Using NetFlow analysis to detect worm propagation
Abstract
ENGELSK: The Internet has become the main network for commerce, recreation and communication and
this has increased the need to protect sensitive information. Computer worms will continue to
pose a major threat to us, as they can readily propagate vulnerable computers on the Internet.
Worms and other malware can spread quickly and do extensive damage, with some having the
ability to mutate themselves (polymorphic worms) and their propagation pattern for each infection.
Network Intrusion Detection Systems (NIDSs) is one method to detect such worms. The traditional
NIDSs detect misuse by matching network information with pre-defined rules, this is
called signature-based detection. A polymorphic worm can adversely impact the accuracy of
a NIDS based on signatures, when it mutates itself. This motivates us to examine alternative
methods of network intrusion detection. NetFlow analysis is a method that uses meta-data information
about network traffic connections between hosts. All information from packets between
two hosts is stored in what we call a NetFlow record.
In this thesis, we investigate if it feasible to detect worm propagation using NetFlow analysis.
By using recursion on the NetFlow records and visualization of the results in a histogram; we
assess if there is an indication of worm propagation in the network traffic. In addition, we compare
this method with a traditional signature-based detection system, Snort, when monitoring a
polymorphic worm and assess if NetFlow analysis is more robust than Snort. NORSK: Internett har blitt grunnplattformen for elektronisk handel, rekreasjon og kommunikasjon. Dette
har økt behovet for å beskytte sensitiv informasjon. Dataormer vil fortsette å være en stor trussel
siden de kan hurtig spre seg til sårbare datamaskiner på internett. Ormer og annen ondsinnet
kode kan spre seg raskt og gjøre stor skade, noen med evnen til å mutere seg selv (polymorf
dataorm) og spredningsmønstret for hver infeksjon.
Nettverksbaserte inntrengningsdeteksjonssystemer (NIDS) er en metode for å detektere slike
ormer. Tradisjonelle NIDSer detekterer misbruk ved å sammenligne nettverksinformasjon mot et
regelsett definert på forhånd, dette kalles signaturbasert deteksjon. En polymorf dataorm som
muterer kan bidra til å senke ytelsen til et NIDS som er basert på signaturer. Dette motiverer oss
til å utforske alternative metoder innen nettverksbasert inntrengningsdeteksjon. NetFlow analyse
er en metode som bruker meta-data informasjon om nettverkstrafikken for en sesjon mellom to
verter. All informasjon fra pakkene mellom to verter for en hel sesjon blir lagret i det vi kaller en
NetFlow record.
I denne masteroppgaven undersøker vi om det er gjennomførbart å bruke NetFlow analyse
til å detektere spredning av dataormer. Ved å bruke rekursjon på NetFlow records og visualisere
resultatene i et søylediagram, vurderer vi om det er indikasjon på spredning av dataormer
i nettverkstrafikken. I tillegg skal vi sammenlikne denne metoden med et tradisjonelt signaturbasert
NIDS, Snort, når vi monitorerer en polymorf dataorm og vurderer om NetFlow analyse er
mer robust enn Snort.