BARTOŠ, Karel, Martin GRILL, Vojtěch KRMÍČEK, Martin REHÁK a Pavel ČELEDA. Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes. In CESNET Conference 2008 : security, middleware, and virtualization – glue of future networks. Prague: CESNET, z. s. p. o, 2008, s. 49-56. ISBN 978-80-904173-0-4.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes
Název česky Síťový systém detekce průniku pomocí toků využívající hadwarově akcelerovaných sond NetFlow
Autoři BARTOŠ, Karel (203 Česká republika), Martin GRILL (203 Česká republika), Vojtěch KRMÍČEK (203 Česká republika, domácí), Martin REHÁK (203 Česká republika) a Pavel ČELEDA (203 Česká republika, garant, domácí).
Vydání Prague, CESNET Conference 2008 : security, middleware, and virtualization – glue of future networks, od s. 49-56, 8 s. 2008.
Nakladatel CESNET, z. s. p. o
Další údaje
Originální jazyk angličtina
Typ výsledku Stať ve sborníku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Česká republika
Utajení není předmětem státního či obchodního tajemství
WWW URL
Kód RIV RIV/00216224:14610/08:00042091
Organizační jednotka Ústav výpočetní techniky
ISBN 978-80-904173-0-4
UT WoS 000271023300006
Klíčová slova anglicky network intrusion detection; anomaly detection; security; NetFlow
Štítky anomaly detection, netflow, network intrusion detection, rivok, security
Příznaky Mezinárodní význam, Recenzováno
Změnil Změnil: doc. Ing. Pavel Čeleda, Ph.D., učo 206086. Změněno: 14. 3. 2011 10:52.
Anotace
Current network intrusion detection methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. Proposed flow based network intrusion detection system addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed and passed to anomaly detection models to gather independent anomaly opinions for each flow. The anomaly data is passed to several trust models to aggregate the anomalies with past experience, and the flows are re-evaluated to obtain their trustfulness, which is further aggregated to detect malicious traffic. Experiments performed on-line on real campus network illustrate system suitability for real-time network surveillance.
Anotace česky
Dnešní metody detekce průniku na sítích založené na principu behaviorální analýzy mají relativně vysokou míru chybných detekcí a nízký výkon. Navrhovaný systém detekce průniků v sítích založený na monitorování toků se vyrovnává s těmito problémy (i) využitím hardwarově akcelerovaných sond pro sběr nevzorkovaných NetFlow dat z gigabitových sítí a (ii) kombinací několika algoritmů pro detekci anomálií s využitím technik kolektivního trust modelování - metody z oblasti multiagentních systémů. Data získaná na sítí jsou předzpracována a předána do modelů detekce anomálií, které rozhodují o anomálnosti každého toku. Tato data jsou dále předána do několika trust modelů, kde jsou anomálie agregovány a jednotlivým tokům je přiřazena jejich důvěryhodnost, která je dále agregována pro určení celkové anomálnosti provozu. Experimenty provedené na reálné univerzitní síti ilustrují vhodnost systému pro nasazení k dohledu nad sítí v reálném čase.
Návaznosti
W911NF-08-1-0250, interní kód MUNázev: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Akronym: CAMNEP II)
Investor: Armáda Spojených států (Velitelské centrum pro vědu, výzkum a inženýrství), CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems
VytisknoutZobrazeno: 14. 5. 2024 13:13