REHÁK, Martin, Pavel ČELEDA, Michal PĚCHOUČEK and Jiří NOVOTNÝ. CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes. 2009.
Other formats:   BibTeX LaTeX RIS
Basic information
Original name CAMNEP: Multistage Collective Network Behavior Analysis System with Hardware Accelerated NetFlow Probes
Name in Czech CAMNEP: Systém pro analýzu síťového chování založený na kolektivní vícevrstvé analýze dat z hardwarově akcelerovaných NetFlow sond
Authors REHÁK, Martin (203 Czech Republic), Pavel ČELEDA (203 Czech Republic, guarantor, belonging to the institution), Michal PĚCHOUČEK (203 Czech Republic) and Jiří NOVOTNÝ (203 Czech Republic, belonging to the institution).
Edition 2009.
Other information
Original language English
Type of outcome Audiovisual works
Field of Study 10201 Computer sciences, information science, bioinformatics
Country of publisher United States of America
Confidentiality degree is not subject to a state or trade secret
WWW URL
RIV identification code RIV/00216224:14610/09:00042453
Organization unit Institute of Computer Science
Keywords (in Czech) CAMNEP; FlowMon; NetFlow; bezpečnost; detekce anomálií; IDS
Keywords in English CAMNEP; FlowMon; NetFlow; security; anomaly detection; IDS
Tags anomaly detection, CAMNEP, FlowMon, IDS, netflow, rivok, security
Tags International impact
Changed by Changed by: doc. Ing. Pavel Čeleda, Ph.D., učo 206086. Changed: 14/3/2011 10:30.
Abstract
Current network behavior analysis methods based on anomaly detection approaches suffer from comparatively higher error rate and low performance. We propose a framework system which addresses these issues by (i) using hardware-accelerated probes to collect unsampled NetFlow/IPFIX data from gigabit-speed network links and (ii) combining several anomaly detection algorithms by means of collective trust modeling, a multi-agent data fusion method. The data acquired on the network is preprocessed in the collector database and then passed to several anomaly detection methods to obtain several independent anomaly opinions for each flow. Each of these methods uses a distinct set of aggregate traffic features to determine the anomaly of each flow, which is determined by comparing the observed flows with a method-specific traffic prediction and/or a set of rules. The anomaly data is passed to several trust models to aggregate the current anomalies with past experience. Depending on the specific network, it can remove up to 95 % of false positives.
Abstract (in Czech)
Současné metody pro analýzu chování sítě založené na přístupu detekce anomálií trpí vyšší chybovostí a nízkým výkonem. Námi navržený systém řeší tyto problémy za pomoci (i) hardwarově akcelerovaných sond, které sbírají nevzorkované NetFlow/IPFIX data z gigabitových síťových linek a (ii) spojením několika algoritmů pro rozpoznání anomálie pomocí kolektivního modelování důvěry. Data získaná na sítí jsou předzpracována na kolektoru a předána několika metodám detekce anomálie k nezávislému určení odchylky daného toku. Jednotlivé metody agregují rozličné vlastnosti síťového provozu za účelem určení anomálie toku. Úroveň anomálie je určena porovnáním sledovaných toků s predikovanými hodnotami dané metody anebo přednastavenými pravidly. Následně jsou data dále uloženy do důvěrohodnostního modelu, kde dochází k porovnány s předchozími zaznamenanými toky. V závislosti na sledované síti může dojít až k 95% redukci falešných hlášení (false positives).
Links
N62558-07-C-0001, interní kód MUName: Distribuované mechanismy pro ochranu počítačových sítí (Acronym: CAMNEP)
Investor: U.S. Army RDECOM Acquisition Center, Cooperative Adaptive Mechanism for Network Protection
PrintDisplayed: 30/5/2024 06:48