Continuous Authentication on an SSH Connection
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3006987Utgivelsesdato
2022Metadata
Vis full innførselSamlinger
Sammendrag
I nyere tid har mye arbeid beveget seg i retning av jobbing fra forskjellige lokasjoner. Dette har blitt veldig forsterket av hjemmekontor under COVID19 pandemien.I denne sammenheng er det viktig å utvikle hvordan brukere identifiseres mot ITsystemer. Den vanligste tilnærmingen for å identifisere en bruker ved passord ogbrukernavn er åpen for utnytting enten ved at brukerinformasjon blir stjålet ellerved at sesjonen blir kapret. En ondsinnet aktør vil i dette tilfelle bli behandlet somen genuin bruker av systemet. Kontinuerlig autentisering kan i disse tilfellene blibrukt til å fange opp at brukeren av systemet ikke samsvarer med eieren av kontoen og stenge brukeren ute av systemet. Målet med dette masterprosjektet harvært å se på kontinuerlig autentisering av data fanget opp på serversiden av enSSH forbindelse. eBPF har blitt brukt til å hente ut den dekrypterte SSH trafikkenfra en server. Forskjellig nettverksstress har blitt introdusert for å teste innvirkningen av støy har på den kontinuerlige autentiseringen. En stabilitet i resultatetav den kontinuerlige autentiseringen er blitt observert mellom server og klientnår nettverket ikke introduserer mye støy. Ved en høyere mengde støy introdusertover nettverket har vi observert en tydelig forverring av funksjonaliteten til denkontinuerlige autentiseringen. Med disse observasjoenen er det konkludert medat kontinuerlig autentisering kan fungere på data fanget opp over en SSH session,ved mye netverks støy vil nøyaktigheten av autentiseringen svekkes. With a shift to more remote-based work, that is only accelerated by the COVID19pandemic, new ways of ensuring the identity of users of IT systems are important.The classical approach of username and password for authentication is vulnerableto stolen credentials. By stealing credentials of a user, an adversary can act on thesystem as the rightful owner of the credentials. Continuous authentication can beimplemented to increase the chance of discovering an intruder, and secures thesystem by revoking access to the account suspected of not being controlled by theowner. The goal of this thesis has been to investigate whether analysis of keystrokedynamics on keystroke data captured at the server side of an SSH session can beused to identify the rightful owner of an account. A publicly available data set hasbeen used as the source of data for our testing, and eBPF has been used to extractthe decrypted SSH traffic on the server. The functionality of a commonly useddistance measure has been compared on both sides of an SSH session. Differentnetwork stress has been applied to investigate the impact of network-introducedinterference. A stability of the functionality of keystroke dynamics has been observed at the server side in normal network behavior, whereas a network understress shows signs of heavily impacting the functionality of keystroke dynamicson the captured data of the SSH channel. With these observations we can statethat it is possible to conduct continuous authentication on data capered on theserver side of an SSH channel, but in unstable network condition the process willexperience degradation.