Flow Based Security Awareness Framework for High-Speed Networks

ČELEDA, Pavel, Martin REHÁK, Vojtěch KRMÍČEK a Karel BARTOŠ. Flow Based Security Awareness Framework for High-Speed Networks. In Security and Protection of Information 2009. Brno: University of Defence, 2009, s. 3-13. ISBN 978-80-7231-641-0.

Základní údaje

Originální název

Flow Based Security Awareness Framework for High-Speed Networks

Název česky

Systém pro sledování bezpečnosti ve vysokorychlostních sítích pomocí toků

Autoři

ČELEDA, Pavel (203 Česká republika, garant, domácí), Martin REHÁK (203 Česká republika), Vojtěch KRMÍČEK (203 Česká republika, domácí) a Karel BARTOŠ (203 Česká republika)

Vydání

Brno, Security and Protection of Information 2009, od s. 3-13, 11 s. 2009

Nakladatel

University of Defence

---

Další údaje

Jazyk

angličtina

Typ výsledku

Stať ve sborníku

Obor

10201 Computer sciences, information science, bioinformatics

Stát vydavatele

Česká republika

Utajení

není předmětem státního či obchodního tajemství

Forma vydání

tištěná verze "print"

Kód RIV

RIV/00216224:14610/09:00040911

Organizační jednotka

Ústav výpočetní techniky

ISBN

978-80-7231-641-0

Klíčová slova česky

detekce vniknutí; behaviorální analýza; detekce anomálií; NetFlow; CAMNEP; FlowMon; Conficker

Klíčová slova anglicky

intrusion detection; network behavior analysis; anomaly detection; NetFlow; CAMNEP; FlowMon; Conficker

Štítky

anomaly detection, CAMNEP, Conficker, FlowMon, intrusion detection, netflow, network behavior analysis

Příznaky

Mezinárodní význam, Recenzováno

---

Anotace

V originále

It is a difficult task for network administrators and security engineers to ensure network security awareness in the daily barrage of network scans, spaming hosts, zero-day attacks and malicious network users hidden in huge traffic volumes crossing the internet. Advanced surveillance techniques are necessary to provide near real-time awareness of threads, external/internal attacks and system misuse. Our paper describes security awareness framework targeted for high-speed networks. We use several anomaly detection algorithms based on network behavioral analysis to classify legitimate and malicious traffic. Using network behavioral analysis in comparison with signature based methods allows us to recognize unknown or zero-day attacks.

Česky

Vzhledem k velkému množství síťových skenů, spamujících počítačů, zero-day útoků a uživatelů způsobujících škodlivý provoz a schovávajících se ve velkých objemech síťovího provozu je zajišťění síťové bezpečnosti složitým úkolem pro síťové administrátory a bezpečnostní inženýry. Je nezbytné využití porkočilých technik pro dohled nad sítí a jen tak je možné poskytnout ochranu v reálném čase oproti síťovým hrozbám, externím/interním útokům a zneužitím systému. Tento článek popisuje bezpečnostní systém určený pro vysokorychlostní sítě. Zaměřuje se na detailní pozorování sítě a na získávání informací o komunikujících stranách, časech komunikace, druhu protokolu a služby a také o množství přenesených dat. Aby bylo zachováno soukromí uživatelů, zatímco je prováděná identifikace anomálního provozu, využíváme NetFlow statistiky. Jsou použity specializované standardní a hardwarově akcelerované sondy určené pro monitorování toků, které generují nevzorkované toky z pozorované sítě. Je využíváno několik algoritmů pro detekci anomálií, založených na behaviorální analýze. Použití behaviorální analýzy ve srovnání s metodami založenými na detekci vzorů umožňuje rozeznat neznámé a zero-day útoky. Porkočilé agentní techniky modelování důvěry určují důvěryhodnost pozorovaných toků. Systém identifikuje útoky oproti jednotlivým hostům anebo sítím z pozorování síťového chování. Využitím statistik toků systém umožňuje pracovat také se šifrovaným provozem. Modul pro reportování incidentů agreguje škodlivé toky do jednotlivých incidentů. Zprávy ve formátech detekce průniku anebo v jednoduchém textu jsou použity pro popsání incidentů a poskytují jednoduše čitelný výstup pro operátora. Může být také využito emailového upozornění pro zasílální pravidelných reportů, např. do nástrojů pro správu bezepečnostních incidentů. Prezentovaný systém je vyvíjen jako výzkumný projekt a nasazen na univerzitní a páteřní síti. Experimenty, které byly provedeny na reálném síťovém provozu prokazují, že tento systém významně zlepšuje míru chybovosti (false positives) a zároveň dokáže v online režimu zpracovat provoz do rychlosti 1Gbps.

---

Návaznosti

OVMASUN200801, projekt VaV

Název: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Akronym: CYBER) Investor: Ministerstvo obrany ČR, CYBER - Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence

W911NF-08-1-0250, interní kód MU

Název: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Akronym: CAMNEP II) Investor: Armáda Spojených států (Velitelské centrum pro vědu, výzkum a inženýrství), CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems