2016
On detecting unidentified network traffic using pattern-based random walk
NIA, Mehran Alidoost, Reza Ebrahimi ATANI, Benajmin FABIAN a Eduard BABULAKZákladní údaje
Originální název
On detecting unidentified network traffic using pattern-based random walk
Název česky
Detekce neidentifikovaných signálů v počítačové síti s pomocí využití algoritmu náhodných kroků
Autoři
NIA, Mehran Alidoost (840 Spojené státy), Reza Ebrahimi ATANI (840 Spojené státy), Benajmin FABIAN (276 Německo) a Eduard BABULAK (840 Spojené státy, domácí)
Vydání
Security and Communication Networks, John Wiley and Sons Inc. 2016, 1939-0122
Další údaje
Jazyk
angličtina
Typ výsledku
Článek v odborném periodiku
Obor
10201 Computer sciences, information science, bioinformatics
Stát vydavatele
Spojené státy
Utajení
není předmětem státního či obchodního tajemství
Kód RIV
RIV/75081431:_____/16:00000841
Organizační jednotka
Vysoká škola technická a ekonomická v Českých Budějovicích
Klíčová slova česky
ohrožení v reálném čase; detekce neznámých ohrožení; náhodná procházka k vyhnutí se; detekce anomálií; bezpečnost počítačových sítí
Klíčová slova anglicky
anomaly detection; network security; real-time threat; self-avoiding random walk; unknown threat detection
Změněno: 29. 11. 2016 08:57, Hana Dlouhá
V originále
This paper presents a new approach to network traffic control based on the pattern theorem. In order to generate unique detection patterns for the process of traffic analysis, a self-avoiding walk algorithm is used. During data processing and analysis, the traffic patterns are adapted dynamically in real-time. The modified traffic patterns are systematically analyzed using a threat database. In this work, a threshold is set to distinguish and trigger critical levels of threats. The matching process is terminated under each of the three conditions: (i) pattern matching rate is up to 80%; (ii) pattern matching rates of at least five various threats are up to 50%; and (iii) pattern matching is enhanced up to 50% for each matched pattern using an implicit combination of threat coefficients. Our experimental results show that in the worst-case scenario, the true detection rate of malicious traffic is higher than 69%, and in the best situation, it would be about 95% for the same malicious traffic. Also, the precision of false detection for trusted patterns is negligible. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.
Česky
Tento článek představuje novou metodu, jak monitorovat a kontrolovat informační toky počítačových sítí na základě jejích typických charakteristik. K tomu, aby bylo možné identifikovat unikátní tok informací v počítačové síti, byl použit algoritmus náhodných kroků. V průběhu zpracování dat a jejich analýzy, typické vlastnosti toku informací se adaptují dynamicky v reálném čase. Modifikované toky informací se systematicky monitorují a analyzují s pomocí databanky, která obsahuje typické příklady nebezpečných toků a jejich narušení bezpečnosti. V tomto experimentu byla ustanovena hranice potřebná k rozeznání nebezpečných toků informací a současně jejich rychlé identifikace v reálném čase. Tato identifikace a mapování kategorií nebezpečných toků informací bylo stanoveno na základě tří podmínek: i) určení typických toků nebezpečí uvedených v databázi až do 80 %; ii) určení minimálně pěti nebezpečných toků informací až do 50 %; iii) mapování náhodných toků nebezpečí bylo vylepšeno až do 50 % pro každý typ a kombinace možných toků nebezpečí s použitím specifického koeficientu nebezpečí. Výsledky našeho experimentu ukazují, že v případě nejhorší situace je právě určení nebezpečných toků stanoveno až nad 69 %, a v případě nejlepší situace jsou nebezpečné toky identifikované až do 95 %. I přesto všechno, že určení negativní detekce pro normální toky informací jsou minimální. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.