Using Netflows for slow portscan detection
Abstract
NORSK:
Organisasjoner som har en definert sikkerhetsstrategi har ofte implementert systemer
for inntrengningsdeteksjon. Slike løsninger fokuserer som regel på sann-tids analyse
av sikkerhetstruende hendelser i informasjonssystemene. Signaturbaserte inntrengnings
systemer må inspisere hver eneste byte som sendes gjennom nettverket. Å samle inn, lagre
og håndtere store mengder trafikkdata for fremtidig analyse er svært ressurskrevende.
Man trenger derfor alternative metoder for deteksjon av misbruk i datanettverk som
pågår over lang tid.
Et alternativ til å inspisere innholdet i hver nettverkspakke er å analysere metadata om
hver logiske forbindelse; det vil si avsender og mottaker adresse, port nummer, pakkelengde
og tidsstempel. Slike metadata kalles en Netflow.
Ved å begrense omfanget av datainnsamlingen blir det mulig å lagre data over lengre tid.
Dette muliggjør deteksjon av trender som vanlige systemer for inntrengningsdeteksjon
ikke kan oppdage. En type hendelse som er svært vanskelig å oppdage for sanntidssystemer
er sakte portscan. Sakte portscan utføres ved å introdusere forsinkelse mellom
hver individuelle pakke. ENGELSK:
Most organizations that have a defined security strategy implement some kind of detection
capability. These systems often focus on real-time analysis of security related events
in the information systems. Signature-based systems need to inspect every byte of the
network traffic. Capturing, storing and analyzing all this traffic for future analysis is very
resource consuming. There is thus a need for alternative ways of detecting misuses that
span long periods of time.
One alternative to inspecting each byte of the packet content is to analyze the metadata
about each logical connection; i.e. source, destination, port numbers and packet
length combined with the timestamp. The metadata for one logical connection is called
a Netflow.
By limiting the scope of data collection, it becomes possible to search through the traffic
data for longer timespans, and to discover trends that a traditional intrusion detection
system cannot do. One type of misuse is particularly difficult to detect for the traditional
"real-time" intrusion detection systems, namely slow portscans which are performed by
introducing latency between each individual packet.
This thesis aims to investigate if Netflow analysis is more suitable for detecting slow
portscans than two traditional systems for intrusion detection, Snort and Network Flight
Recorder.