Flow Based Security Awareness Framework for High-Speed Networks
| ČELEDA, Pavel, Martin REHÁK, Vojtěch KRMÍČEK a Karel BARTOŠ. Flow Based Security Awareness Framework for High-Speed Networks. In Security and Protection of Information 2009. Brno: University of Defence, 2009, s. 3-13. ISBN 978-80-7231-641-0. |
|
Další formáty:
BibTeX
LaTeX
RIS
|
| Základní údaje | |
|---|---|
| Originální název | Flow Based Security Awareness Framework for High-Speed Networks |
| Název česky | Systém pro sledování bezpečnosti ve vysokorychlostních sítích pomocí toků |
| Autoři | ČELEDA, Pavel (203 Česká republika, garant, domácí), Martin REHÁK (203 Česká republika), Vojtěch KRMÍČEK (203 Česká republika, domácí) a Karel BARTOŠ (203 Česká republika). |
| Vydání | Brno, Security and Protection of Information 2009, od s. 3-13, 11 s. 2009. |
| Nakladatel | University of Defence |
| Další údaje | |
|---|---|
| Originální jazyk | angličtina |
| Typ výsledku | Stať ve sborníku |
| Obor | 10201 Computer sciences, information science, bioinformatics |
| Stát vydavatele | Česká republika |
| Utajení | není předmětem státního či obchodního tajemství |
| Forma vydání | tištěná verze "print" |
| Kód RIV | RIV/00216224:14610/09:00040911 |
| Organizační jednotka | Ústav výpočetní techniky |
| ISBN | 978-80-7231-641-0 |
| Klíčová slova česky | detekce vniknutí; behaviorální analýza; detekce anomálií; NetFlow; CAMNEP; FlowMon; Conficker |
| Klíčová slova anglicky | intrusion detection; network behavior analysis; anomaly detection; NetFlow; CAMNEP; FlowMon; Conficker |
| Štítky | anomaly detection, CAMNEP, Conficker, FlowMon, intrusion detection, netflow, network behavior analysis |
| Příznaky | Mezinárodní význam, Recenzováno |
| Změnil | Změnil: doc. Ing. Pavel Čeleda, Ph.D., učo 206086. Změněno: 28. 2. 2013 11:57. |
| Anotace |
|---|
| It is a difficult task for network administrators and security engineers to ensure network security awareness in the daily barrage of network scans, spaming hosts, zero-day attacks and malicious network users hidden in huge traffic volumes crossing the internet. Advanced surveillance techniques are necessary to provide near real-time awareness of threads, external/internal attacks and system misuse. Our paper describes security awareness framework targeted for high-speed networks. We use several anomaly detection algorithms based on network behavioral analysis to classify legitimate and malicious traffic. Using network behavioral analysis in comparison with signature based methods allows us to recognize unknown or zero-day attacks. |
| Anotace česky |
|---|
| Vzhledem k velkému množství síťových skenů, spamujících počítačů, zero-day útoků a uživatelů způsobujících škodlivý provoz a schovávajících se ve velkých objemech síťovího provozu je zajišťění síťové bezpečnosti složitým úkolem pro síťové administrátory a bezpečnostní inženýry. Je nezbytné využití porkočilých technik pro dohled nad sítí a jen tak je možné poskytnout ochranu v reálném čase oproti síťovým hrozbám, externím/interním útokům a zneužitím systému. Tento článek popisuje bezpečnostní systém určený pro vysokorychlostní sítě. Zaměřuje se na detailní pozorování sítě a na získávání informací o komunikujících stranách, časech komunikace, druhu protokolu a služby a také o množství přenesených dat. Aby bylo zachováno soukromí uživatelů, zatímco je prováděná identifikace anomálního provozu, využíváme NetFlow statistiky. Jsou použity specializované standardní a hardwarově akcelerované sondy určené pro monitorování toků, které generují nevzorkované toky z pozorované sítě. Je využíváno několik algoritmů pro detekci anomálií, založených na behaviorální analýze. Použití behaviorální analýzy ve srovnání s metodami založenými na detekci vzorů umožňuje rozeznat neznámé a zero-day útoky. Porkočilé agentní techniky modelování důvěry určují důvěryhodnost pozorovaných toků. Systém identifikuje útoky oproti jednotlivým hostům anebo sítím z pozorování síťového chování. Využitím statistik toků systém umožňuje pracovat také se šifrovaným provozem. Modul pro reportování incidentů agreguje škodlivé toky do jednotlivých incidentů. Zprávy ve formátech detekce průniku anebo v jednoduchém textu jsou použity pro popsání incidentů a poskytují jednoduše čitelný výstup pro operátora. Může být také využito emailového upozornění pro zasílální pravidelných reportů, např. do nástrojů pro správu bezepečnostních incidentů. Prezentovaný systém je vyvíjen jako výzkumný projekt a nasazen na univerzitní a páteřní síti. Experimenty, které byly provedeny na reálném síťovém provozu prokazují, že tento systém významně zlepšuje míru chybovosti (false positives) a zároveň dokáže v online režimu zpracovat provoz do rychlosti 1Gbps. |
| Návaznosti | |
|---|---|
| OVMASUN200801, projekt VaV | Název: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Akronym: CYBER) |
| Investor: Ministerstvo obrany ČR, CYBER - Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence | |
| W911NF-08-1-0250, interní kód MU | Název: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Akronym: CAMNEP II) |
| Investor: Armáda Spojených států (Velitelské centrum pro vědu, výzkum a inženýrství), CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems | |
VytisknoutZobrazeno: 14. 7. 2024 23:21