Detailed Information on Publication Record

NIA, Mehran Alidoost, Reza Ebrahimi ATANI, Benajmin FABIAN and Eduard BABULAK. On detecting unidentified network traffic using pattern-based random walk. Security and Communication Networks. John Wiley and Sons Inc., 2016, Volume 9, Issue 6, p. 3509-3526. ISSN 1939-0122.
Other formats: BibTeX LaTeX RIS @article{34763, author = {Nia, Mehran Alidoost and Atani, Reza Ebrahimi and Fabian, Benajmin and Babulak, Eduard}, article_number = {Issue 6}, keywords = {anomaly detection; network security; real-time threat; self-avoiding random walk; unknown threat detection}, language = {eng}, issn = {1939-0122}, journal = {Security and Communication Networks}, title = {On detecting unidentified network traffic using pattern-based random walk}, volume = {Volume 9}, year = {2016} } TY - JOUR ID - 34763 AU - Nia, Mehran Alidoost - Atani, Reza Ebrahimi - Fabian, Benajmin - Babulak, Eduard PY - 2016 TI - On detecting unidentified network traffic using pattern-based random walk JF - Security and Communication Networks VL - Volume 9 IS - Issue 6 SP - 3509-3526 EP - 3509-3526 PB - John Wiley and Sons Inc. SN - 19390122 KW - anomaly detection KW - network security KW - real-time threat KW - self-avoiding random walk KW - unknown threat detection N2 - This paper presents a new approach to network traffic control based on the pattern theorem. In order to generate unique detection patterns for the process of traffic analysis, a self-avoiding walk algorithm is used. During data processing and analysis, the traffic patterns are adapted dynamically in real-time. The modified traffic patterns are systematically analyzed using a threat database. In this work, a threshold is set to distinguish and trigger critical levels of threats. The matching process is terminated under each of the three conditions: (i) pattern matching rate is up to 80%; (ii) pattern matching rates of at least five various threats are up to 50%; and (iii) pattern matching is enhanced up to 50% for each matched pattern using an implicit combination of threat coefficients. Our experimental results show that in the worst-case scenario, the true detection rate of malicious traffic is higher than 69%, and in the best situation, it would be about 95% for the same malicious traffic. Also, the precision of false detection for trusted patterns is negligible. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd. ER - NIA, Mehran Alidoost, Reza Ebrahimi ATANI, Benajmin FABIAN and Eduard BABULAK. On detecting unidentified network traffic using pattern-based random walk. \textit{Security and Communication Networks}. John Wiley and Sons Inc., 2016, Volume 9, Issue 6, p.~3509-3526. ISSN~1939-0122.

NIA, Mehran Alidoost, Reza Ebrahimi ATANI, Benajmin FABIAN and Eduard BABULAK. On detecting unidentified network traffic using pattern-based random walk. Security and Communication Networks. John Wiley and Sons Inc., 2016, Volume 9, Issue 6, p. 3509-3526. ISSN 1939-0122.

Other formats: BibTeX LaTeX RIS

Basic information
Original name	On detecting unidentified network traffic using pattern-based random walk
Name in Czech	Detekce neidentifikovaných signálů v počítačové síti s pomocí využití algoritmu náhodných kroků
Authors	NIA, Mehran Alidoost (840 United States of America), Reza Ebrahimi ATANI (840 United States of America), Benajmin FABIAN (276 Germany) and Eduard BABULAK (840 United States of America, belonging to the institution).
Edition	Security and Communication Networks, John Wiley and Sons Inc. 2016, 1939-0122.

Other information
Original language	English
Type of outcome	Article in a journal
Field of Study	10201 Computer sciences, information science, bioinformatics
Country of publisher	United States of America
Confidentiality degree	is not subject to a state or trade secret
RIV identification code	RIV/75081431:_____/16:00000841
Organization unit	Institute of Technology and Business in České Budějovice
Keywords (in Czech)	ohrožení v reálném čase; detekce neznámých ohrožení; náhodná procházka k vyhnutí se; detekce anomálií; bezpečnost počítačových sítí
Keywords in English	anomaly detection; network security; real-time threat; self-avoiding random walk; unknown threat detection
Tags	KPV3, RIV16, SCOPUS
Changed by	Changed by: Hana Dlouhá, učo 19800. Changed: 29/11/2016 08:57.

Abstract
This paper presents a new approach to network traffic control based on the pattern theorem. In order to generate unique detection patterns for the process of traffic analysis, a self-avoiding walk algorithm is used. During data processing and analysis, the traffic patterns are adapted dynamically in real-time. The modified traffic patterns are systematically analyzed using a threat database. In this work, a threshold is set to distinguish and trigger critical levels of threats. The matching process is terminated under each of the three conditions: (i) pattern matching rate is up to 80%; (ii) pattern matching rates of at least five various threats are up to 50%; and (iii) pattern matching is enhanced up to 50% for each matched pattern using an implicit combination of threat coefficients. Our experimental results show that in the worst-case scenario, the true detection rate of malicious traffic is higher than 69%, and in the best situation, it would be about 95% for the same malicious traffic. Also, the precision of false detection for trusted patterns is negligible. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.

Abstract

This paper presents a new approach to network traffic control based on the pattern theorem. In order to generate unique detection patterns for the process of traffic analysis, a self-avoiding walk algorithm is used. During data processing and analysis, the traffic patterns are adapted dynamically in real-time. The modified traffic patterns are systematically analyzed using a threat database. In this work, a threshold is set to distinguish and trigger critical levels of threats. The matching process is terminated under each of the three conditions: (i) pattern matching rate is up to 80%; (ii) pattern matching rates of at least five various threats are up to 50%; and (iii) pattern matching is enhanced up to 50% for each matched pattern using an implicit combination of threat coefficients. Our experimental results show that in the worst-case scenario, the true detection rate of malicious traffic is higher than 69%, and in the best situation, it would be about 95% for the same malicious traffic. Also, the precision of false detection for trusted patterns is negligible. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.

Abstract (in Czech)
Tento článek představuje novou metodu, jak monitorovat a kontrolovat informační toky počítačových sítí na základě jejích typických charakteristik. K tomu, aby bylo možné identifikovat unikátní tok informací v počítačové síti, byl použit algoritmus náhodných kroků. V průběhu zpracování dat a jejich analýzy, typické vlastnosti toku informací se adaptují dynamicky v reálném čase. Modifikované toky informací se systematicky monitorují a analyzují s pomocí databanky, která obsahuje typické příklady nebezpečných toků a jejich narušení bezpečnosti. V tomto experimentu byla ustanovena hranice potřebná k rozeznání nebezpečných toků informací a současně jejich rychlé identifikace v reálném čase. Tato identifikace a mapování kategorií nebezpečných toků informací bylo stanoveno na základě tří podmínek: i) určení typických toků nebezpečí uvedených v databázi až do 80 %; ii) určení minimálně pěti nebezpečných toků informací až do 50 %; iii) mapování náhodných toků nebezpečí bylo vylepšeno až do 50 % pro každý typ a kombinace možných toků nebezpečí s použitím specifického koeficientu nebezpečí. Výsledky našeho experimentu ukazují, že v případě nejhorší situace je právě určení nebezpečných toků stanoveno až nad 69 %, a v případě nejlepší situace jsou nebezpečné toky identifikované až do 95 %. I přesto všechno, že určení negativní detekce pro normální toky informací jsou minimální. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.

Abstract (in Czech)

Tento článek představuje novou metodu, jak monitorovat a kontrolovat informační toky počítačových sítí na základě jejích typických charakteristik. K tomu, aby bylo možné identifikovat unikátní tok informací v počítačové síti, byl použit algoritmus náhodných kroků. V průběhu zpracování dat a jejich analýzy, typické vlastnosti toku informací se adaptují dynamicky v reálném čase. Modifikované toky informací se systematicky monitorují a analyzují s pomocí databanky, která obsahuje typické příklady nebezpečných toků a jejich narušení bezpečnosti. V tomto experimentu byla ustanovena hranice potřebná k rozeznání nebezpečných toků informací a současně jejich rychlé identifikace v reálném čase. Tato identifikace a mapování kategorií nebezpečných toků informací bylo stanoveno na základě tří podmínek: i) určení typických toků nebezpečí uvedených v databázi až do 80 %; ii) určení minimálně pěti nebezpečných toků informací až do 50 %; iii) mapování náhodných toků nebezpečí bylo vylepšeno až do 50 % pro každý typ a kombinace možných toků nebezpečí s použitím specifického koeficientu nebezpečí. Výsledky našeho experimentu ukazují, že v případě nejhorší situace je právě určení nebezpečných toků stanoveno až nad 69 %, a v případě nejlepší situace jsou nebezpečné toky identifikované až do 95 %. I přesto všechno, že určení negativní detekce pro normální toky informací jsou minimální. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.