2008
Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes
BARTOŠ, Karel, Martin GRILL, Vojtěch KRMÍČEK, Martin REHÁK, Pavel ČELEDA et. al.Základní údaje
Originální název
Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes
Název česky
Síťový systém detekce průniku pomocí toků využívající hadwarově akcelerovaných sond NetFlow
Autoři
BARTOŠ, Karel (203 Česká republika), Martin GRILL (203 Česká republika), Vojtěch KRMÍČEK (203 Česká republika, domácí), Martin REHÁK (203 Česká republika) a Pavel ČELEDA (203 Česká republika, garant, domácí)
Vydání
Prague, CESNET Conference 2008 : security, middleware, and virtualization – glue of future networks, od s. 49-56, 8 s. 2008
Nakladatel
CESNET, z. s. p. o
Další údaje
Jazyk
angličtina
Typ výsledku
Stať ve sborníku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Česká republika
Utajení
není předmětem státního či obchodního tajemství
Odkazy
Kód RIV
RIV/00216224:14610/08:00042091
Organizační jednotka
Ústav výpočetní techniky
ISBN
978-80-904173-0-4
UT WoS
000271023300006
Klíčová slova anglicky
network intrusion detection; anomaly detection; security; NetFlow
Příznaky
Mezinárodní význam, Recenzováno
Změněno: 14. 3. 2011 10:52, doc. Ing. Pavel Čeleda, Ph.D.
V originále
Current network intrusion detection methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. Proposed flow based network intrusion detection system addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed and passed to anomaly detection models to gather independent anomaly opinions for each flow. The anomaly data is passed to several trust models to aggregate the anomalies with past experience, and the flows are re-evaluated to obtain their trustfulness, which is further aggregated to detect malicious traffic. Experiments performed on-line on real campus network illustrate system suitability for real-time network surveillance.
Česky
Dnešní metody detekce průniku na sítích založené na principu behaviorální analýzy mají relativně vysokou míru chybných detekcí a nízký výkon. Navrhovaný systém detekce průniků v sítích založený na monitorování toků se vyrovnává s těmito problémy (i) využitím hardwarově akcelerovaných sond pro sběr nevzorkovaných NetFlow dat z gigabitových sítí a (ii) kombinací několika algoritmů pro detekci anomálií s využitím technik kolektivního trust modelování - metody z oblasti multiagentních systémů. Data získaná na sítí jsou předzpracována a předána do modelů detekce anomálií, které rozhodují o anomálnosti každého toku. Tato data jsou dále předána do několika trust modelů, kde jsou anomálie agregovány a jednotlivým tokům je přiřazena jejich důvěryhodnost, která je dále agregována pro určení celkové anomálnosti provozu. Experimenty provedené na reálné univerzitní síti ilustrují vhodnost systému pro nasazení k dohledu nad sítí v reálném čase.
Návaznosti
| W911NF-08-1-0250, interní kód MU |
|