REHÁK, Martin, Michal PĚCHOUČEK, Karel BARTOŠ, Martin GRILL, Pavel ČELEDA a Vojtěch KRMÍČEK. CAMNEP: An intrusion detection system for high-speed networks. Progress in Informatics. 2008, roč. 2008, č. 5, s. 65-74. ISSN 1349-8614.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název CAMNEP: An intrusion detection system for high-speed networks
Název česky CAMNEP: Systém detekce průniků pro vysokorychlostní sítě
Autoři REHÁK, Martin (203 Česká republika), Michal PĚCHOUČEK (203 Česká republika), Karel BARTOŠ (203 Česká republika), Martin GRILL (203 Česká republika), Pavel ČELEDA (203 Česká republika, garant) a Vojtěch KRMÍČEK (203 Česká republika).
Vydání Progress in Informatics, 2008, 1349-8614.
Další údaje
Originální jazyk angličtina
Typ výsledku Článek v odborném periodiku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Japonsko
Utajení není předmětem státního či obchodního tajemství
WWW URL
Kód RIV RIV/00216224:14330/08:00033418
Organizační jednotka Fakulta informatiky
Klíčová slova anglicky intrusion detection network; behavior analysis; multi-agent system; trust; anomaly detection
Štítky anomaly detection, behavior analysis, intrusion detection network, multi-agent system, trust
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: RNDr. Vojtěch Krmíček, Ph.D., učo 51640. Změněno: 6. 8. 2010 09:18.
Anotace
The presented research aims to detect malicious traffic in high speed networks by means of correlated anomaly detection methods. In order to acquire the real-time traffic statistics in NetFlow format, we deploy transparent inline probes based on FPGA elements. They provide traffic statistics to the agent-based detection layer, where each agent uses a specific anomaly detection method to detect anomalies and describe the flows in its extended trust model. The agents share the anomaly assessments of individual network flows that are used as an input for the agents trust models. The trustfulness values of individual flows from all agents are combined to estimate their maliciousness. The estimate of trust is subsequently used to filter out the most significant events that are reported to network operators for further analysis. We argue that the use of trust model for integration of several anomaly detection methods and efficient representation of history data shall reduce the high rate of false positives (legitimate traffic classified as malicious) which limits the effectiveness of current intrusion detection systems.
Anotace česky
Cílem prezentovaného výzkumu je detekovat škodlivý provoz ve vysokorychlostních sítí integrováním metod pro detekce anomálií. Pro získání statistic reálného provozu v NetFlow formátu jsou nasazeny hardwarové sondy založené na FPGA čipech. Tyto sondy poskytují statistiky provozu detekční vrstvě založené na agentech, kde každý agent používá specifickou metodu pro detecki anomálií a popisuje toky ve svém rozšířeném trust modelu. Důvěryhodnost jednotrlivých toků od všech agentů je kombinována a na jejím základě je určena škodlivost. Pomocí této hodnoty jsou následně vyfiltrovány ty nejdůležitější bezpečnostní incidenty, které jsou předány síťovím administrátorům pro následnou analýzu. Ve článku prezentujeme, jak je možné použitím trust modelu a efektivní reprezentace historických dat snížit vysoké hodnoty false positives, které omezují efektivnost současných systémů pro detekci anomálií.
Návaznosti
N62558-07-C-0001, interní kód MUNázev: Distribuované mechanismy pro ochranu počítačových sítí (Akronym: CAMNEP)
Investor: Armáda Spojených států (Velitelské centrum pro vědu, výzkum a inženýrství), Distribuované mechanismy pro ochranu počítačových sítí
VytisknoutZobrazeno: 25. 6. 2024 15:48