš DYMÁČEK a David MEDVIGY
Vydání
Berlin, Cooperative Information Agents XI, od s. 134-148, 15 s. 2007
Nakladatel
Springer Berlin / Heidelberg
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Německo
Utajení
není předmětem státního či obchodního tajemství
Odkazy
Impakt faktor
Impact factor: 0.402 v roce 2005
Označené pro přenos do RIV
Ano
Kód RIV
RIV/00216224:14330/07:00032681
Organizační jednotka
Fakulta informatiky
ISBN
978-3-540-75118-2
ISSN
UT WoS
Klíčová slova anglicky
high-speed network; agent system; intrusion detection; backbone network;
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 6. 8. 2010 09:04, RNDr. Vojtěch Krmíček, Ph.D.
V originále
This paper presents a design of high-performance agent-based intrusion detection system designed for deployment on high-speed network links. To match the speed requirements, wire-speed data acquisition layer is based on hardware-accelerated NetFlow like probe, which provides overview of current network traffic. The data is then processed by detection agents that use heterogenous anomaly detection methods. These methods are correlated by means of trust and reputation models, and the conclusions regarding the maliciousness of individual network flows is presented to the operator via one or more analysis agents, that automatically gather supplementary information about the potentially malicious traffic from remote data sources such as DNS, whois or router configurations. Presented system is designed to help the network operators efficiently identify malicious flows by automating most of the surveillance process.
Česky
Tento článek prezetuje vysokorychlostní agentní systém pro detekci útoků, navrhunutí pro nasazení na vysokorychlostních sítích. Aby systém splňoval požadavky na rychlost, je jako základní vrstva pro získýávání síťových dat použit haradwarově akcelerovaná NetFlow sonda, která poskytuje statistiky aktuálního síťového provozu. Tato data jsou následně zpracována detekčními agenty, kteří používájí různé metody detekce anomálií. Na tyto metody jsou uplnatněny reputační a trustové modely a výsledek je podle jeho míry anomálnosti předán operátorovi. Spolu s výsledkem jsou automaticky dohledány a předány doplňující informace jako je DNS, whois anebo konfigurace routerů. Prezentovaný systém je navrhnut za cílem umožnit síťovému operátorovi efektivně identifikovat škodlivé toky pomocí automatizace většiny ze sledovacích úkonů.
Návaznosti
| N62558-07-C-0001, interní kód MU |
|