Detail publikace
An Analysis of Correlations of Intrusion Alerts in an NREN
detekce průniků, škodlivý provoz, časové a prostorové korelace, agregace hlášení
Stále stoupající množství a závažnost síťových útoků přiměla mnoho organizací k nasazení různých systémů pro monitorování a analýzu síťového provozu, jako jsou například honeypoty, systémy pro detekci průniků, analyzátory logů a monitorování IP toků. Kromě neustálého vylepšování těchto systémů je dalším logickým krokerm sběr hlášení z těchto systémů z různých organizací a jejich korelace. Hlavní myšlenkou je využití kombinace více monitorovacích systémů pro vytvoření více robustního a efektivního systému postrádajícího nedostatky jednotlivých přispívajících systémů. Tento článek prezentuje výsledky analýzy hlášení z několika detektorů rozmístěných v národní síti pro výzkum a vývoj (NREN). Analýza se zaměřuje jak na časové korelace, tak na korelace mezi jednotlivými typy hlášení.
@INPROCEEDINGS{FITPUB10526,
author = "V\'{a}clav Barto\v{s} and Martin \v{Z}\'{a}dn\'{i}k",
title = "An Analysis of Correlations of Intrusion Alerts in an NREN",
pages = "305--309",
booktitle = "2014 IEEE 19th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks (CAMAD)",
year = 2014,
location = "Ath\'{e}ny, GR",
publisher = "IEEE Communications Society",
ISBN = "978-1-4799-5725-5",
doi = "10.1109/CAMAD.2014.7033255",
language = "english",
url = "https://www.fit.vut.cz/research/publication/10526"
}