Large Scale Enrichment and Statistical Cyber Characterization of Network Traffic

Kawaminami, Ivan; Estrada, Arminda; Elsakkary, Youssef; Jananthan, Hayden; Buluc, Aydin; Davis, Tim; Grant, Daniel; Jones, Michael; Meiners, Chad; Morris, Andrew; Pisharody, Sandeep; Kepner, Jeremy

Name:

2022298602.pdf

Size:

1.320Mb

Format:

PDF

Description:

Final Accepted Manuscript

Download

Publisher

IEEE

Citation

Kawaminami, I., Estrada, A., Elsakkary, Y., Jananthan, H., Buluc, A., Davis, T., Grant, D., Jones, M., Meiners, C., Morris, A., Pisharody, S., & Kepner, J. (2022). Large Scale Enrichment and Statistical Cyber Characterization of Network Traffic. 2022 IEEE High Performance Extreme Computing Conference, HPEC 2022.

Journal

2022 IEEE High Performance Extreme Computing Conference, HPEC 2022

Rights

Collection Information

This item from the UA Faculty Publications collection is made available by the University of Arizona with support from the University of Arizona Libraries. If you have questions, please contact us at repository@u.library.arizona.edu.

Abstract

Modern network sensors continuously produce enormous quantities of raw data that are beyond the capacity of human analysts. Cross-correlation of network sensors increases this challenge by enriching every network event with additional metadata. These large volumes of enriched network data present opportunities to statistically characterize network traffic and quickly answer a key question: 'What are the primary cyber characteristics of my network data?' The Python GraphBLAS and PyD4M analysis frameworks enable anonymized statistical analysis to be performed quickly and efficiently on very large network data sets. This approach is tested using billions of anonymized network data samples from the largest Internet observatory (CAIDA Telescope) and tens of millions of anonymized records from the largest commercially available background enrichment capability (GreyNoise). The analysis confirms that most of the enriched variables follow expected heavy-tail distributions and that a large fraction of the network traffic is due to a small number of cyber activities. This information can simplify the cyber analysts' task by enabling prioritization of cyber activities based on statistical prevalence. Los sensores de red modernos producen enormes cantidades de datos sin procesar que están más allá de la capacidad del análisis humano. Una correlación cruzada de sensores de red se convierte en un desafío al enriquecer cada evento de red con metadatos adicionales. Estos grandes volúmenes de datos de red enriquecidos presentan una oportunidad para caracterizar estadísticamente el tráfico de red y responder a la pregunta: "¿Cuáles son las principales características cibernéticas de mis datos de red?" Los esquemas de análisis de Python GraphBLAS y D4M permiten realizar análisis estadísticos anónimos, rápidos y eficientes en conjuntos grandes de datos de red. Este enfoque se prueba utilizando miles de millones de muestras de datos de red anónimos del observatorio de Internet más grande (Telescopio CAIDA) y decenas de millones de registros anónimos del fondo comercial con la mayor capacidad de enriquecimiento (GreyNoise). El análisis confirma que la mayoría de las variables enriquecidas siguen las distribuciones de cola pesada y que una gran fracción del tráfico de red se debe a una pequeña cantidad de actividades cibernéticas. Esta información puede simplificar la tarea de los analistas cibernéticos al permitir la priorización de las actividades cibernéticas en función de la prevalencia estadística.

Note

Immediate access

DOI

10.1109/hpec55821.2022.9926397

Version

Final accepted manuscript

Collections

UA Faculty Publications