Slow Port Scanning with Bro

Abstract

ENGLISH: Today’s society relies on computer networks. More and more data of vital importance are transmitted over them each day. Because of that, networks have become an interesting target for attackers, from ordinary criminals to foreign organizations and states. This has forced equipment providers and network administrators to make computer networks more robust. To this end, various countermeasures against cyber attacks are performed. One of the most commonly used ones is application of Intrusion Detection Systems (IDS). These systems are capable of classifying network traffic into several categories, according to the traffic features determined in advance. The basic classification performed by them is the classification in two classes – benign traffic and malicious traffic. The classification methods that IDS implement are different, but classic pattern/signature matching and statistical parametric decision making are used very often. According to the intrusion detection model, IDS are classified into two categories: misuse detection systems and anomaly detection systems. Misuse detection systems use a database of known attacks and report if they recognize signatures of known attacks in the incoming traffic. Anomaly detection systems define profiles of normal host/network behavior and report discrepancies from that. This thesis concentrates on methods of detection of special kind of reconnaissance activity in computer networks – so-called port scanning, which tries to determine what services are active on a target host. In addition, the scans are considered slow – this means that the time delay between scanning two ports is relatively long – from several minutes to several days. This kind of port scanning is in general harder to detect by IDS. The IDS of particular interest in this context is Bro – an open-source system that detects intrusions by semantic, highly stateful traffic analysis. This system also has advanced protocol detection capabilities. It can be configured to be either misuse or anomaly detection system, even a combination of both at the same time. As such, it has attracted much attention of the scientific community in the recent years. The goal of the thesis is to develop a method for slow port scanning detection with Bro and compare the capabilities of the new method with slow port scanning detection methods applied on other IDS, especially in the presence of noise. Our results shows that our modified version of scan.bro policy script, gave improved slow port scanning detection capabilities in Bro.

NORSK: Dagens samfunn har i stor grad gjort seg avhengig av datamaskiner med nettverk og Internet forbindelse. Dette har ført til en stor økning av kriminell aktivitet mot disse datamaskinene, både fra individuelle og godt organiserte kriminelle samt statlig støttede organisasjoner. Produsenter og administratorer av datautstyr må hele tiden oppdatere og passe på at både fysiske enheter og programvare er tilstrekkelig rustet for å stå imot dette stadig økende presset. Det finnes forskjellige løsninger for å kontrollere nettverkstrafikk. Den vanligste løsningen er inntrengingsdeteksjons systemer (IDS). Disse systemene kan klassifisere datatrafikk. Normalt klassifisere datatrafikk i normal trafikk og uønsket trafikk. Klassifiseringsmetodene IDS bruker er noe forskjellige. Den mest vanligste metoden er å bruke tidligere kjente mønster/signaturer av uønsket datatrafikk. Denne metoden kalles signaturbasert deteksjon. Den andre metoden er såkalt avviksmetoden. Her blir den normale datatrafikken brukt som en basisprofil og trafikk som avviker etter gitte statistiske parameter blir definert som uønsket. Denne masteroppgaven fokuserer på deteksjon av portskanning. Portskanning er en typisk aktivitet i en tidlig fase av et angrep: rekognoseringsfasen. I denne rekognoseringsfasen er angriperen på jakt etter mulige angrepspunkter og evt. sårbarheter i datanettverket. Hvis angriperen minsker hastigheten mellom hver port som blir forsøkt skannet, gjerne med flere minutter eller kanskje til og med timer, kalles dette for sakte portskanning. Slike sakte portskanninger er vanskeligere å oppdage for inntrengingsdeteksjons systemer. Vi vil i vår masteroppgave fokusere på Bro IDS. Bro er gratis (åpen kildekode) og har kraftige protokollanalysemekanismer samt et omfattende skriptspråk. Bro kan konfigureres til å fungere som både signaturbasert og avviksbasert IDS. Bro har fått mye oppmerksomhet i forskningsmiljøer verden over. Vi har som mål i vår masteroppgave å forbedre Bro sin deteksjon av sakte portskanning, sammenligne andre inntrengingsdeteksjons systemer og vurdere evt. mengden av falske alarmer. Våre resultater viser at vårt modifiserte scan.bro skript forbedret Bro sin egenskap til å detektere sakte portskanning.