Using NetFlow analysis to detect worm propagation

Abstract

ENGELSK: The Internet has become the main network for commerce, recreation and communication and this has increased the need to protect sensitive information. Computer worms will continue to pose a major threat to us, as they can readily propagate vulnerable computers on the Internet. Worms and other malware can spread quickly and do extensive damage, with some having the ability to mutate themselves (polymorphic worms) and their propagation pattern for each infection. Network Intrusion Detection Systems (NIDSs) is one method to detect such worms. The traditional NIDSs detect misuse by matching network information with pre-defined rules, this is called signature-based detection. A polymorphic worm can adversely impact the accuracy of a NIDS based on signatures, when it mutates itself. This motivates us to examine alternative methods of network intrusion detection. NetFlow analysis is a method that uses meta-data information about network traffic connections between hosts. All information from packets between two hosts is stored in what we call a NetFlow record. In this thesis, we investigate if it feasible to detect worm propagation using NetFlow analysis. By using recursion on the NetFlow records and visualization of the results in a histogram; we assess if there is an indication of worm propagation in the network traffic. In addition, we compare this method with a traditional signature-based detection system, Snort, when monitoring a polymorphic worm and assess if NetFlow analysis is more robust than Snort.

NORSK: Internett har blitt grunnplattformen for elektronisk handel, rekreasjon og kommunikasjon. Dette har økt behovet for å beskytte sensitiv informasjon. Dataormer vil fortsette å være en stor trussel siden de kan hurtig spre seg til sårbare datamaskiner på internett. Ormer og annen ondsinnet kode kan spre seg raskt og gjøre stor skade, noen med evnen til å mutere seg selv (polymorf dataorm) og spredningsmønstret for hver infeksjon. Nettverksbaserte inntrengningsdeteksjonssystemer (NIDS) er en metode for å detektere slike ormer. Tradisjonelle NIDSer detekterer misbruk ved å sammenligne nettverksinformasjon mot et regelsett definert på forhånd, dette kalles signaturbasert deteksjon. En polymorf dataorm som muterer kan bidra til å senke ytelsen til et NIDS som er basert på signaturer. Dette motiverer oss til å utforske alternative metoder innen nettverksbasert inntrengningsdeteksjon. NetFlow analyse er en metode som bruker meta-data informasjon om nettverkstrafikken for en sesjon mellom to verter. All informasjon fra pakkene mellom to verter for en hel sesjon blir lagret i det vi kaller en NetFlow record. I denne masteroppgaven undersøker vi om det er gjennomførbart å bruke NetFlow analyse til å detektere spredning av dataormer. Ved å bruke rekursjon på NetFlow records og visualisere resultatene i et søylediagram, vurderer vi om det er indikasjon på spredning av dataormer i nettverkstrafikken. I tillegg skal vi sammenlikne denne metoden med et tradisjonelt signaturbasert NIDS, Snort, når vi monitorerer en polymorf dataorm og vurderer om NetFlow analyse er mer robust enn Snort.