Self-Learning Network Intrusion Detection
-
Konrad Rieck
Zusammenfassung
Services in the Internet are confronted with a growing amount and diversity of network attacks. Regular instruments of computer security increasingly fail to fend off this threat, as they rely on the manual generation of detection patterns and lack protection from unknown threats. In this article, we present a framework for self-learning intrusion detection, which allows for automatically identifying unknown attacks in the application layer of network communication. The framework links concepts from computer security and machine learning for deriving geometric models of normal network data and identifying attacks as deviations thereof. Empirically, this ability can be demonstrated on real network traffic, where a prototype of the framework identifies 80–97% of unknown attacks with less than 0.002% false positives and throughput rates between 26–60 Mbit/s.
Abstract
Dienste im Internet sind einer wachsenden Anzahl und Diversität von Angriffen ausgesetzt. Herkömmliche Instrumente der IT-Sicherheit sind ungeeignet, dieser Bedrohung langfristig entgegen zu wirken, da sie auf der manuellen Erstellung von Erkennungsmustern beruhen und keinen Schutz vor neuen und unbekannten Angriffen bieten. In diesem Artikel wird ein Rahmenwerk zur selbstlernenden Angriffserkennung vorgestellt, das es ermöglicht, unbekannte Angriffe gegen Netzwerkdienste automatisch zu erkennen. Das Rahmenwerk verbindet Konzepte der IT-Sicherheit und des maschinellen Lernens, um Nutzdaten der Dienste geometrisch zu analysieren und Angriffe als Ausreißer zu erkennen. Diese Fähigkeit kann empirisch bestätigt werden, wobei ein Prototyp eine Erkennung von 80–97% der unbekannten Angriffe mit weniger als 0,002% falschen Alarmen und einem Durchsatz von 26–60 Mbit/s erzielt.
© by Oldenbourg Wissenschaftsverlag, Berlin, Germany
Articles in the same Issue
- Knowledge Processes and Services
- Enhancing Social Interactions at Conferences
- Towards Social Crowd Environments Using Service-Oriented Architectures
- Linked Open Data Perspectives: Incorporating Linked Open Data into Information Extraction on the Web
- Measuring Knowledge Management Success: Development and Test of a Theory-Based Measuring Model
- Broadening Participation in Knowledge Management in Enterprise 2.0
- Software Security in Virtualized Infrastructures — The Smart Meter Example
- Self-Learning Network Intrusion Detection
- (Weiblichen) Nachwuchs? Gewinnen! — Informatik, Jugend, Wettbewerbe und mehr
Articles in the same Issue
- Knowledge Processes and Services
- Enhancing Social Interactions at Conferences
- Towards Social Crowd Environments Using Service-Oriented Architectures
- Linked Open Data Perspectives: Incorporating Linked Open Data into Information Extraction on the Web
- Measuring Knowledge Management Success: Development and Test of a Theory-Based Measuring Model
- Broadening Participation in Knowledge Management in Enterprise 2.0
- Software Security in Virtualized Infrastructures — The Smart Meter Example
- Self-Learning Network Intrusion Detection
- (Weiblichen) Nachwuchs? Gewinnen! — Informatik, Jugend, Wettbewerbe und mehr
