Detail publikace
Automating Network Security Analysis at Packet-level by using Rule-based Engine
Network security, network monitoring, anomaly detection, threat detection, network forensics
Když je detekován incident v síti, musí správce sítě incident manuálně ověřit a poskytnout řešení pro zastavení incidentu a zajištění aby se podobné incidenty již nevyskytovaly. Síťová analýza je časově náročná činnost, která vyžaduje dobré znalosti sítě. Vytvořením řešení, které automatizuje práci administrátora, může být proces analýzy urychlen a taktéž může usnadnit celý proces pro méně zkušené administrátory. V tomto článku popisujeme metodu, která používá předdefinovaný soubor pravidel pro identifikaci vzorů incidentů. Ačkoli tento princip používá mnoho bezpečnostních nástrojů, novým aspektem je, že prezentovaný přístup používá nástroj Wireshark, který je mezi správci dobře známý a je dostatečně expresivní, aby specifikoval složité vztahy mezi zdrojovými daty a byl tak schopen detekovat poměrně sofistikované útoky. Formát vytvořeného pravidla používá stejný jazyk jako filtry Wireshark.
@inproceedings{BUT161562,
author="Martin {Holkovič} and Ondřej {Ryšavý} and Jindřich {Dudek}",
title="Automating Network Security Analysis at Packet-level by using Rule-based Engine",
booktitle="Proceedings of the Sixth European Conference on the Engineering of Computer-Based Systems",
year="2019",
pages="1--8",
publisher="Association for Computing Machinery",
address="Bucharest",
doi="10.1145/3352700.3352714",
isbn="978-1-4503-7636-5",
url="https://www.fit.vut.cz/research/publication/12011/"
}