Flow-based Intrusion Detection in Large and High-Speed Networks – Mgr. Jan Vykopal, Ph.D.

Abstract:

Běžně používané systémy síťové detekce průniků hledají v obsahu paketů známé řetězce a vzory (signatury). To s sebou přináší několik nevýhod: (i) hledání signatur je ve vysokorychlostních sítích výpočetně náročná úloha, (ii) systémy generují vysoké množství falešných poplachů a (iii) vyhodnocení šifrovaného provozu je velmi omezené. Jiný přístup představuje detekce průniků využívající statistické informace o IP tocích (NetFlow data). Tento typ detekce využívá agregovaný pohled na síťový provoz, který snižuje množství zpracovávaných dat. Dále typicky nepracuje s obsahem paketů, ale pouze s daty, které se vyskytují v hlavičkách protokolů. Sběr a ukládání informací o síťových tocích jsou již uspokojivě zvládnuté oblasti celého systému detekce průniků na základě toků. Analýza těchto dat je však stále v začátcích. Proto je tato práce zaměřena návrh a implementaci nových detekčních metod, zejména na detekci slovníkových útoků ve velkých a vysokorychlostních sítích. Slovníkové útoky jsou dnes jedním z nejčastějších typů útoků na síťové služby, jejichž cílem je prolomit autentizaci na základě hesla postupným zkoušením dvojic uživatelských jmen a hesel. Útočník vychází z předpokladu, že uživatelé často volí hesla jako snadno zapamatovatelná slova. Nejčastěji se pro detekci a prevenci těchto útoků používají aplikace, které provádějí analýzu žurnálů (logů) s cílem najít opakované pokusy o přihlášení. V posledních letech pozorujeme přibývající počet distribuovaných útoků, které však tyto aplikace dokáží detekovat jen stěží. Hlavním cílem práce je vytvořit metodu síťové detekce slovníkových útoků včetně rozpoznání úspěšnosti útoku. V současností nám není známo, že by taková metoda existovala. Přitom výhodou síťové detekce je dobrá škálovatelnost a transparentnost pro uživatele (na rozdíl od detekce na úrovni hostitele). Navíc v rozsáhlých sítích bez přímého přístupu k jednotlivým strojům to je jediný způsob detekce průniků. Dalším cílem je adaptace již existujících metod síťové detekce tak, aby zpracovávaly síťové toky a tedy byly funkční i ve vysokorychlostních sítích. V neposlední řadě bude taktéž studována korelace výstupu detekčních metod a dalších zdrojů o probíhajících útocích s cílem snížit počet falešných poplachů. …moreless

Abstract:

Traditional network intrusion detection systems (NIDS) inspect packet payload for known signatures of attacks. This approach suffers from the following limitations: (i) it is not feasible in high-speed (multigigabit) networks, (ii) a high rate of false positives that overwhelm security operators and (iii) an inability to process encrypted traffic. In contrast, flow-based intrusion detection (network behaviour analysis) relies on information and statistics of network flows (NetFlow data). Network flows provides an aggregated view of network traffic, which significantly reduces the amount of data that need to be processed by detection methods. A flow acquisition and storage, two essential parts of flow-based intrusion detection, are satisfactorily addressed by various researches. But a flow data analysis is still in the early phase. Hence, the thesis will be focused on design and prototyping new methods of flow-based intrusion detection, especially on a dictionary attack detection in large and high-speed networks. Dictionary attacks against weak passwords is a serious security threat that is often omitted by vendors and developers of many existing applications. At present, a typical detection and prevention of this kind of attack is done in the login process of the given application, if at all. Although network-based detection is capable to capture even distributed attacks, we are not aware of any network-based detection mechanism that addresses this type of attack. Next, we will adapt some existing algorithms of NIDS that process whole packets to the flow-based approach. As a result, these methods will be able to process traffic in high-speed networks without any loss. We will also study correlation with other detection methods and data sources about ongoing attacks. It appears as a promising way to lower false positives of various detection methods. …moreless