• norsk
    • English
  • English 
    • norsk
    • English
  • Login
View Item 
  •   Home
  • Fakultet for informasjonsteknologi og elektroteknikk (IE)
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi
  • View Item
  •   Home
  • Fakultet for informasjonsteknologi og elektroteknikk (IE)
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi
  • View Item
JavaScript is disabled for your browser. Some features of this site may not work without it.

Using NetFlow analysis to detect worm propagation

Fossbakk, Kjell Tore
Master thesis
Thumbnail
View/Open
Fossbakk_Using_NetFlow_analysis_to_detect_worm_propagation.pdf (915.1Kb)
URI
http://hdl.handle.net/11250/143948
Date
2010
Metadata
Show full item record
Collections
  • Institutt for informasjonssikkerhet og kommunikasjonsteknologi [2416]
Abstract
ENGELSK: The Internet has become the main network for commerce, recreation and communication and

this has increased the need to protect sensitive information. Computer worms will continue to

pose a major threat to us, as they can readily propagate vulnerable computers on the Internet.

Worms and other malware can spread quickly and do extensive damage, with some having the

ability to mutate themselves (polymorphic worms) and their propagation pattern for each infection.

Network Intrusion Detection Systems (NIDSs) is one method to detect such worms. The traditional

NIDSs detect misuse by matching network information with pre-defined rules, this is

called signature-based detection. A polymorphic worm can adversely impact the accuracy of

a NIDS based on signatures, when it mutates itself. This motivates us to examine alternative

methods of network intrusion detection. NetFlow analysis is a method that uses meta-data information

about network traffic connections between hosts. All information from packets between

two hosts is stored in what we call a NetFlow record.

In this thesis, we investigate if it feasible to detect worm propagation using NetFlow analysis.

By using recursion on the NetFlow records and visualization of the results in a histogram; we

assess if there is an indication of worm propagation in the network traffic. In addition, we compare

this method with a traditional signature-based detection system, Snort, when monitoring a

polymorphic worm and assess if NetFlow analysis is more robust than Snort.
 
NORSK: Internett har blitt grunnplattformen for elektronisk handel, rekreasjon og kommunikasjon. Dette

har økt behovet for å beskytte sensitiv informasjon. Dataormer vil fortsette å være en stor trussel

siden de kan hurtig spre seg til sårbare datamaskiner på internett. Ormer og annen ondsinnet

kode kan spre seg raskt og gjøre stor skade, noen med evnen til å mutere seg selv (polymorf

dataorm) og spredningsmønstret for hver infeksjon.

Nettverksbaserte inntrengningsdeteksjonssystemer (NIDS) er en metode for å detektere slike

ormer. Tradisjonelle NIDSer detekterer misbruk ved å sammenligne nettverksinformasjon mot et

regelsett definert på forhånd, dette kalles signaturbasert deteksjon. En polymorf dataorm som

muterer kan bidra til å senke ytelsen til et NIDS som er basert på signaturer. Dette motiverer oss

til å utforske alternative metoder innen nettverksbasert inntrengningsdeteksjon. NetFlow analyse

er en metode som bruker meta-data informasjon om nettverkstrafikken for en sesjon mellom to

verter. All informasjon fra pakkene mellom to verter for en hel sesjon blir lagret i det vi kaller en

NetFlow record.

I denne masteroppgaven undersøker vi om det er gjennomførbart å bruke NetFlow analyse

til å detektere spredning av dataormer. Ved å bruke rekursjon på NetFlow records og visualisere

resultatene i et søylediagram, vurderer vi om det er indikasjon på spredning av dataormer

i nettverkstrafikken. I tillegg skal vi sammenlikne denne metoden med et tradisjonelt signaturbasert

NIDS, Snort, når vi monitorerer en polymorf dataorm og vurderer om NetFlow analyse er

mer robust enn Snort.
 

Contact Us | Send Feedback

Privacy policy
DSpace software copyright © 2002-2019  DuraSpace

Service from  Unit
 

 

Browse

ArchiveCommunities & CollectionsBy Issue DateAuthorsTitlesSubjectsDocument TypesJournalsThis CollectionBy Issue DateAuthorsTitlesSubjectsDocument TypesJournals

My Account

Login

Statistics

View Usage Statistics

Contact Us | Send Feedback

Privacy policy
DSpace software copyright © 2002-2019  DuraSpace

Service from  Unit