Slow Port Scanning with Bro
Abstract
ENGLISH: Today’s society relies on computer networks. More and more data of vital importance are transmitted over
them each day. Because of that, networks have become an interesting target for attackers, from ordinary
criminals to foreign organizations and states. This has forced equipment providers and network administrators
to make computer networks more robust. To this end, various countermeasures against cyber attacks
are performed. One of the most commonly used ones is application of Intrusion Detection Systems (IDS).
These systems are capable of classifying network traffic into several categories, according to the traffic features
determined in advance. The basic classification performed by them is the classification in two classes
– benign traffic and malicious traffic.
The classification methods that IDS implement are different, but classic pattern/signature matching and
statistical parametric decision making are used very often. According to the intrusion detection model,
IDS are classified into two categories: misuse detection systems and anomaly detection systems. Misuse
detection systems use a database of known attacks and report if they recognize signatures of known attacks
in the incoming traffic. Anomaly detection systems define profiles of normal host/network behavior and
report discrepancies from that.
This thesis concentrates on methods of detection of special kind of reconnaissance activity in computer
networks – so-called port scanning, which tries to determine what services are active on a target host. In
addition, the scans are considered slow – this means that the time delay between scanning two ports is
relatively long – from several minutes to several days. This kind of port scanning is in general harder to
detect by IDS. The IDS of particular interest in this context is Bro – an open-source system that detects
intrusions by semantic, highly stateful traffic analysis. This system also has advanced protocol detection
capabilities. It can be configured to be either misuse or anomaly detection system, even a combination of
both at the same time. As such, it has attracted much attention of the scientific community in the recent
years. The goal of the thesis is to develop a method for slow port scanning detection with Bro and compare
the capabilities of the new method with slow port scanning detection methods applied on other IDS,
especially in the presence of noise.
Our results shows that our modified version of scan.bro policy script, gave improved slow port scanning
detection capabilities in Bro. NORSK: Dagens samfunn har i stor grad gjort seg avhengig av datamaskiner med nettverk og Internet forbindelse.
Dette har ført til en stor økning av kriminell aktivitet mot disse datamaskinene, både fra individuelle og godt
organiserte kriminelle samt statlig støttede organisasjoner. Produsenter og administratorer av datautstyr må
hele tiden oppdatere og passe på at både fysiske enheter og programvare er tilstrekkelig rustet for å stå
imot dette stadig økende presset. Det finnes forskjellige løsninger for å kontrollere nettverkstrafikk. Den
vanligste løsningen er inntrengingsdeteksjons systemer (IDS). Disse systemene kan klassifisere datatrafikk.
Normalt klassifisere datatrafikk i normal trafikk og uønsket trafikk.
Klassifiseringsmetodene IDS bruker er noe forskjellige. Den mest vanligste metoden er å bruke tidligere
kjente mønster/signaturer av uønsket datatrafikk. Denne metoden kalles signaturbasert deteksjon. Den andre
metoden er såkalt avviksmetoden. Her blir den normale datatrafikken brukt som en basisprofil og trafikk
som avviker etter gitte statistiske parameter blir definert som uønsket.
Denne masteroppgaven fokuserer på deteksjon av portskanning. Portskanning er en typisk aktivitet i
en tidlig fase av et angrep: rekognoseringsfasen. I denne rekognoseringsfasen er angriperen på jakt etter
mulige angrepspunkter og evt. sårbarheter i datanettverket. Hvis angriperen minsker hastigheten mellom
hver port som blir forsøkt skannet, gjerne med flere minutter eller kanskje til og med timer, kalles dette
for sakte portskanning. Slike sakte portskanninger er vanskeligere å oppdage for inntrengingsdeteksjons
systemer. Vi vil i vår masteroppgave fokusere på Bro IDS. Bro er gratis (åpen kildekode) og har kraftige
protokollanalysemekanismer samt et omfattende skriptspråk. Bro kan konfigureres til å fungere som både
signaturbasert og avviksbasert IDS. Bro har fått mye oppmerksomhet i forskningsmiljøer verden over. Vi
har som mål i vår masteroppgave å forbedre Bro sin deteksjon av sakte portskanning, sammenligne andre
inntrengingsdeteksjons systemer og vurdere evt. mengden av falske alarmer.
Våre resultater viser at vårt modifiserte scan.bro skript forbedret Bro sin egenskap til å detektere sakte
portskanning.