Flow Based Security Awareness Framework for High-Speed Networks
Název česky | Systém pro sledování bezpečnosti ve vysokorychlostních sítích pomocí toků |
---|---|
Autoři | |
Rok publikování | 2009 |
Druh | Článek ve sborníku |
Konference | Security and Protection of Information 2009 |
Fakulta / Pracoviště MU | |
Citace | |
Obor | Informatika |
Klíčová slova | intrusion detection; network behavior analysis; anomaly detection; NetFlow; CAMNEP; FlowMon; Conficker |
Popis | Vzhledem k velkému množství síťových skenů, spamujících počítačů, zero-day útoků a uživatelů způsobujících škodlivý provoz a schovávajících se ve velkých objemech síťovího provozu je zajišťění síťové bezpečnosti složitým úkolem pro síťové administrátory a bezpečnostní inženýry. Je nezbytné využití porkočilých technik pro dohled nad sítí a jen tak je možné poskytnout ochranu v reálném čase oproti síťovým hrozbám, externím/interním útokům a zneužitím systému. Tento článek popisuje bezpečnostní systém určený pro vysokorychlostní sítě. Zaměřuje se na detailní pozorování sítě a na získávání informací o komunikujících stranách, časech komunikace, druhu protokolu a služby a také o množství přenesených dat. Aby bylo zachováno soukromí uživatelů, zatímco je prováděná identifikace anomálního provozu, využíváme NetFlow statistiky. Jsou použity specializované standardní a hardwarově akcelerované sondy určené pro monitorování toků, které generují nevzorkované toky z pozorované sítě. Je využíváno několik algoritmů pro detekci anomálií, založených na behaviorální analýze. Použití behaviorální analýzy ve srovnání s metodami založenými na detekci vzorů umožňuje rozeznat neznámé a zero-day útoky. Porkočilé agentní techniky modelování důvěry určují důvěryhodnost pozorovaných toků. Systém identifikuje útoky oproti jednotlivým hostům anebo sítím z pozorování síťového chování. Využitím statistik toků systém umožňuje pracovat také se šifrovaným provozem. Modul pro reportování incidentů agreguje škodlivé toky do jednotlivých incidentů. Zprávy ve formátech detekce průniku anebo v jednoduchém textu jsou použity pro popsání incidentů a poskytují jednoduše čitelný výstup pro operátora. Může být také využito emailového upozornění pro zasílální pravidelných reportů, např. do nástrojů pro správu bezepečnostních incidentů. Prezentovaný systém je vyvíjen jako výzkumný projekt a nasazen na univerzitní a páteřní síti. Experimenty, které byly provedeny na reálném síťovém provozu prokazují, že tento systém významně zlepšuje míru chybovosti (false positives) a zároveň dokáže v online režimu zpracovat provoz do rychlosti 1Gbps. |
Související projekty: |