Early Detection and mitigation of multi-stage network attacks – Mgr. Martin Husák

Abstract:

V oblasti monitorování počítačových sítí existuje celá řada metod detekce útoků v síti, které ovšem ve větší míře detekují až samotný pokus o průnik do systému. Vzhledem ke zpoždění danému zpracováním a vyhodnocením naměřených dat se často stává, že útok je detekován a ohlášen až poté, co útočník dokončil průnik systému a stihl způsobit škodu. Mnoho útoků však spojuje to, že útočník nejprve vyhledává vhodné cíle (provádí průzkum sítě) a posléze na vybrané cíle útočí. Pokud bychom byli schopni detekovat útok již ve fázi přípravy, mohli bychom nastavit příslušná bezpečnostní opatření ještě dříve, než dojde k samotnému průniku, a přispět tak k větší bezpečnosti sítě. Primárně nás zajímá prostředí větších sítí, ve kterých je obtížné zabezpečit všechny koncové stroje a podrobně monitorovat provoz v síti. Cílem práce je zmapovat aktuálně používané metody průzkumu sítě a navrhnout metody jejich detekce, navrhnout metody predikce průniku do systému na základě detekovaných udá- lostí a ověřit účinnost navržených metod v simulovaném i reálném prostředí. Metody prů- zkumu sítě budou identifikovány na základě pozorování síťových pastí (honeypotů) a jejich síťového provozu. Síťový provoz bude měřen pomocí síťových toků, na stejném principu budou navrženy i detekční metody. V rámci predikce budou vytvořeny modely útoků v síti obsa- hující jak průzkum sítě, tak samotný útok. Na základě rozpoznání prvních kroků útočníka bude idetifikován postup útočníka a odhadnuty sekvence jeho dalších kroků. Vyhodnocení účinnosti predikce útoku bude provedeno přesměrováním podezřelého síťového provozu na síťovou past, kde bude případný útok analyzován, aniž by ohrozil reálné systémy v síti. Díky včasné detekci a predikci průniku bude možné zareagovat na útok dříve, než dojde k průniku do systému. …moreless

Abstract:

There are numerous attack detection methods based on network monitoring. The problem is that these methods in most cases detect an intrusion attempt. Due delays in network traffic processing and time spent on analysis, an attack is often detected when an adversary completed the intrusion and caused harm to the network. However, many attacks have in common that the adversary first search for targets (performs the network reconnaissance) and then intrudes the selected ones. If there was a methods of attack detection in the preparation phase, e.g., the network reconnaissance, an appropriate countermeasure could be accomplished before an intrusion. The scope of this work is an environment of large networks, in which it is hard to secure all the hosts and where the possibilities of detailed network traffic inspection are limited. The goal of this work is to make a survey of network reconnaissance methods used in live network, propose methods of their detection, predict an upcoming intrusion based on detected events, and to evaluate accuracy of the prediction in simulated and live environment. Network reconnaissance methods will be identified in a captured network traffic of honeypots. Network flows monitoring will be used to observe the network traffic. The detection methods will process the network flows records. Attack models representing stages of an attack from network reconnaissance to intrusion will be created as a basis for prediction. If a sequence of events that fits the initial stages of an attack is detected, the next moves of an adversary can be esatimated. The evaluation of the prediction accuracy will be based on redirection of the suspicious network traffic to a honeypot. The attack can be evaluated at a honeypots, while the real hosts in the network remain safe. Thanks to early detection and prediction, we can react to an attack before an attacker proceeds to an intrusion. …moreless