2009
CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
REHÁK, Martin, Pavel ČELEDA, Michal PĚCHOUČEK a Jiří NOVOTNÝZákladní údaje
Originální název
CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
Název česky
CAMNEP: Systém pro analýzu síťového chování založený na kolektivní vícevrstvé analýze dat z hardwarově akcelerovaných NetFlow sond
Autoři
REHÁK, Martin (203 Česká republika), Pavel ČELEDA (203 Česká republika, garant, domácí), Michal PĚCHOUČEK (203 Česká republika) a Jiří NOVOTNÝ (203 Česká republika, domácí)
Vydání
2009
Další údaje
Jazyk
angličtina
Typ výsledku
Audiovizuální tvorba
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Spojené státy
Utajení
není předmětem státního či obchodního tajemství
Odkazy
Kód RIV
RIV/00216224:14610/09:00042453
Organizační jednotka
Ústav výpočetní techniky
Klíčová slova česky
CAMNEP; FlowMon; NetFlow; bezpečnost; detekce anomálií; IDS
Klíčová slova anglicky
CAMNEP; FlowMon; NetFlow; security; anomaly detection; IDS
Příznaky
Mezinárodní význam
Změněno: 14. 3. 2011 10:30, doc. Ing. Pavel Čeleda, Ph.D.
V originále
Current network behavior analysis methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. We propose a framework system which addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow/IPFIX data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed in the collector database and then passed to several anomaly detection methods to obtain several independent anomaly opinions for each flow. Each of these methods uses a distinct set of aggregate traffic features to determine the anomaly of each flow, which is determined by comparing the observed flows with a method-specific traffic prediction and/or a set of rules. The anomaly data is passed to several trust models to aggregate the current anomalies with past experience. Depending on the specific network, it can remove up to 95 % of false positives.
Česky
Současné metody pro analýzu chování sítě založené na přístupu detekce anomálií trpí vyšší chybovostí a nízkým výkonem. Námi navržený systém řeší tyto problémy za pomoci (i) hardwarově akcelerovaných sond, které sbírají nevzorkované NetFlow/IPFIX data z gigabitových síťových linek a (ii) spojením několika algoritmů pro rozpoznání anomálie pomocí kolektivního modelování důvěry. Data získaná na sítí jsou předzpracována na kolektoru a předána několika metodám detekce anomálie k nezávislému určení odchylky daného toku. Jednotlivé metody agregují rozličné vlastnosti síťového provozu za účelem určení anomálie toku. Úroveň anomálie je určena porovnáním sledovaných toků s predikovanými hodnotami dané metody anebo přednastavenými pravidly. Následně jsou data dále uloženy do důvěrohodnostního modelu, kde dochází k porovnány s předchozími zaznamenanými toky. V závislosti na sledované síti může dojít až k 95% redukci falešných hlášení (false positives).
Návaznosti
| N62558-07-C-0001, interní kód MU |
|