Detail publikace
Towards Real-Time Intrusion Detection for NetFlow and IPFIX
Bartoš Václav, Ing., Ph.D.
Sperotto Anna
Pras Aiko
Internet measurements, Denial of service, Intrusion detection, NetFlow, IPFIX, Flow monitoring
DDoS útoky přináší počítačovým sítím a společnostem velké ekonomické i technické ztráty. Je tedy velmi důležité tyto útoky včas detekovat a potlačit. Když je však pro detekci průniků použito monitorování IP toků, jak je obvyklé u kampusů, větších společností i u páteřních sítí, je včasná analýza dat omezena architekturou NetFlow a IPFIX. V jejich současné architektuře je totiž analýza prováděna až po určitých časových limitech, což obecně zpožďuje detekci až o několik minut. Tento článek prezentuje rozšíření NetFlow/IPFIX exportérů umožňující včasnou detekci a potlačení velkých záplavových útoků. Přínosem článku je zaprvé integrace jednoduchého algoritmu pro detekci útoků do exportéru toků, což přináší detekci blíže ke zdroji dat. Zadruhé, navrhovaný přístup umožňuje automaticky zapnout filtrování nežádoucího provozu na firewallu a útoky tak téměř v reálném čase potlačit. A zatřetí, data o tocích náležejících útoku jsou filtrována, aby se zabránilo přetížení kolektoru. Navrhovaný přístup byl ověřen pomocí prototypu nasazeného na jedné z páteřních linek české akademické sítě CESNET.
@inproceedings{BUT104510,
author="Rick {Hofstede} and Václav {Bartoš} and Anna {Sperotto} and Aiko {Pras}",
title="Towards Real-Time Intrusion Detection for NetFlow and IPFIX",
booktitle="Proceedings of the 9th International Conference on Network and Service Management",
year="2013",
pages="1--6",
publisher="International Federation for Information Processing",
address="Zürich",
isbn="978-3-901882-53-1",
url="http://www.cnsm-conf.org/2013/documents/papers/CNSM/p227-hofstede.pdf"
}