Flow Based Security Awareness Framework for High-Speed Networks
ČELEDA, Pavel, Martin REHÁK, Vojtěch KRMÍČEK and Karel BARTOŠ. Flow Based Security Awareness Framework for High-Speed Networks. In Security and Protection of Information 2009. Brno: University of Defence, 2009, p. 3-13. ISBN 978-80-7231-641-0. |
Other formats:
BibTeX
LaTeX
RIS
|
Basic information | |
---|---|
Original name | Flow Based Security Awareness Framework for High-Speed Networks |
Name in Czech | Systém pro sledování bezpečnosti ve vysokorychlostních sítích pomocí toků |
Authors | ČELEDA, Pavel (203 Czech Republic, guarantor, belonging to the institution), Martin REHÁK (203 Czech Republic), Vojtěch KRMÍČEK (203 Czech Republic, belonging to the institution) and Karel BARTOŠ (203 Czech Republic). |
Edition | Brno, Security and Protection of Information 2009, p. 3-13, 11 pp. 2009. |
Publisher | University of Defence |
Other information | |
---|---|
Original language | English |
Type of outcome | Proceedings paper |
Field of Study | 10201 Computer sciences, information science, bioinformatics |
Country of publisher | Czech Republic |
Confidentiality degree | is not subject to a state or trade secret |
Publication form | printed version "print" |
RIV identification code | RIV/00216224:14610/09:00040911 |
Organization unit | Institute of Computer Science |
ISBN | 978-80-7231-641-0 |
Keywords (in Czech) | detekce vniknutí; behaviorální analýza; detekce anomálií; NetFlow; CAMNEP; FlowMon; Conficker |
Keywords in English | intrusion detection; network behavior analysis; anomaly detection; NetFlow; CAMNEP; FlowMon; Conficker |
Tags | anomaly detection, CAMNEP, Conficker, FlowMon, intrusion detection, netflow, network behavior analysis |
Tags | International impact, Reviewed |
Changed by | Changed by: doc. Ing. Pavel Čeleda, Ph.D., učo 206086. Changed: 28/2/2013 11:57. |
Abstract |
---|
It is a difficult task for network administrators and security engineers to ensure network security awareness in the daily barrage of network scans, spaming hosts, zero-day attacks and malicious network users hidden in huge traffic volumes crossing the internet. Advanced surveillance techniques are necessary to provide near real-time awareness of threads, external/internal attacks and system misuse. Our paper describes security awareness framework targeted for high-speed networks. We use several anomaly detection algorithms based on network behavioral analysis to classify legitimate and malicious traffic. Using network behavioral analysis in comparison with signature based methods allows us to recognize unknown or zero-day attacks. |
Abstract (in Czech) |
---|
Vzhledem k velkému množství síťových skenů, spamujících počítačů, zero-day útoků a uživatelů způsobujících škodlivý provoz a schovávajících se ve velkých objemech síťovího provozu je zajišťění síťové bezpečnosti složitým úkolem pro síťové administrátory a bezpečnostní inženýry. Je nezbytné využití porkočilých technik pro dohled nad sítí a jen tak je možné poskytnout ochranu v reálném čase oproti síťovým hrozbám, externím/interním útokům a zneužitím systému. Tento článek popisuje bezpečnostní systém určený pro vysokorychlostní sítě. Zaměřuje se na detailní pozorování sítě a na získávání informací o komunikujících stranách, časech komunikace, druhu protokolu a služby a také o množství přenesených dat. Aby bylo zachováno soukromí uživatelů, zatímco je prováděná identifikace anomálního provozu, využíváme NetFlow statistiky. Jsou použity specializované standardní a hardwarově akcelerované sondy určené pro monitorování toků, které generují nevzorkované toky z pozorované sítě. Je využíváno několik algoritmů pro detekci anomálií, založených na behaviorální analýze. Použití behaviorální analýzy ve srovnání s metodami založenými na detekci vzorů umožňuje rozeznat neznámé a zero-day útoky. Porkočilé agentní techniky modelování důvěry určují důvěryhodnost pozorovaných toků. Systém identifikuje útoky oproti jednotlivým hostům anebo sítím z pozorování síťového chování. Využitím statistik toků systém umožňuje pracovat také se šifrovaným provozem. Modul pro reportování incidentů agreguje škodlivé toky do jednotlivých incidentů. Zprávy ve formátech detekce průniku anebo v jednoduchém textu jsou použity pro popsání incidentů a poskytují jednoduše čitelný výstup pro operátora. Může být také využito emailového upozornění pro zasílální pravidelných reportů, např. do nástrojů pro správu bezepečnostních incidentů. Prezentovaný systém je vyvíjen jako výzkumný projekt a nasazen na univerzitní a páteřní síti. Experimenty, které byly provedeny na reálném síťovém provozu prokazují, že tento systém významně zlepšuje míru chybovosti (false positives) a zároveň dokáže v online režimu zpracovat provoz do rychlosti 1Gbps. |
Links | |
---|---|
OVMASUN200801, research and development project | Name: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Acronym: CYBER) |
Investor: Ministry of Defence of the CR, CYBER - Security of Czech Army Information and Communication Systems - On-line Monitoring, Visualization and Packet Filtration. Computer Incident Response Capability Development in the Cyber Defence Environment | |
W911NF-08-1-0250, interní kód MU | Name: CAMNEP2 - Reflective-Cognitive Adaptation for Network Intrusion Detection Systems (Acronym: CAMNEP II) |
Investor: U.S. Army RDECOM Acquisition Center, Reflective-Cognitive Adaptation for Network Intrusion Detection Systems |
PrintDisplayed: 28/9/2024 07:16