2007
Agent-Based Network Intrusion Detection System
KRMÍČEK, Vojtěch; Pavel ČELEDA; Martin REHÁK a Michal PĚCHOUČEKZákladní údaje
Originální název
Agent-Based Network Intrusion Detection System
Název česky
Agentní systém pro detekci škodlivého síťového provozu
Autoři
KRMÍČEK, Vojtěch; Pavel ČELEDA ORCID; Martin REHÁK a Michal PĚCHOUČEK
Vydání
Los Alamitos, California, Intelligent Agent Technology, od s. 528-531, 4 s. 2007
Nakladatel
IEEE Computer Society
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Spojené státy
Utajení
není předmětem státního či obchodního tajemství
Odkazy
Kód RIV
RIV/00216224:14330/07:00032684
Organizační jednotka
Fakulta informatiky
ISBN
0-7695-3027-3
UT WoS
000252477900092
Klíčová slova anglicky
agent system; intrusion detection; network intrusion detection system
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 6. 8. 2010 08:56, RNDr. Vojtěch Krmíček, Ph.D.
V originále
The paper presents security platform based on agents as an efficient and robust solution for high-performance intrusion detection system designed for deployment on highspeed network links. The proposed detection algorithm is based on extension of trust modeling techniques with representation of uncertain identities, context representation and implicit assumption that significant traffic anomalies are a result of potentially malicious action. The heterogeneous anomaly detection methods are used by cooperating agents and then correlated using a reputation mechanism. To satisfy the performance requirements, wire-speed data acquisition layer is based on hardware-accelerated Net-Flow probes that provide overview of current network traffic. The output of multi-agent detection layer is presented to operator by a dedicated analyst interface agent, which retrieves additional information to facilitate incident analysis. Our performance results illustrate the potential of combination of high-speed hardware with agents-based detection and advanced analyst interface.
Česky
Tento článek prezentuje bezpečnostní platformu založenou na agentech, umožňující efektivní a robustní řešení pro vysokorychlostní detekci škodlivého provozu, určenou pro nasazení na vysokorychlostních sítích. Navrhovaný detekční algoritmus je založený na rozšířených trust modelovacých technikách s použitím nejistých identit, kontextů a základního předpokladu, že výrazné anomálie v provozu jsou výsledkem potenciálně škodlivé akce. Jednotliví agenti představují rozdílné metody pro detekci anomálií, které jsou následně korelovány pomocí reputačního mechanismu. Pro dosažení vysokých rychlostí jsou použity hardwarové akcelerované síťové NetFlow sondy. Výstup multi-agentní detekční vrstvy je prezentován operátorovi skrze speciálního agenta, který získává dodatečné informace pro následnou analýzu. Získané výsledky demonstrují velký potenciál v kombinaci vysokorychlostního hardware s agentní detekcí anomálií a pokročilým interfacem.
Návaznosti
| N62558-07-C-0001, interní kód MU |
|