D
2008
Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes
BARTOŠ, Karel, Martin GRILL, Vojtěch KRMÍČEK, Martin REHÁK, Pavel ČELEDA et. al.
Basic information
Original name
Flow Based Network Intrusion Detection System using Hardware-Accelerated NetFlow Probes
Name in Czech
Síťový systém detekce průniku pomocí toků využívající hadwarově akcelerovaných sond NetFlow
Authors
BARTOŠ, Karel (203 Czech Republic), Martin GRILL (203 Czech Republic), Vojtěch KRMÍČEK (203 Czech Republic, belonging to the institution), Martin REHÁK (203 Czech Republic) and
Pavel ČELEDA (203 Czech Republic, guarantor, belonging to the institution)
Edition
Prague, CESNET Conference 2008 : security, middleware, and virtualization – glue of future networks, p. 49-56, 8 pp. 2008
Publisher
CESNET, z. s. p. o
Other information
Type of outcome
Stať ve sborníku
Field of Study
10201 Computer sciences, information science, bioinformatics
Country of publisher
Czech Republic
Confidentiality degree
není předmětem státního či obchodního tajemství
RIV identification code
RIV/00216224:14610/08:00042091
Organization unit
Institute of Computer Science
Keywords in English
network intrusion detection; anomaly detection; security; NetFlow
Tags
International impact, Reviewed
V originále
Current network intrusion detection methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. Proposed flow based network intrusion detection system addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed and passed to anomaly detection models to gather independent anomaly opinions for each flow. The anomaly data is passed to several trust models to aggregate the anomalies with past experience, and the flows are re-evaluated to obtain their trustfulness, which is further aggregated to detect malicious traffic. Experiments performed on-line on real campus network illustrate system suitability for real-time network surveillance.
In Czech
Dnešní metody detekce průniku na sítích založené na principu behaviorální analýzy mají relativně vysokou míru chybných detekcí a nízký výkon. Navrhovaný systém detekce průniků v sítích založený na monitorování toků se vyrovnává s těmito problémy (i) využitím hardwarově akcelerovaných sond pro sběr nevzorkovaných NetFlow dat z gigabitových sítí a (ii) kombinací několika algoritmů pro detekci anomálií s využitím technik kolektivního trust modelování - metody z oblasti multiagentních systémů. Data získaná na sítí jsou předzpracována a předána do modelů detekce anomálií, které rozhodují o anomálnosti každého toku. Tato data jsou dále předána do několika trust modelů, kde jsou anomálie agregovány a jednotlivým tokům je přiřazena jejich důvěryhodnost, která je dále agregována pro určení celkové anomálnosti provozu. Experimenty provedené na reálné univerzitní síti ilustrují vhodnost systému pro nasazení k dohledu nad sítí v reálném čase.
Links
W911NF-08-1-0250, interní kód MU | Name: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Acronym: CAMNEP II) | Investor: U.S. Army RDECOM Acquisition Center, Reflective-Cognitive Adaptation for Network Intrusion Detection Systems |
|
Displayed: 5/11/2024 15:57