Netflow Based System for NAT Detection

KRMÍČEK, Vojtěch, Jan VYKOPAL and Radek KREJČÍ. Netflow Based System for NAT Detection. In Co-Next Student Workshop '09: Proceedings of the 5th international student workshop on Emerging networking experiments and technologies. New York, NY, USA: ACM, 2009, p. 23-24. ISBN 978-1-60558-751-6.

Basic information

Original name

Netflow Based System for NAT Detection

Name in Czech

Systém pro detekci NAT na základě NetFlow

Authors

KRMÍČEK, Vojtěch (203 Czech Republic, guarantor, belonging to the institution), Jan VYKOPAL (203 Czech Republic, belonging to the institution) and Radek KREJČÍ (203 Czech Republic, belonging to the institution)

Edition

New York, NY, USA, Co-Next Student Workshop '09: Proceedings of the 5th international student workshop on Emerging networking experiments and technologies, p. 23-24, 2 pp. 2009

Publisher

ACM

---

Other information

Language

English

Type of outcome

Stať ve sborníku

Field of Study

10201 Computer sciences, information science, bioinformatics

Country of publisher

United States of America

Confidentiality degree

není předmětem státního či obchodního tajemství

RIV identification code

RIV/00216224:14610/09:00040915

Organization unit

Institute of Computer Science

ISBN

978-1-60558-751-6

Keywords (in Czech)

NetFlow; detekce NAT; síťová bezpečno

Keywords in English

Netflow; NAT detection; network security

Tags

rivok

Tags

International impact, Reviewed

---

Abstract

V originále

Revealing the misuse of network resources is one of the im- portant fields in the network security, especially for the network administrators. One of them is the use of unauthorized NAT (Network Address Translation) devices (e.g. small office routers or wireless access points) inside the network which introduces serious security issues. There are several techniques proposed on how to detect NAT devices in the computer networks, but all these methods suffer from high false positive rate. Also there is no study how to perform NAT detection using NetFlow data, often used for monitoring and forensics analysis in large networks. The contribution of our work consists of the following: i) we have transformed existing NAT detection techniques to work with NetFlow data, ii) we propose three new NAT detection approaches, iii) we have designed a prototype of NAT detection system, which aggregates the results from various NAT detection techniques in order to minimize false positive and false negative rates.

In Czech

Odhalování zneužití síťových zdrojů je jedním z důležitých bodů síťové bezpečnosti. Používání neoprávněného zařízení provádějící překlad adres (NAT) v síti může vést k vážným bezpečnostním problémům. V současnosti je známo několik metod detekce takových zařízení, avšak všechny tyto metody vykazují velký počet falešných poplachů. Dále není známo, jak detekovat NAT pomocí monitorování toků (NetFlow). Přínos naší práce je následující: i) upravili jsme stávající metody tak, aby pracovaly s NetFlow záznamy, ii) navrhli tři nové detekční metody NAT, iii) vytvořili prototyp systému pro detekci NAT, který agreguje výsledky několika metod s cílem minimalizovat zejména výskyt falešných poplachů.

---

Links

OVMASUN200801, research and development project

Name: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Acronym: CYBER) Investor: Ministry of Defence of the CR, CYBER - Security of Czech Army Information and Communication Systems - On-line Monitoring, Visualization and Packet Filtration. Computer Incident Response Capability Development in the Cyber Defence Environment