Using Netflows for slow portscan detection

Abstract

NORSK: Organisasjoner som har en definert sikkerhetsstrategi har ofte implementert systemer for inntrengningsdeteksjon. Slike løsninger fokuserer som regel på sann-tids analyse av sikkerhetstruende hendelser i informasjonssystemene. Signaturbaserte inntrengnings systemer må inspisere hver eneste byte som sendes gjennom nettverket. Å samle inn, lagre og håndtere store mengder trafikkdata for fremtidig analyse er svært ressurskrevende. Man trenger derfor alternative metoder for deteksjon av misbruk i datanettverk som pågår over lang tid. Et alternativ til å inspisere innholdet i hver nettverkspakke er å analysere metadata om hver logiske forbindelse; det vil si avsender og mottaker adresse, port nummer, pakkelengde og tidsstempel. Slike metadata kalles en Netflow. Ved å begrense omfanget av datainnsamlingen blir det mulig å lagre data over lengre tid. Dette muliggjør deteksjon av trender som vanlige systemer for inntrengningsdeteksjon ikke kan oppdage. En type hendelse som er svært vanskelig å oppdage for sanntidssystemer er sakte portscan. Sakte portscan utføres ved å introdusere forsinkelse mellom hver individuelle pakke.

ENGELSK: Most organizations that have a defined security strategy implement some kind of detection capability. These systems often focus on real-time analysis of security related events in the information systems. Signature-based systems need to inspect every byte of the network traffic. Capturing, storing and analyzing all this traffic for future analysis is very resource consuming. There is thus a need for alternative ways of detecting misuses that span long periods of time. One alternative to inspecting each byte of the packet content is to analyze the metadata about each logical connection; i.e. source, destination, port numbers and packet length combined with the timestamp. The metadata for one logical connection is called a Netflow. By limiting the scope of data collection, it becomes possible to search through the traffic data for longer timespans, and to discover trends that a traditional intrusion detection system cannot do. One type of misuse is particularly difficult to detect for the traditional "real-time" intrusion detection systems, namely slow portscans which are performed by introducing latency between each individual packet. This thesis aims to investigate if Netflow analysis is more suitable for detecting slow portscans than two traditional systems for intrusion detection, Snort and Network Flight Recorder.