D 2008

Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes

BARTOŠ, Karel, Martin GRILL, Vojtěch KRMÍČEK, Martin REHÁK, Pavel ČELEDA et. al.

Basic information

Original name

Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes

Name in Czech

Síťový systém detekce průniku pomocí toků využívající hadwarově akcelerovaných sond NetFlow

Authors

BARTOŠ, Karel (203 Czech Republic), Martin GRILL (203 Czech Republic), Vojtěch KRMÍČEK (203 Czech Republic, belonging to the institution), Martin REHÁK (203 Czech Republic) and Pavel ČELEDA (203 Czech Republic, guarantor, belonging to the institution)

Edition

Prague, CESNET Conference 2008 : security, middleware, and virtualization – glue of future networks, p. 49-56, 8 pp. 2008

Publisher

CESNET, z. s. p. o

Other information

Language

English

Type of outcome

Stať ve sborníku

Field of Study

10201 Computer sciences, information science, bioinformatics

Country of publisher

Czech Republic

Confidentiality degree

není předmětem státního či obchodního tajemství

References:

URL

RIV identification code

RIV/00216224:14610/08:00042091

Organization unit

Institute of Computer Science

ISBN

978-80-904173-0-4

UT WoS

000271023300006

Keywords in English

network intrusion detection; anomaly detection; security; NetFlow

Tags

anomaly detection, netflow, network intrusion detection, rivok, security

Tags

International impact, Reviewed
Změněno: 14/3/2011 10:52, doc. Ing. Pavel Čeleda, Ph.D.

Abstract

ORIG CZ

V originále

Current network intrusion detection methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. Proposed flow based network intrusion detection system addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed and passed to anomaly detection models to gather independent anomaly opinions for each flow. The anomaly data is passed to several trust models to aggregate the anomalies with past experience, and the flows are re-evaluated to obtain their trustfulness, which is further aggregated to detect malicious traffic. Experiments performed on-line on real campus network illustrate system suitability for real-time network surveillance.

In Czech

Dnešní metody detekce průniku na sítích založené na principu behaviorální analýzy mají relativně vysokou míru chybných detekcí a nízký výkon. Navrhovaný systém detekce průniků v sítích založený na monitorování toků se vyrovnává s těmito problémy (i) využitím hardwarově akcelerovaných sond pro sběr nevzorkovaných NetFlow dat z gigabitových sítí a (ii) kombinací několika algoritmů pro detekci anomálií s využitím technik kolektivního trust modelování - metody z oblasti multiagentních systémů. Data získaná na sítí jsou předzpracována a předána do modelů detekce anomálií, které rozhodují o anomálnosti každého toku. Tato data jsou dále předána do několika trust modelů, kde jsou anomálie agregovány a jednotlivým tokům je přiřazena jejich důvěryhodnost, která je dále agregována pro určení celkové anomálnosti provozu. Experimenty provedené na reálné univerzitní síti ilustrují vhodnost systému pro nasazení k dohledu nad sítí v reálném čase.

Links

W911NF-08-1-0250, interní kód MU
Name: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Acronym: CAMNEP II)
Investor: U.S. Army RDECOM Acquisition Center, Reflective-Cognitive Adaptation for Network Intrusion Detection Systems
Displayed: 5/11/2024 15:57