Large Scale Enrichment and Statistical Cyber Characterization of Network Traffic
Author
Kawaminami, IvanEstrada, Arminda
Elsakkary, Youssef
Jananthan, Hayden
Buluc, Aydin
Davis, Tim
Grant, Daniel
Jones, Michael
Meiners, Chad
Morris, Andrew
Pisharody, Sandeep
Kepner, Jeremy
Affiliation
University of ArizonaIssue Date
2022-09-19Keywords
Big DataCybersecurity
Dimensional Analysis
High Performing Computing
Internet Modeling
Networks Scanning
Packet Capture
Streaming Graphs
Ciberseguridad
Computación de alto rendimiento
Big Data
Escaneo de redes
Análisis dimensional
Modelado de Internet
Captura de paquetes
Gráficos de transmisión
Metadata
Show full item recordPublisher
IEEECitation
Kawaminami, I., Estrada, A., Elsakkary, Y., Jananthan, H., Buluc, A., Davis, T., Grant, D., Jones, M., Meiners, C., Morris, A., Pisharody, S., & Kepner, J. (2022). Large Scale Enrichment and Statistical Cyber Characterization of Network Traffic. 2022 IEEE High Performance Extreme Computing Conference, HPEC 2022.Rights
©2022 IEEE.Collection Information
This item from the UA Faculty Publications collection is made available by the University of Arizona with support from the University of Arizona Libraries. If you have questions, please contact us at repository@u.library.arizona.edu.Abstract
Modern network sensors continuously produce enormous quantities of raw data that are beyond the capacity of human analysts. Cross-correlation of network sensors increases this challenge by enriching every network event with additional metadata. These large volumes of enriched network data present opportunities to statistically characterize network traffic and quickly answer a key question: 'What are the primary cyber characteristics of my network data?' The Python GraphBLAS and PyD4M analysis frameworks enable anonymized statistical analysis to be performed quickly and efficiently on very large network data sets. This approach is tested using billions of anonymized network data samples from the largest Internet observatory (CAIDA Telescope) and tens of millions of anonymized records from the largest commercially available background enrichment capability (GreyNoise). The analysis confirms that most of the enriched variables follow expected heavy-tail distributions and that a large fraction of the network traffic is due to a small number of cyber activities. This information can simplify the cyber analysts' task by enabling prioritization of cyber activities based on statistical prevalence. Los sensores de red modernos producen enormes cantidades de datos sin procesar que están más allá de la capacidad del análisis humano. Una correlación cruzada de sensores de red se convierte en un desafío al enriquecer cada evento de red con metadatos adicionales. Estos grandes volúmenes de datos de red enriquecidos presentan una oportunidad para caracterizar estadísticamente el tráfico de red y responder a la pregunta: "¿Cuáles son las principales características cibernéticas de mis datos de red?" Los esquemas de análisis de Python GraphBLAS y D4M permiten realizar análisis estadísticos anónimos, rápidos y eficientes en conjuntos grandes de datos de red. Este enfoque se prueba utilizando miles de millones de muestras de datos de red anónimos del observatorio de Internet más grande (Telescopio CAIDA) y decenas de millones de registros anónimos del fondo comercial con la mayor capacidad de enriquecimiento (GreyNoise). El análisis confirma que la mayoría de las variables enriquecidas siguen las distribuciones de cola pesada y que una gran fracción del tráfico de red se debe a una pequeña cantidad de actividades cibernéticas. Esta información puede simplificar la tarea de los analistas cibernéticos al permitir la priorización de las actividades cibernéticas en función de la prevalencia estadística.Note
Immediate accessVersion
Final accepted manuscriptSponsors
National Science Foundationae974a485f413a2113503eed53cd6c53
10.1109/hpec55821.2022.9926397