Anomalie-basierten Botnet-Erkennung für 10 Gb/s-Netzwerken
von Jonathon W. Donaldson
Aktuelle Netzwerk-Daten-Tarife gemacht haben, wird es immer schwieriger, für cyber-security-Spezialisten, um den Schutz der gespeicherten Informationen auf private Systeme. Höherer Durchsatz ermöglicht nicht nur höhere Produktivität, sondern schafft auch eine "größere" Sicherheitslücke, die möglicherweise erlauben, zahlreiche schädliche Anwendungen (z.B. bots), um ein privates Netzwerk. Software-basierte intrusion-detection - / - prevention-Systeme sind nicht schnell genug für die riesige Mengen an traffic gefunden auf 1 Gb/s und 10 Gb/s-Netzwerken voll wirksam zu sein. Folglich, Unternehmen akzeptieren, mehr Risiko und sind gezwungen, eine bewusste trade-off zwischen Bedrohung und Leistung.
Eine Lösung bewältigen können und eine viel breitere Sicht des large-scale, high-speed-systems wird es uns ermöglichen, die maximale Durchsatz-und Netzwerk-Produktivität. Dieses Papier beschreibt eine neue Methode der Lösung dieses Problems durch den Beitritt in eine bereits vorhandene Signatur-basierte intrusion-prevention-system mit einem Anomalie-basierten botnet-Erkennung-Algorithmus in einem Hybriden hardware - /software-Implementierung.
Unsere Beiträge sind zusätzlich eine Anomalie-Erkennung-Motors an eine bereits vorhandene Signatur-Erkennungs-engine in der hardware. Dieses hybrid-system ist in der Lage Verarbeitung full-duplex 10 Gb/s-traffic-in Echtzeit-ohne Paketverlust. Die Verhaltens-basierten Algorithmus und der Benutzeroberfläche angepasst werden. Diese Forschung hat auch zu Verbesserungen geführt von dem Verkäufer gelieferten signal und Programmierung von Schnittstellen-Spezifikationen, die wir gemacht haben, leicht verfügbar.
Datum der Veröffentlichung: