Honeypot System: An Intrusion Detection System

The following paper points in the direction of extending and effectively utilizing the honeypot technology for developing an IDS module that will use the PID track technique and will have the capability of detecting the attacker and working out a response. The whole module developed can be further extended for future use and at the same time it will ensure that the intrusion detection is carried out in the fastest possible time

Threat analysis of IoT networks using artificial neural network intrusion detection system

The Internet of things (IoT) network is still in its infancy and has attracted much interest in many industrial sectors including medical fields, logistics tracking, smart cities and automobiles. However as a paradigm, it is susceptible to a range of significant intrusion threats. This paper presents a threat analysis of the IoT and uses an Artificial Neural Network (ANN) to combat these threats. A multi-level perceptron, a type of supervised ANN, is trained using an IoT Data set, then is assessed on its ability to thwart Distributed Denial of Service (DDoS/DoS) attacks. This paper focuses on the classification of normal and threat patterns on an IoT Network. The ANN procedure is validated against a simulated IoT network. The experimental results demonstrate 99.4% accuracy and can successfully detect various DDoS/DoS attacks

Network Security in Organizations using Intrusion Detection System based on Honeypots

The role of the Internet is increasing and many technical, commercial and business transactions are conducted by a multitude of users that use a set of specialized / sophisticated network applications. Today we face threats of the network which cause enormous damage to the community day by day to the Internet. In this context, the task of network monitoring and surveillance is of utmost relevance and honeypots are promising tools for information and understanding of "areas of interest" of the attackers, and the possible relationship between blackhat teams. In this situation, people are increasingly trying to prevent their network security using traditional mechanisms, including firewalls, Intrusion Detection System, etc. Among them honeypot is a versatile tool for a practitioner security, of course, they are tools that are intended to be attacked or interacted with other information about the attackers, their motives and tools. In this paper, we describe a comparative analysis of various IDS and their usefulness on various aspects. Two major categories of HoneyPot viz. low interaction honeypot and high-interaction honeypot have also been discussed in detail. In this paper, low-interaction honeypot is used as a traffic filter. Activities such as port scanning can be effectively detected by the weak interaction honeypot and stop there. Traffic that cannot be processed by the weak interaction honeypot is delivered over high-interaction honeypot. In this case, the weak interaction honeypot is used as a proxy for high-interaction honeypot then offer optimal realism

Analyzing pattern matching algorithms applied on snort intrusion detection system

Currently, intrusion detection system has become widely used as a network perimeter security. The used of IDS to prevent the extremely sophisticated attacks in most of our industries, governmental organization and educational institutions .However ,Intrusion detection system can be either host-based or network based intrusion detection system, in a host-base intrusion it monitors the host where its configured while the network-based IDS it monitors both inbound and outbound traffic network. Furthermore, signature based or anomaly based detection techniques are used to detect malicious packets or attack in both network and host-based intrusion detection systems. Therefore, the challenges faced by most of the signature based detection systems like Snort tool is incapability to detect malicious traffic at higher traffic network, which resulted in a packet drooping and subjected the network where this signature based system is configured as a network perimeter security. The challenges resulted as a result of inefficiency of the pattern matching algorithms to efficiently perform pattern matching. Moreover, this project research work aim to compare the current Boyer-Moore pattern matching algorithm applied by the snort IDS with the Quick Search pattern matching algorithm in order to evaluate their performance and recommend for the implementation of the new pattern matching algorithm that will enhance snort detection performance

Мониторинг и анализ поведения пользователей компьютерных систем

Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе.Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе

МОНИТОРИНГ И АНАЛИЗ ПОВЕДЕНИЯ ПОЛЬЗОВАТЕЛЕЙ КОМПЬЮТЕРНЫХ СИСТЕМ

Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе.\ud \ud Рассматриваются вопросы построения эффективных программных систем защиты от внутренних вторжений, основанных на несигнатурных методах и обладающих свойствами автономности, адаптируемости и самообучаемости. Отдельно рассмотрены проблемы консолидации исходных данных из журналов регистрации и протоколов OC, методы промежуточного представления, передачи данных и хранения собранных данных. Предложена архитектура системы консолидации и рабочего места аналитика безопасности. Предложены методы применения технологии OLAP для анализа собранных данных об активности пользователей, а также алгоритмы интеллектуального анализа данных (Data Mining) для построения модели поведения пользователя на основе ассоциативных правил. Построенная модель поведения может быть использована для визуального представления аналитику безопасности в виде сети зависимостей, а также для автоматического поиска аномалий в поведении пользователей и оценки степени потенциальной угрозы, исходящего от каждого пользователя. Реализована экспериментальная пилотная версия такой системы, которая была верифицирована по методике DARPA Intrusion Detection Evaluation Program, с использованием эталонных наборов данных. Результаты экспериментальной верификации приведены в работе.\u

Multi-Agent Systems for Dynamic Forensic Investigation

In recent years Multi-Agent Systems have proven to be a useful paradigm for areas where inconsistency and uncertainty are the norm. Network security environments suffer from these problems and could benefit from a Multi-Agent model for dynamic forensic investigations. Building upon previous solutions that lack the necessary levels of scalability and autonomy, we present a decentralised model for collecting and analysing network security data to attain higher levels of accuracy and efficiency. The main contributions of the paper are: (i) a Multi-Agent model for the dynamic organisation of agents participating in forensic investigations; (ii) an agent architecture endowed with mechanisms for collecting and analysing network data; (iii) a protocol for allowing agents to coordinate and make collective decisions on the maliciousness of suspicious activity; and (iv) a simulator tool to test the proposed decentralised model, agents and communication protocol under a wide range of circumstances and scenarios