Flow Based Security Awareness Framework for High-Speed Networks

Název česky Systém pro sledování bezpečnosti ve vysokorychlostních sítích pomocí toků
Autoři

ČELEDA Pavel REHÁK Martin KRMÍČEK Vojtěch BARTOŠ Karel

Rok publikování 2009
Druh Článek ve sborníku
Konference Security and Protection of Information 2009
Fakulta / Pracoviště MU

Ústav výpočetní techniky

Citace
Obor Informatika
Klíčová slova intrusion detection; network behavior analysis; anomaly detection; NetFlow; CAMNEP; FlowMon; Conficker
Popis Vzhledem k velkému množství síťových skenů, spamujících počítačů, zero-day útoků a uživatelů způsobujících škodlivý provoz a schovávajících se ve velkých objemech síťovího provozu je zajišťění síťové bezpečnosti složitým úkolem pro síťové administrátory a bezpečnostní inženýry. Je nezbytné využití porkočilých technik pro dohled nad sítí a jen tak je možné poskytnout ochranu v reálném čase oproti síťovým hrozbám, externím/interním útokům a zneužitím systému. Tento článek popisuje bezpečnostní systém určený pro vysokorychlostní sítě. Zaměřuje se na detailní pozorování sítě a na získávání informací o komunikujících stranách, časech komunikace, druhu protokolu a služby a také o množství přenesených dat. Aby bylo zachováno soukromí uživatelů, zatímco je prováděná identifikace anomálního provozu, využíváme NetFlow statistiky. Jsou použity specializované standardní a hardwarově akcelerované sondy určené pro monitorování toků, které generují nevzorkované toky z pozorované sítě. Je využíváno několik algoritmů pro detekci anomálií, založených na behaviorální analýze. Použití behaviorální analýzy ve srovnání s metodami založenými na detekci vzorů umožňuje rozeznat neznámé a zero-day útoky. Porkočilé agentní techniky modelování důvěry určují důvěryhodnost pozorovaných toků. Systém identifikuje útoky oproti jednotlivým hostům anebo sítím z pozorování síťového chování. Využitím statistik toků systém umožňuje pracovat také se šifrovaným provozem. Modul pro reportování incidentů agreguje škodlivé toky do jednotlivých incidentů. Zprávy ve formátech detekce průniku anebo v jednoduchém textu jsou použity pro popsání incidentů a poskytují jednoduše čitelný výstup pro operátora. Může být také využito emailového upozornění pro zasílální pravidelných reportů, např. do nástrojů pro správu bezepečnostních incidentů. Prezentovaný systém je vyvíjen jako výzkumný projekt a nasazen na univerzitní a páteřní síti. Experimenty, které byly provedeny na reálném síťovém provozu prokazují, že tento systém významně zlepšuje míru chybovosti (false positives) a zároveň dokáže v online režimu zpracovat provoz do rychlosti 1Gbps.
Související projekty:

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info