J 2016

On detecting unidentified network traffic using pattern-based random walk

NIA, Mehran Alidoost, Reza Ebrahimi ATANI, Benajmin FABIAN a Eduard BABULAK

Základní údaje

Originální název

On detecting unidentified network traffic using pattern-based random walk

Název česky

Detekce neidentifikovaných signálů v počítačové síti s pomocí využití algoritmu náhodných kroků

Autoři

NIA, Mehran Alidoost (840 Spojené státy), Reza Ebrahimi ATANI (840 Spojené státy), Benajmin FABIAN (276 Německo) a Eduard BABULAK (840 Spojené státy, domácí)

Vydání

Security and Communication Networks, John Wiley and Sons Inc. 2016, 1939-0122

Další údaje

Jazyk

angličtina

Typ výsledku

Článek v odborném periodiku

Obor

10201 Computer sciences, information science, bioinformatics

Stát vydavatele

Spojené státy

Utajení

není předmětem státního či obchodního tajemství

Kód RIV

RIV/75081431:_____/16:00000841

Organizační jednotka

Vysoká škola technická a ekonomická v Českých Budějovicích

Klíčová slova česky

ohrožení v reálném čase; detekce neznámých ohrožení; náhodná procházka k vyhnutí se; detekce anomálií; bezpečnost počítačových sítí

Klíčová slova anglicky

anomaly detection; network security; real-time threat; self-avoiding random walk; unknown threat detection

Štítky

KPV3, RIV16, SCOPUS
Změněno: 29. 11. 2016 08:57, Hana Dlouhá

Anotace

ORIG CZ

V originále

This paper presents a new approach to network traffic control based on the pattern theorem. In order to generate unique detection patterns for the process of traffic analysis, a self-avoiding walk algorithm is used. During data processing and analysis, the traffic patterns are adapted dynamically in real-time. The modified traffic patterns are systematically analyzed using a threat database. In this work, a threshold is set to distinguish and trigger critical levels of threats. The matching process is terminated under each of the three conditions: (i) pattern matching rate is up to 80%; (ii) pattern matching rates of at least five various threats are up to 50%; and (iii) pattern matching is enhanced up to 50% for each matched pattern using an implicit combination of threat coefficients. Our experimental results show that in the worst-case scenario, the true detection rate of malicious traffic is higher than 69%, and in the best situation, it would be about 95% for the same malicious traffic. Also, the precision of false detection for trusted patterns is negligible. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.

Česky

Tento článek představuje novou metodu, jak monitorovat a kontrolovat informační toky počítačových sítí na základě jejích typických charakteristik. K tomu, aby bylo možné identifikovat unikátní tok informací v počítačové síti, byl použit algoritmus náhodných kroků. V průběhu zpracování dat a jejich analýzy, typické vlastnosti toku informací se adaptují dynamicky v reálném čase. Modifikované toky informací se systematicky monitorují a analyzují s pomocí databanky, která obsahuje typické příklady nebezpečných toků a jejich narušení bezpečnosti. V tomto experimentu byla ustanovena hranice potřebná k rozeznání nebezpečných toků informací a současně jejich rychlé identifikace v reálném čase. Tato identifikace a mapování kategorií nebezpečných toků informací bylo stanoveno na základě tří podmínek: i) určení typických toků nebezpečí uvedených v databázi až do 80 %; ii) určení minimálně pěti nebezpečných toků informací až do 50 %; iii) mapování náhodných toků nebezpečí bylo vylepšeno až do 50 % pro každý typ a kombinace možných toků nebezpečí s použitím specifického koeficientu nebezpečí. Výsledky našeho experimentu ukazují, že v případě nejhorší situace je právě určení nebezpečných toků stanoveno až nad 69 %, a v případě nejlepší situace jsou nebezpečné toky identifikované až do 95 %. I přesto všechno, že určení negativní detekce pro normální toky informací jsou minimální. Copyright © 2016 John Wiley & Sons, Ltd. Copyright © 2016 John Wiley & Sons, Ltd.
Zobrazeno: 16. 11. 2024 18:25