Detail publikace
An Analysis of Correlations of Intrusion Alerts in an NREN
Žádník Martin, Ing., Ph.D. (UPSY)
detekce průniků, škodlivý provoz, časové a prostorové korelace, agregace hlášení
Stále stoupající množství a závažnost síťových útoků přiměla mnoho organizací k nasazení různých systémů pro monitorování a analýzu síťového provozu, jako jsou například honeypoty, systémy pro detekci průniků, analyzátory logů a monitorování IP toků. Kromě neustálého vylepšování těchto systémů je dalším logickým krokerm sběr hlášení z těchto systémů z různých organizací a jejich korelace. Hlavní myšlenkou je využití kombinace více monitorovacích systémů pro vytvoření více robustního a efektivního systému postrádajícího nedostatky jednotlivých přispívajících systémů. Tento článek prezentuje výsledky analýzy hlášení z několika detektorů rozmístěných v národní síti pro výzkum a vývoj (NREN). Analýza se zaměřuje jak na časové korelace, tak na korelace mezi jednotlivými typy hlášení.
@inproceedings{BUT111532,
author="Václav {Bartoš} and Martin {Žádník}",
title="An Analysis of Correlations of Intrusion Alerts in an NREN",
booktitle="2014 IEEE 19th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks (CAMAD)",
year="2014",
pages="305--309",
publisher="IEEE Communications Society",
address="Athény",
doi="10.1109/CAMAD.2014.7033255",
isbn="978-1-4799-5725-5",
url="https://www.fit.vut.cz/research/publication/10526/"
}