Detailed Information on Publication Record
2009
CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
REHÁK, Martin, Pavel ČELEDA, Michal PĚCHOUČEK and Jiří NOVOTNÝBasic information
Original name
CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
Name in Czech
CAMNEP: Systém pro analýzu síťového chování založený na kolektivní vícevrstvé analýze dat z hardwarově akcelerovaných NetFlow sond
Authors
REHÁK, Martin (203 Czech Republic), Pavel ČELEDA (203 Czech Republic, guarantor, belonging to the institution), Michal PĚCHOUČEK (203 Czech Republic) and Jiří NOVOTNÝ (203 Czech Republic, belonging to the institution)
Edition
2009
Other information
Language
English
Type of outcome
Audiovizuální tvorba
Field of Study
10201 Computer sciences, information science, bioinformatics
Country of publisher
United States of America
Confidentiality degree
není předmětem státního či obchodního tajemství
References:
RIV identification code
RIV/00216224:14610/09:00042453
Organization unit
Institute of Computer Science
Keywords (in Czech)
CAMNEP; FlowMon; NetFlow; bezpečnost; detekce anomálií; IDS
Keywords in English
CAMNEP; FlowMon; NetFlow; security; anomaly detection; IDS
Tags
International impact
Změněno: 14/3/2011 10:30, doc. Ing. Pavel Čeleda, Ph.D.
V originále
Current network behavior analysis methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. We propose a framework system which addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow/IPFIX data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed in the collector database and then passed to several anomaly detection methods to obtain several independent anomaly opinions for each flow. Each of these methods uses a distinct set of aggregate traffic features to determine the anomaly of each flow, which is determined by comparing the observed flows with a method-specific traffic prediction and/or a set of rules. The anomaly data is passed to several trust models to aggregate the current anomalies with past experience. Depending on the specific network, it can remove up to 95 % of false positives.
In Czech
Současné metody pro analýzu chování sítě založené na přístupu detekce anomálií trpí vyšší chybovostí a nízkým výkonem. Námi navržený systém řeší tyto problémy za pomoci (i) hardwarově akcelerovaných sond, které sbírají nevzorkované NetFlow/IPFIX data z gigabitových síťových linek a (ii) spojením několika algoritmů pro rozpoznání anomálie pomocí kolektivního modelování důvěry. Data získaná na sítí jsou předzpracována na kolektoru a předána několika metodám detekce anomálie k nezávislému určení odchylky daného toku. Jednotlivé metody agregují rozličné vlastnosti síťového provozu za účelem určení anomálie toku. Úroveň anomálie je určena porovnáním sledovaných toků s predikovanými hodnotami dané metody anebo přednastavenými pravidly. Následně jsou data dále uloženy do důvěrohodnostního modelu, kde dochází k porovnány s předchozími zaznamenanými toky. V závislosti na sledované síti může dojít až k 95% redukci falešných hlášení (false positives).
Links
N62558-07-C-0001, interní kód MU |
|