A 2009

CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes

REHÁK, Martin, Pavel ČELEDA, Michal PĚCHOUČEK and Jiří NOVOTNÝ

Basic information

Original name

CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes

Name in Czech

CAMNEP: Systém pro analýzu síťového chování založený na kolektivní vícevrstvé analýze dat z hardwarově akcelerovaných NetFlow sond

Authors

REHÁK, Martin (203 Czech Republic), Pavel ČELEDA (203 Czech Republic, guarantor, belonging to the institution), Michal PĚCHOUČEK (203 Czech Republic) and Jiří NOVOTNÝ (203 Czech Republic, belonging to the institution)

Edition

2009

Other information

Language

English

Type of outcome

Audiovizuální tvorba

Field of Study

10201 Computer sciences, information science, bioinformatics

Country of publisher

United States of America

Confidentiality degree

není předmětem státního či obchodního tajemství

References:

RIV identification code

RIV/00216224:14610/09:00042453

Organization unit

Institute of Computer Science

Keywords (in Czech)

CAMNEP; FlowMon; NetFlow; bezpečnost; detekce anomálií; IDS

Keywords in English

CAMNEP; FlowMon; NetFlow; security; anomaly detection; IDS

Tags

International impact
Změněno: 14/3/2011 10:30, doc. Ing. Pavel Čeleda, Ph.D.

Abstract

V originále

Current network behavior analysis methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. We propose a framework system which addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow/IPFIX data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed in the collector database and then passed to several anomaly detection methods to obtain several independent anomaly opinions for each flow. Each of these methods uses a distinct set of aggregate traffic features to determine the anomaly of each flow, which is determined by comparing the observed flows with a method-specific traffic prediction and/or a set of rules. The anomaly data is passed to several trust models to aggregate the current anomalies with past experience. Depending on the specific network, it can remove up to 95 % of false positives.

In Czech

Současné metody pro analýzu chování sítě založené na přístupu detekce anomálií trpí vyšší chybovostí a nízkým výkonem. Námi navržený systém řeší tyto problémy za pomoci (i) hardwarově akcelerovaných sond, které sbírají nevzorkované NetFlow/IPFIX data z gigabitových síťových linek a (ii) spojením několika algoritmů pro rozpoznání anomálie pomocí kolektivního modelování důvěry. Data získaná na sítí jsou předzpracována na kolektoru a předána několika metodám detekce anomálie k nezávislému určení odchylky daného toku. Jednotlivé metody agregují rozličné vlastnosti síťového provozu za účelem určení anomálie toku. Úroveň anomálie je určena porovnáním sledovaných toků s predikovanými hodnotami dané metody anebo přednastavenými pravidly. Následně jsou data dále uloženy do důvěrohodnostního modelu, kde dochází k porovnány s předchozími zaznamenanými toky. V závislosti na sledované síti může dojít až k 95% redukci falešných hlášení (false positives).

Links

N62558-07-C-0001, interní kód MU
Name: Distribuované mechanismy pro ochranu počítačových sítí (Acronym: CAMNEP)
Investor: U.S. Army RDECOM Acquisition Center, Cooperative Adaptive Mechanism for Network Protection