Efficient Network Monitoring for Attack Detection [Elektronische Ressource] = Effizientes Netzwerkmonitoring für Angriffserkennung / Tobias Limmer. Betreuer: Falko Dressler

De
E h u – Nu–º™§ŽM™ –™§†•€™§A––Zh Du–uh– •E zientesNetzwerkmonitoringfürAngri serkennungDerTechnischenFakultätderUniversitätErlangen-NürnbergzurErlangungdesGradesDOKTOR-INGENIEURvorgelegtvonTobiasLimmerErlangen-óþÕÕAlsDissertationgenehmigtvonderTechnischenFakultätderUniversitätErlangen-NürnbergTagderEinreichung: .AprilóþÕÕTagderPromotion: ó .JunióþÕÕDekan: Prof.Dr.-Ing.ReinhardGerman . Berichterstatter: Univ.-Prof.Dr.-Ing.FalkoDressler . Berichterstatter: Prof.Dr.-Ing.FelixFreilingAbstractTechniquesfornetwork-basedintrusiondetectionhavebeenevolvingforyears,andthefocusofmostresearchisondetectionalgorithms,althoughnetworksaredistributedanddynamicallymanagednowadays. Adataprocessingframeworkisrequiredthatallowstoembedmultipledetectiontechniquesandtoprovidedatawiththeneededaggregationlevels. Withinthatframework, thisworkconcentratesonmethodsthatimprovetheinteroperabilityofintrusiondetectiontechniquesandfocusesondatapreprocessingstagesthatperformdataevaluationandintelligentdataltering.AŸerpresentingasurveyofthechainofprocessesneededfornetwork-basedintrusiondetection,IdiscusstheevaluationofTCPconnectionstatesbasedonaggregated owdata. Idevelopclassi ersthatinterpret owdatainregardoffailedandsuccessfulcon-nections.eseclassi ersareespeciallyrelevantforanomaly-basedintrusiondetectiontechniqueslikeportscanormalwaredetection,andenablemanyofthesetechniquestooperateon ow-leveldatainsteadofpacket-leveldata.
Publié le : samedi 1 janvier 2011
Lecture(s) : 15
Tags :
Source : D-NB.INFO/1015474462/34
Nombre de pages : 164
Voir plus Voir moins

E h u – Nu–º?§?M? –?§???
??§A––Zh Du–uh– ?
E zientesNetzwerkmonitoring
fürAngri serkennung
DerTechnischenFakultätder
UniversitätErlangen-Nürnberg
zurErlangungdesGrades
DOKTOR-INGENIEUR
vorgelegtvon
TobiasLimmer
Erlangen-????AlsDissertationgenehmigtvon
derTechnischenFakultätder
UniversitätErlangen-Nürnberg
TagderEinreichung: .April????
TagderPromotion: ? .Juni????
Dekan: Prof.Dr.-Ing.ReinhardGerman
. Berichterstatter: Univ.-Prof.Dr.-Ing.FalkoDressler
. Berichterstatter: Prof.Dr.-Ing.FelixFreilingAbstract
Techniquesfornetwork-basedintrusiondetectionhavebeenevolvingforyears,andthe
focusofmostresearchisondetectionalgorithms,althoughnetworksaredistributedand
dynamicallymanagednowadays. Adataprocessingframeworkisrequiredthatallowsto
embedmultipledetectiontechniquesandtoprovidedatawiththeneededaggregation
levels. Withinthatframework, thisworkconcentratesonmethodsthatimprovethe
interoperabilityofintrusiondetectiontechniquesandfocusesondatapreprocessing
stagesthatperformdataevaluationandintelligentdata?ltering.
A?erpresentingasurveyofthechainofprocessesneededfornetwork-basedintrusion
detection,IdiscusstheevaluationofTCPconnectionstatesbasedonaggregated ow
data. Idevelopclassi ersthatinterpret owdatainregardoffailedandsuccessfulcon-
nections.eseclassi ersareespeciallyrelevantforanomaly-basedintrusiondetection
techniqueslikeportscanormalwaredetection,andenablemanyofthesetechniquesto
operateon ow-leveldatainsteadofpacket-leveldata.
e second part focuses on the ?ltering of payload data for Intrusion Detection Sys-
tems(IDSs)thatusesignaturesfordetection. IperformadetailedanalysisoftheIDS
Snortthatlocatesspeci cpatternswithinconnections. isanalysisledtothe rstap-
proach,FrontPayloadAggregation(FPA),whichcapturesdatathatistransferredatthe
beginningofconnections. Unfortunately,interleavedcommunicationpatternscannot
becapturedwellusingthisaggregationtechnique.ereforeIproposeDialog-based
PayloadAggregation(DPA)inthenextpart,whichdividesbidirectionalcommunica-
tionintodialogsegments. Foreachdirectionchangeinthecommunication,acertain
amount of transferred data is kept, and the rest is dropped. is way, bulk data is
dropped using a very lightweight method that only relies on network and transport
headerinformation.e?lterachievedverygoodresultsincombinationwiththeIDS
Snort,as??? oftheoriginaleventscouldberetained,whereasonlyƒ? oftheoriginal
amountofdatawasanalyzedbytheIDS.
iiiToexploitthemulti-corearchitectureoftoday’sCPUs,IDSsareexecutedinparalleland
aloadbalancerdistributesdatatothesystems. Aspayload-basedanalysisisnotable
tocopewithcurrentnetworkspeedsevenwithparallelization,Idevelopanapproach
toperformintelligentselectionofthecapturednetworkdataandtodistributeselected
datatomultipleIDSs.eselectionalgorithmisbasedonaprioritysystemthatkeeps
trackofeachhost’smonitoredtimeandthesystemcontrolsdatalossesbymonitoring
theloadofeveryIDS.Myevaluationrevealedthatthesystemshoweduptoƒ?? better
detectionresultscomparedtoanoverloadedsystemthatdroppedthesameamountof
packetsinanuncontrolledwayduetooverload.
ivKurzfassung
EinesteigendeAnzahlanEinbrüchenundSchadanwendungenimInternetzeigt,dass
nichtalleverbundenenRechensystemeausreichenddurchSicherheitsmaßnahmenge-
schützt werden. Deswegen ist es nötig, in Netzwerken verdächtige Datenströme zu
erkennenwelcheTeileinesAngri ssindoderzuSchadanwendungengeh ören.Diese
DissertationschlägteinSystemvor,dasfürdieseAufgabeeinRahmenwerkzurDaten-
verarbeitungbereitstellt.DiesesRahmenwerkistfähig,Informationaufverschiedenen
AggregationsstufenfürdiverseErkennungstechnikenzurVerfügungzustellen.Dabei
konzentriere ich mich auf die Verbesserung der Zusammenarbeit unterschiedlicher
TechnikenderAngri serkennungundbehandlevorallemdieVorverarbeitungund
intelligenteFilterungvonDaten.
ImerstenTeilderArbeitgebeicheinenÜberblicküberdiegesamteProzessketteder
netzwerkbasiertenAngri serkennung.AnschließendwirddieAuswertungvonVerbin-
dungszuständenaufBasis owbasierterDatenbehandelt.IchentwerfeKlassi katoren,
welcheaggregierteFlowdatenhinsichtlichfehlgeschlagenerunderfolgreicherVerbin-
dungenauswerten.DieseKlassi katorensindbesondersrelevantf üranomaliebasierte
MethodenzurAngri serkennungunderlaubenes,dassvieledieserMethodennicht
nurmitHilfedetaillierterPaketdatenangewendetwerdenkönnen,sondernauchmit
aggregiertenFlowdaten.
WeiterhinwirddieVor?lterungvonPaketinhaltenfürAngri serkennungssystemein
dieser Arbeit behandelt. Ich führe eine detaillierte Analyse des Angri serkennungs-
systemsSnortdurch,welchesMustererkennungaufPaketinhaltendurchführt.Diese
AnalyseführtzumerstenAnsatz,derFrontPayloadAggregation(FPA).DieseTechnik
extrahiertDaten,diesichamAnfangvonVerbindungenbe nden.Leiderwerdenver-
schachtelteKommunikationsmusternurunzureichenddurchdieseFilterungsmethode
erfasst. Deswegen erweitere ich FPA zur Dialog-based Payload Aggregation (DPA),
welchebidirektionaleKommunikationinDialogsegmenteunterteilt.BeijedemRich-
tungswechselinderKommunikationwirddabeieinede nierteMengeanPayloaddaten
vaufgezeichnet, und der Rest wird verworfen. DPA erreichte sehr gute Ergebnisse in
KombinationmitdemAngri serkennungssystemSnort,welches ??? allervorhande-
nenEreignisseerkannte,obwohl??? deroriginalenDatenmengevonDPAausge ltert
wurden.
UmMehrkernarchitekturenvonneuenProzessorenauszunutzen,werdenmittlerweile
netzwerkbasierteAngri serkennungssystemeparallelausgef ührt,undeinLastverteiler
leitetDatenzudiesenSystemen.DaaufPaketinhaltenbasierendeErkennungssysteme
füraktuelleNetzwerkgeschwindigkeitenzulangsamarbeiten,entwerfeicheineMetho-
defürdieintelligenteAuswahlvonempfangenenNetzwerkpaketen.NureinTeilder
empfangenenPaketewirddabeizuAngri serkennungssystemenweitergeleitet,und
das System kontrolliert Datenverluste, indem Überlast in den Erkennungssystemen
vermieden wird. Für eine ausgeglichene Auswahl ist ein Prioritätsmodell im System
integriert,dasdieBeobachtungszeiteinzelnerRechnernimlokalenNetzwerkverfolgt.
DieAuswertungzeigte,dassdasSystembiszuƒ??bessereErkennungsratenhatteals
einüberlastetes System, das die gleiche Datenmenge wegen Überlast unkontrolliert
verlor.
viContents
Abstract iii
Kurzfassung v
Contents vii
? Introduction ?
. StructureofthisWork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢
? NetworkDataAnalysis ?
. NetworkTra c. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ?
. PacketCapturing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ?
. . So?wareSupport . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . HardwareSupport . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . PerformanceIssues . . . . . . . . . . . . . . . . . . . . . . . . . . ?ƒ
. FlowAggregation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . RelatedProtocols . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . Implementations . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . ExportBehaviorofFlowAggregators . . . . . . . . . . . . . . . ??
.ƒ IntrusionDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
.ƒ. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
.ƒ. Internet reats . . . . . . . . . . . . . . . . . . . . . . . . . . . . ?ƒ
.ƒ. Anomaly-basedDetection . . . . . . . . . . . . . . . . . . . . . ??
.ƒ.ƒ Signature-basedDetection . . . . . . . . . . . . . . . . . . . . . ??
.¢ LimitsofNetwork-basedIDSfromtheSecurityPerspective . . . . . . . ƒƒ
.¢. Scenario : AttackerControlsSender . . . . . . . . . . . . . . . ƒ?
.¢. Scenario : AttackerControlsbothEndpoints . . . . . . . . . . ƒ?
.¢. Scenario : AttackerControlsbothEndpointsandProxySystems ƒ?
viiC? –u –«
.¢.ƒ PlacementofMonitoringSensors . . . . . . . . . . . . . . . . . ¢?
? TCPConnectionAnalysis ¢¢
. RelatedWork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢?
. Preliminaries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢?
. . State-basedConnectionAnalysis . . . . . . . . . . . . . . . . . . ¢
. . TCPConnectionTypes . . . . . . . . . . . . . . . . . . . . . . . ¢
. . InputData . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢?
. OptimalFlowAggregationTimeouts . . . . . . . . . . . . . . . . . . . . ??
. . ActiveTimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
. . PassiveTimeout . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
.ƒ ConnectionStateAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . ??
.ƒ. FlowDirection . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
.ƒ. SimpleClassi ers . . . . . . . . . . . . . . . . . . . . . . . . . . . ?ƒ
.ƒ. CombinedClassi ers . . . . . . . . . . . . . . . . . . . . . . . . ??
.¢ Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ PayloadFiltering ??
ƒ. RelatedWork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. RuleMatchingonNetworkData. . . . . . . . . . . . . . . . . . . . . . . ?¢
ƒ. . TestSetup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ?¢
ƒ. . DuplicateEvents . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. . MatchPositionRelativetotheStartofaFlow . . . . . . . . . . ??
ƒ. .ƒ False-PositiveEvents . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. Front-PayloadAggregation(FPA) . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. . Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. . PerformanceEvaluation . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ. . Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢
ƒ.ƒ Dialog-basedPayloadAggregation(DPA) . . . . . . . . . . . . . . . . . ¢
ƒ.ƒ. Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ.ƒ. DialogAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??
ƒ.ƒ. DetectionQuality . . . . . . . . . . . . . . . . . . . . . . . . . . ???
ƒ.ƒ.ƒ PerformanceEvaluation . . . . . . . . . . . . . . . . . . . . . . . ???
ƒ.ƒ.¢ Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ??ƒ
¢ AdaptiveIDSLoadBalancing ??¢
¢. RelatedWork . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
¢. Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
¢. . SystemOverview . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
¢. . ConsiderationsandAssumptionsabouttheEnvironment . . . ???
viiiContents
¢. . SelectionProcess . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
¢. .ƒ HostAssignmentMethod . . . . . . . . . . . . . . . . . . . . . . ???
¢. .¢ DataRatePredictionforHosts . . . . . . . . . . . . . . . . . . . ???
¢. . MaximumDataRatePredictionforIDSInstances. . . . . . . . ???
¢. . DataForwardingtoIDSInstances . . . . . . . . . . . . . . . . . ???
¢. Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
¢. . IDSDetectionPerformanceinNon-optimalConditions . . . . ???
¢. . Prototype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¢
¢.ƒ Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ???
? Conclusion ???
ListofFigures ???
ListofTables ?ƒ?
Bibliography ?ƒ?
ix

Soyez le premier à déposer un commentaire !

17/1000 caractères maximum.