mo va on
play

Mo?va?on Current flow-based solu?ons to visualize network - PowerPoint PPT Presentation

Feb 29, 2024 •133 likes •462 views

LISA10 Nov 7-12, 2010 San Jose, CA Nfsight Ne*low-based Network Awareness Tool Robin Berthier (University of Illinois at Urbana-Champaign) Michel Cukier

  1. LISA’10 – Nov 7-12, 2010 – San Jose, CA Nfsight ¡ ¡ Ne*low-­‑based ¡Network ¡Awareness ¡Tool ¡ Robin ¡Berthier ¡ ¡ (University ¡of ¡Illinois ¡at ¡Urbana-­‑Champaign)� ¡ Michel ¡Cukier ¡ ¡ (University ¡of ¡Maryland)� ¡ Ma3 ¡Hiltunen ¡ ¡ (AT&T ¡Research)� ¡ Dave ¡Kormann ¡ ¡ (AT&T ¡Research)� ¡ Dan ¡Sheleheda ¡ ¡ (AT&T ¡Security)� ¡ Gregg ¡Vesonder ¡ (AT&T ¡Research)� ¡

  2. Mo?va?on ¡ • Current ¡flow-­‑based ¡solu?ons ¡to ¡visualize ¡ network ¡traffic: ¡ ? ¡ 10,000 miles view Runway

  3. Mo?va?on ¡(cont.) ¡ • Alterna?ve ¡solu?ons: ¡ Packet-­‑based, ¡ Heavyweight ¡(Java), ¡ Offline, ¡… ¡ ? ¡ 10,000 miles view Runway

  4. Approach ¡ July 22, 2008

  5. Approach ¡(cont.) ¡ • Flow-­‑based ¡ (scalability, ¡privacy, ¡already ¡instrumented) ¡ • Aggregate ¡ network ¡ac?vity ¡per ¡host ¡and ¡port ¡ • Iden?fy ¡ client/server ¡ behavior ¡ • Visualize ¡at ¡large ¡scale, ¡drill-­‑down ¡on ¡demand ¡ • Detect ¡rogue ¡services ¡and ¡intrusion ¡aVempts ¡ • Lightweight ¡and ¡easy ¡to ¡deploy ¡and ¡to ¡use ¡ July 22, 2008

  6. Challenge ¡ • NeYlow ¡is ¡unidirec?onal ¡ ¡ ¡(wai?ng ¡for ¡IPFIX…) ¡ Request flow(s) 10.0.2.3:45678 ¡ 192.168.0.1:80 ¡ Reply flow(s)  ¡Requires ¡ heuris;c ¡to ¡iden?fy ¡client/server ¡ July 22, 2008

  7. Architecture ¡ Organiza?on ¡ Network ¡ Automated Alerts, Routers ¡ Operator Collaboration Features Visualize, Filter, Drill-down Nfsen/Nfdump ¡Framework ¡ Service ¡and ¡ Nfsight ¡ Nfsight ¡ NeYlow ¡ Intrusion ¡ Front-­‑end ¡ Back-­‑end ¡ Collector ¡ Unidirectional Bidirectional Detec?on ¡ Flows Flows Perl Scripts MySQL PHP/AJAX

  8. Back-­‑end ¡ July 22, 2008

  9. Back-­‑end ¡Scripts ¡ Client/Server activity (round-robin database) Service ¡ 5 min Detec?on ¡ 1 hour Script ¡1: ¡ (clients/servers) ¡ 1 day -­‑ ¡Generates ¡bidirec?onal ¡ flows ¡ ¡ -­‑ ¡Iden?fy ¡end ¡points ¡using ¡ Bidirec?onal ¡ Bayesian ¡inference ¡ flows ¡ Script ¡2: ¡ -­‑ ¡Generates ¡IDS ¡alerts ¡ Intrusion ¡ using ¡graphlet-­‑based ¡ Detec?on ¡Alerts ¡ signatures ¡of ¡aVacks ¡

  10. Iden?fying ¡Client/Server ¡ Service ¡ 5 min Detec?on ¡ 1 hour Script ¡1: ¡ (clients/servers) ¡ 1 day -­‑ ¡Generates ¡bidirec?onal ¡ flows ¡ ¡ -­‑ ¡Iden?fy ¡end ¡points ¡using ¡ Bidirec?onal ¡ Bayesian ¡inference ¡ flows ¡ Unidirec?onal ¡ flows ¡

  11. Genera?ng ¡Bidirec?onal ¡Flows ¡ Request flow(s) 10.0.2.3:45678 ¡ 192.168.0.1:80 ¡ Reply flow(s) Heuris?cs ¡+ ¡ ¡ Bayesian ¡Inference ¡ Client : ¡10.0.2.3 ¡towards ¡port ¡80 ¡ Server : ¡192.168.0.1 ¡on ¡port ¡80 ¡ July 22, 2008

  12. Heuris?cs ¡ Heuristic ID Features and Formula Used Output Values Timing: Timestamp of request < Heuristic 0 [0, …] Timestamp of reply Port numbers: Heuristic 1 Src port > Dst port {0, 0.5, 1} Heuristic 2 Src port > 1024 > Dst port {0, 0.5, 1} Heuristic 3 Port in /etc/services {0, 0.5, 1} Fan in/out relationships: Heuristic 4 # ports related [0, …] Heuristic 5 # IP related [0, …] Heuristic 6 # Tuples related [0, …]

  13. Bayesian ¡Inference ¡

  14. Heuris?c ¡Evalua?on ¡ Distribution accuracy of heuristic 0: (Timestamp of request < Timestamp of reply) July 22, 2008

  15. Heuris?c ¡Evalua?on ¡(cont.) ¡ • Comparison ¡against ¡Argus ¡(packet-­‑based ¡ bidirec?onal ¡flow ¡generator) ¡ • 30min ¡dataset ¡collected ¡at ¡the ¡Univ. ¡of ¡Maryland ¡ ¡ (40,000+ ¡nodes, ¡3.6 ¡million ¡of ¡bidirec?onal ¡flows) ¡ • Results: ¡ Heuristic Able to decide Accuracy H.0 11.49% 94.54% H.1 63,98% 85.54% H.2 48.14% 98.15% H.3 47.73% 98.17% H.4 63.28% 93.72% H.5 55.51% 88.76% H.6 63.38% 92.58%

  16. Security ¡Monitoring ¡ Bidirec?onal ¡ flows ¡ Script ¡2: ¡ -­‑ ¡Generates ¡IDS ¡alerts ¡ Intrusion ¡ using ¡graphlet-­‑based ¡ Detec?on ¡Alerts ¡ signatures ¡of ¡aVacks ¡

  17. Security ¡Monitoring ¡(cont.) ¡ ¡Graphlet ¡structure ¡[1] ¡(for ¡both ¡source ¡and ¡des?na?on): ¡ – IP ¡address ¡ • Protocol ¡ – Peer: ¡ ¡ ¡ the ¡set ¡of ¡disHnct ¡related ¡IP ¡addresses ¡ – Port: ¡ ¡ ¡ the ¡set ¡of ¡disHnct ¡related ¡desHnaHon ¡or ¡source ¡ports ¡ – TCP ¡flag: ¡ ¡ the ¡set ¡of ¡disHnct ¡flag ¡combinaHons ¡used ¡ – Packet: ¡ ¡ ¡ the ¡total ¡number ¡of ¡packets ¡sent ¡or ¡received ¡ – Byte: ¡ ¡ ¡the ¡total ¡number ¡of ¡bytes ¡sent ¡or ¡received ¡ – Flows: ¡ ¡ the ¡total ¡number ¡of ¡bidirecHonal ¡flows ¡sent ¡or ¡received ¡ – Failed ¡connec?ons: ¡the ¡total ¡number ¡of ¡unidirecHonal ¡flows ¡sent ¡or ¡received ¡ – Last ¡source ¡end ¡point: ¡ the ¡source ¡port, ¡IP ¡address ¡and ¡TCP ¡flag ¡of ¡the ¡last ¡flow ¡ ¡ ¡ ¡ ¡captured ¡ – Last ¡des?na?on ¡end ¡point: ¡the ¡desHnaHon ¡port, ¡IP ¡address ¡and ¡TCP ¡flag ¡of ¡the ¡last ¡ ¡ ¡ ¡flow ¡captured ¡ [1] KARAGIANNIS, T., PAPAGIANNAKI, K., AND FALOUTSOS, M. BLINC: multilevel traffic classification in the dark. In Proc. ACM SIGCOMM Conference (2005), pp. 229–240.

  18. Security ¡Monitoring ¡(cont.) ¡ Current set of signatures:

  19. Intrusion ¡Detec?on ¡Evalua?on ¡ • Example ¡of ¡e-­‑mail ¡valida?on: ¡ 192.168.1.2 [One-to-many IP] � IP contacting more than 200 distinct targets in less than 5min � * Heuristic: 201 � * First detected on: 2010-08-10 14:05:00 � * Last detected on: 2010-08-10 16:55:00 � * Number of occurrences: 52,908 � * Total flows: 52,908 � * Unanswered flow requests: 52,908 (100\%) � * Packets: 89,918 * Bytes: 4,316,160 � * Average number of related host every 5min: 4,580 � * Average number of related port every 5min: 2 � * Last source port: 3317 (2,339 distinct port(s) used every 5min) � * Last related tuple: 192.168.26.198 TCP/445 � * Last flag value (if TCP): 2 � To visualize related Nfsight data: https://nfsight/index.php?net=192.168.1.2&time=201008101655 � --------------------------------- � Please rate this alert by clicking on one of the following links: � [+] True Positive: https://nfsight/email_validation.php?q=156505&r=1&auth=r25kfGVk � [-] False Positive: https://nfsight/email_validation.php?q=156505&r=-1&auth=r25kfGVk � [?] Inconclusive: https://nfsight/email_validation.php?q=156505&r=0&auth=r25kfGVk � --------------------------------- �

  20. Intrusion ¡Detec?on ¡Evalua?on ¡(cont.) ¡ • Results ¡aner ¡4 ¡months ¡of ¡deployment: ¡

  21. Front-­‑end ¡ July 22, 2008

  22. Front-­‑end ¡

  23. Front-­‑end ¡(cont.) ¡ Filter ¡and ¡Selec;on ¡Form ¡ IP, ¡Proto, ¡Port ¡ Metrics ¡ Network ¡Ac;vity ¡(Timeseries ¡+ ¡Heatmap) ¡

  24. Details ¡on ¡Demand ¡

  25. Demo ¡/ ¡Use ¡Cases ¡ July 22, 2008

  26. Use ¡Cases ¡Example: ¡Effect ¡of ¡Power ¡Outage ¡

  27. Use ¡Cases ¡Example: ¡Scanning ¡Ac?vity ¡

  28. Use ¡Cases ¡Example: ¡Top ¡20 ¡Scanned ¡Services ¡

  29. Use ¡Cases ¡Example: ¡Worm ¡Outbreak ¡

  30. Use ¡Cases ¡Example: ¡Distributed ¡AVacks ¡

  31. Future ¡Work ¡ • Improve ¡aVack ¡signatures ¡ • Strengthen ¡Bayesian ¡inference ¡to ¡work ¡in ¡ different ¡condi?ons: ¡ – Sampling ¡ – Asymmetric ¡rou?ng ¡ • Create ¡heuris?cs ¡to ¡detect ¡type ¡of ¡service ¡ • Output ¡bidirec?onal ¡flows ¡using ¡IPFIX ¡(RFC5103)� ¡

  32. hVp://nfsight.research.aV.com ¡ Contact: ¡rgb@illinois.edu ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

DOCSIS-PIE dra--white-aqm-docsis-pie-00 Greg

DOCSIS-PIE dra--white-aqm-docsis-pie-00 Greg

DOCSIS-PIE dra--white-aqm-docsis-pie-00 Greg White, CableLabs IETF89 - ICCRG DOCSIS 3.0 SpecificaIons published in 2006 Widely

218 views • 18 slides
3 2 1 Resource dep. 0 0.5 1 2 3 (b) (c) With bad institutions With good

3 2 1 Resource dep. 0 0.5 1 2 3 (b) (c) With bad institutions With good

(a) All resource rich countries GDP growth in % 5 4 3 2 1 Resource dep. 0 0.5 1 2 3 (b) (c) With bad institutions With good institutions 5 5 12 15 4 4 1 17 18 3 3 20 12 16 18 21 15 7 21 2 2 9 2 6 10

694 views • 6 slides
Decadal trends in observed analytical uncertainties for a long series of IMPROVE elemental data

Decadal trends in observed analytical uncertainties for a long series of IMPROVE elemental data

Decadal trends in observed analytical uncertainties for a long series of IMPROVE elemental data Krystyna Trzepla-Nabaglo and Warren White Work supported by United States National Park May 2011 Service Contract C2350-04-0050 to UC Davis

494 views • 16 slides
A Variable-Neighbourhood Search Algorithm for Finding Optimal Run Orders of Experimental Designs

A Variable-Neighbourhood Search Algorithm for Finding Optimal Run Orders of Experimental Designs

8th Model-Oriented Design and Analysis workshop A Variable-Neighbourhood Search Algorithm for Finding Optimal Run Orders of Experimental Designs in the Presence of Serial Correlation JJ. Garroi, , P. Goos and K. Srensen, , Universiteit

974 views • 46 slides
Patient Fin inancial Services Report June 2020 Angela McLain-Johnson, MA, RHIA Chief

Patient Fin inancial Services Report June 2020 Angela McLain-Johnson, MA, RHIA Chief

Patient Fin inancial Services Report June 2020 Angela McLain-Johnson, MA, RHIA Chief Compliance/Revenue Officer To serve our communities pre hospital needs through value driven, compassionate, and clinically superior care.

241 views • 12 slides
Lecture 11: Multi-layer Perceptron Forward Pass Backpropagation Aykut Erdem November

Lecture 11: Multi-layer Perceptron Forward Pass Backpropagation Aykut Erdem November

Lecture 11: Multi-layer Perceptron Forward Pass Backpropagation Aykut Erdem November 2017 Hacettepe University Administrative Assignment 3 is out! It is due November 24, 2017 You will implement backpropagation to train

630 views • 62 slides
Understanding the impact of Covid-19 in Tower Hamlets a summary 1. Mortality &amp; physical

Understanding the impact of Covid-19 in Tower Hamlets a summary 1. Mortality &amp; physical

Understanding the impact of Covid-19 in Tower Hamlets a summary 1. Mortality &amp; physical health 9. Domestic abuse 2. Mental health 10. Crime &amp; ASB 3. Social care 11. Substance misuse 4. Deprivation &amp; employment 12. Education

278 views • 11 slides
6. Duality Estimating LP bounds LP duality Simple example Sensitivity and shadow

6. Duality Estimating LP bounds LP duality Simple example Sensitivity and shadow

CS/ECE/ISyE 524 Introduction to Optimization Spring 201718 6. Duality Estimating LP bounds LP duality Simple example Sensitivity and shadow prices Complementary slackness Another simple example Laurent Lessard

763 views • 28 slides
MA162: Finite mathematics . Jack Schmidt University of Kentucky February 25, 2013 Schedule:

MA162: Finite mathematics . Jack Schmidt University of Kentucky February 25, 2013 Schedule:

. MA162: Finite mathematics . Jack Schmidt University of Kentucky February 25, 2013 Schedule: HW 3.1-3.3, 4.1 (Late) HW 2.5-2.6 due Friday, Mar 01, 2013 Exam 2, Monday, Mar 04, 2013, from 5pm to 7pm HW 5.1 due Friday, Mar 08, 2013 Spring

458 views • 16 slides
Portfolio optimisation with small transaction costs an engineers approach Jan Kallsen

Portfolio optimisation with small transaction costs an engineers approach Jan Kallsen

Portfolio optimisation with small transaction costs an engineers approach Jan Kallsen based on joint work with Johannes Muhle-Karbe and Paul Krhner New York, June 5, 2012 dedicated to Ioannis Karatzas 1 / 26 Outline Introduction 1

814 views • 26 slides
More on Duality Marco Chiarandini Department of Mathematics &amp; Computer Science University of

More on Duality Marco Chiarandini Department of Mathematics &amp; Computer Science University of

DM545/DM871 Linear and Integer Programming Lecture 6 More on Duality Marco Chiarandini Department of Mathematics &amp; Computer Science University of Southern Denmark Derivation Dual Simplex Outline Sensitivity Analysis 1. Derivation

920 views • 57 slides
The Internet is Computer Science So HUGE that no one really knows how big But,

The Internet is Computer Science So HUGE that no one really knows how big But,

12/11/12 Dynamics of Network Resource Management Ibrahim Matta Computer Science Department Boston University Computer Science The Internet is Computer Science So HUGE that no one really knows how big But, rough estimates:

395 views • 21 slides
Cross-Monotonic Multicast Zongpeng Li Department of Computer Science University of Calgary

Cross-Monotonic Multicast Zongpeng Li Department of Computer Science University of Calgary

Cross-Monotonic Multicast Zongpeng Li Department of Computer Science University of Calgary April 17, 2008 1 Multicast Multicast models one-to-many data dissemination in a computer network Example: live Video Streaming on the Internet

627 views • 24 slides
Railway Slot Auctioning Ralf Borndrfer joint work with Martin Grtschel Thomas Schlechte

Railway Slot Auctioning Ralf Borndrfer joint work with Martin Grtschel Thomas Schlechte

Railway Slot Auctioning Ralf Borndrfer joint work with Martin Grtschel Thomas Schlechte Arrival/ M ATHEON Fall School on Timetabling and Line Planning Dabendorf, 29. September 2006 DFG Research Center M ATHEON Mathematics for Key

541 views • 52 slides
Update on Cold Electronics Test Stand Interfaces 20170109- Cold Electronics Meeting - B. Kirby 1

Update on Cold Electronics Test Stand Interfaces 20170109- Cold Electronics Meeting - B. Kirby 1

Update on Cold Electronics Test Stand Interfaces 20170109- Cold Electronics Meeting - B. Kirby 1 Overview Reminder: UDP-based readout for cold electronic test stands and upcoming production electronic tests Recent progress

269 views • 10 slides
Anatomy of an Early Social Networking Site Alan Dix,

Anatomy of an Early Social Networking Site Alan Dix,

9/22/11 Anatomy of an Early Social Networking Site Alan Dix, Russell Beale, Nadeem Shabir, JusDn Leavesley Talis, Lancaster Uni., Birmingham Uni.

759 views • 7 slides
NCHIMA 66 th Annual Meeting Tips for Entering the Workforce for the New Graduate Mary Beth

NCHIMA 66 th Annual Meeting Tips for Entering the Workforce for the New Graduate Mary Beth

NCHIMA 66 th Annual Meeting Tips for Entering the Workforce for the New Graduate Mary Beth Ledbetter Director, Human Resources Development Career Readiness Certification WIOA Youth McDowell Technical Community College maryl@mcdowelltech.edu

589 views • 17 slides
Algorithmic Coalitional Game Theory Lecture 4: Shapley value Oskar Skibski University of Warsaw

Algorithmic Coalitional Game Theory Lecture 4: Shapley value Oskar Skibski University of Warsaw

Algorithmic Coalitional Game Theory Lecture 4: Shapley value Oskar Skibski University of Warsaw 17.03.2019 Payoff Division Payoff Division Assume all players in game !, # cooperate. Define a payoff vector $ ' . In other words: how to

516 views • 20 slides
Agent-Based Systems Discussed procedures for making group decisions Simple mechanisms:

Agent-Based Systems Discussed procedures for making group decisions Simple mechanisms:

Agent-Based Systems Agent-Based Systems Where are we? Agent-Based Systems Discussed procedures for making group decisions Simple mechanisms: plurality, sequential majority Advanced mechanisms: Borda Count, Slater Ranking Michael

559 views • 4 slides
Machine Learning Lecture 09: Explainable AI (II) Nevin L. Zhang Department of Computer Science

Machine Learning Lecture 09: Explainable AI (II) Nevin L. Zhang Department of Computer Science

Machine Learning Lecture 09: Explainable AI (II) Nevin L. Zhang Department of Computer Science and Engineering The Hong Kong University of Science and Technology This set of notes is based on internet resources and references listed at the

806 views • 68 slides
Game-Theoretic Network Centrality Tomasz P. Michalak Department of Computer Science, University

Game-Theoretic Network Centrality Tomasz P. Michalak Department of Computer Science, University

Game-Theoretic Network Centrality Tomasz P. Michalak Department of Computer Science, University of Oxford Institute of Informatics, University of Warsaw Plan of the Talk 1. Introduction to the Shapley value &amp; its computation 2. The

633 views • 61 slides
Coalitional Game Theory Game Theory MohammadAmin Fazli Algorithmic Game Theory 1 TOC

Coalitional Game Theory Game Theory MohammadAmin Fazli Algorithmic Game Theory 1 TOC

Coalitional Game Theory Game Theory MohammadAmin Fazli Algorithmic Game Theory 1 TOC Coalitional Games Fair Division and Shapley Value Stable Division and the Core Concept -Core, Least core &amp; Nucleolus Reading:

422 views • 24 slides
Coalition Formation Jos e M Vidal Department of Computer Science and Engineering University of

Coalition Formation Jos e M Vidal Department of Computer Science and Engineering University of

Coalition Formation Coalition Formation Jos e M Vidal Department of Computer Science and Engineering University of South Carolina September 29, 2005 Abstract We present the coalition formation problem and some solutions (Sandholm et al.,

691 views • 25 slides
Incentivizing Peer-Assisted Services a Fluid Shapley Value Approach V. Misra, Columbia University

Incentivizing Peer-Assisted Services a Fluid Shapley Value Approach V. Misra, Columbia University

Incentivizing Peer-Assisted Services a Fluid Shapley Value Approach V. Misra, Columbia University S. Ioannidis, L. Massouli, Technicolor A. Chaintreau Wednesday, June 23 th , talk @ Dauphine Structure of this talk Motivation Requirements

363 views • 23 slides

More recommend