REHÁK, Martin, Pavel ČELEDA, Michal PĚCHOUČEK a Jiří NOVOTNÝ. CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes. 2009.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
Název česky CAMNEP: Systém pro analýzu síťového chování založený na kolektivní vícevrstvé analýze dat z hardwarově akcelerovaných NetFlow sond
Autoři REHÁK, Martin (203 Česká republika), Pavel ČELEDA (203 Česká republika, garant, domácí), Michal PĚCHOUČEK (203 Česká republika) a Jiří NOVOTNÝ (203 Česká republika, domácí).
Vydání 2009.
Další údaje
Originální jazyk angličtina
Typ výsledku Audiovizuální tvorba
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Spojené státy
Utajení není předmětem státního či obchodního tajemství
WWW URL
Kód RIV RIV/00216224:14610/09:00042453
Organizační jednotka Ústav výpočetní techniky
Klíčová slova česky CAMNEP; FlowMon; NetFlow; bezpečnost; detekce anomálií; IDS
Klíčová slova anglicky CAMNEP; FlowMon; NetFlow; security; anomaly detection; IDS
Štítky anomaly detection, CAMNEP, FlowMon, IDS, netflow, rivok, security
Příznaky Mezinárodní význam
Změnil Změnil: doc. Ing. Pavel Čeleda, Ph.D., učo 206086. Změněno: 14. 3. 2011 10:30.
Anotace
Current network behavior analysis methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. We propose a framework system which addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow/IPFIX data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed in the collector database and then passed to several anomaly detection methods to obtain several independent anomaly opinions for each flow. Each of these methods uses a distinct set of aggregate traffic features to determine the anomaly of each flow, which is determined by comparing the observed flows with a method-specific traffic prediction and/or a set of rules. The anomaly data is passed to several trust models to aggregate the current anomalies with past experience. Depending on the specific network, it can remove up to 95 % of false positives.
Anotace česky
Současné metody pro analýzu chování sítě založené na přístupu detekce anomálií trpí vyšší chybovostí a nízkým výkonem. Námi navržený systém řeší tyto problémy za pomoci (i) hardwarově akcelerovaných sond, které sbírají nevzorkované NetFlow/IPFIX data z gigabitových síťových linek a (ii) spojením několika algoritmů pro rozpoznání anomálie pomocí kolektivního modelování důvěry. Data získaná na sítí jsou předzpracována na kolektoru a předána několika metodám detekce anomálie k nezávislému určení odchylky daného toku. Jednotlivé metody agregují rozličné vlastnosti síťového provozu za účelem určení anomálie toku. Úroveň anomálie je určena porovnáním sledovaných toků s predikovanými hodnotami dané metody anebo přednastavenými pravidly. Následně jsou data dále uloženy do důvěrohodnostního modelu, kde dochází k porovnány s předchozími zaznamenanými toky. V závislosti na sledované síti může dojít až k 95% redukci falešných hlášení (false positives).
Návaznosti
N62558-07-C-0001, interní kód MUNázev: Distribuované mechanismy pro ochranu počítačových sítí (Akronym: CAMNEP)
Investor: Armáda Spojených států (Velitelské centrum pro vědu, výzkum a inženýrství), Distribuované mechanismy pro ochranu počítačových sítí
VytisknoutZobrazeno: 26. 4. 2024 08:50