image

UT-onderzoeker analyseert netwerkverkeer op nieuwe manier

dinsdag 28 juni 2016, 17:24 door Redactie, 13 reacties

Een onderzoeker van de Universiteit Twente heeft een nieuwe manier gevonden om netwerkverkeer te analyseren, waardoor er efficiënter tegen aanvallen kan worden opgetreden. Dat heeft de Universiteit Twente bekendgemaakt.

De meest voor de hand liggende manier om mogelijke aanvallen te detecteren is het analyseren van netwerkverkeer en logbestanden op iedere computer. Deze klassieke benadering kijkt vooral naar de inhoud van het verkeer. Volgens onderzoeker en promovendus Rick Hofstede wordt op deze manier veel data geanalyseerd die nooit effect zal hebben. Een netwerk van een grote organisatie, met daarop tienduizenden computers en smartphones, is onmogelijk te beveiligen door op elk apparaat te kijken wat er gebeurt.

Hofstede heeft daarom voor een 'flow-based' benadering gekozen (pdf). Hij kijkt op een hoger niveau naar de datastromen en herkent daarin patronen. "Zoals je de verspreiding van een reclamefolder kunt herkennen zonder naar de inhoud van de folder te kijken, herkent hij verdacht internetverkeer door naar de manier van verzenden te kijken, en naar de afzender. Het voordeel hiervan is dat dit op een centraal punt kan plaatsvinden, bijvoorbeeld bij een router die het internetverkeer regelt", aldus de universiteit.

Zelfs als het aantal aangesloten apparaten toeneemt is deze detectiemethode gemakkelijk op te schalen. Daarnaast kijkt Hofstede niet naar alle aanvalspogingen, maar naar die ene aanval die daadwerkelijk effect heeft en tot een infectie of hack leidt. Ook zou de detectiemethode sneller moeten achterhalen of er meer aanvallen van dezelfde afzender komen.

Open source

Hofstede heeft zijn aanpak niet alleen in het lab uitgetest, maar de bijbehorende software SSHCure (pdf) ook 'open source' ter beschikking gesteld aan Computer Emergency Response Teams van verschillende organisaties. Hieruit blijkt dat zijn aanpak tot beduidend minder incidenten leidt, met detectiepercentages tot 100 procent, afhankelijk van onder meer de applicatie en het type netwerk. Toekomstige, krachtige routers zouden de detectie al zelfstandig, dus zonder tussenkomst van extra apparatuur, kunnen uitvoeren, zo verwacht Hofstede. De onderzoeker hoopt morgen te promoveren.

Reacties (13)
28-06-2016, 21:20 door Anoniem
Tja, weer iemand die het ronde wiel uitvindt om te promoveren...
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.

Natuurlijk is flow based firewalling en intrusion detection and mitigation al JAAREN standaard in grote omgevingen...
Klinkt echt of ze bij de universiteit twente nog pre-100mbps tijd zitten.

Verzin eens iets nieuws...
28-06-2016, 21:41 door SecGuru_OTX
Complimenten aan Rick Hofstede!

Hopen dat Redsocks ook gebruik gaat maken van deze toevoeging, Redsocks detecteert Malware op een vrijwel identieke manier.
28-06-2016, 23:23 door Anoniem
Door Anoniem: Tja, weer iemand die het ronde wiel uitvindt om te promoveren...
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.

Natuurlijk is flow based firewalling en intrusion detection and mitigation al JAAREN standaard in grote omgevingen...
Klinkt echt of ze bij de universiteit twente nog pre-100mbps tijd zitten.

Verzin eens iets nieuws...

Over het algemeen is promoveren op bekende informatie niet mogelijk. Verdiep je maar eens wat dieper in de academische wereld. Geen idee hoe revolutionair dit onderzoek is. Iets teveel leeswerk voor vanavond maar ik vermoed dat jij nooit veel verder bent gekomen dan dit soort postings.
29-06-2016, 08:46 door Anoniem
Door Anoniem:
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.
Ja, als het goed is moet er wel een professor zijn die de controle heeft uitgevoerd. Waarom zoek je niet even op Internet op wie dat is geweest, en stuur je een e-mailtje of je met jou idee misschien ook nog kan afstuderen / promoveren.Nog een tip: lees ook eerst even (delen van) het proefschrift voordat je concludeert dat het wiel opnieuw wordt uitgevonden. Het zou namelijk best eens zo kunnen zijn dat een persbericht zoals dit te kort en te oppervlakkig is om het vernieuwende van dit onderzoek uit te leggen.
29-06-2016, 10:59 door Anoniem
Zeker interessant, alleen gebruikt geen enkele weldenkende netwerkbeheerder SSH aan de buitenkant (internet) van een router/firewall etc etc
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”

Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn
29-06-2016, 12:15 door Anoniem
Als deze UT man eens zijn huiswerk had gedaan, had ie al gezien dat er in 2000 door Prof. Copeland van Georgia Tech een tool is ontwikkeld die dit doet. Dit product heet Stealthwatch en is op de markt sinds 2005 via Lancope. Lancope is sinds eind 2015 een onderdeel van Cisco en het product draait al bij zo'n 1500 eindklanten.
29-06-2016, 14:05 door Anoniem
Dit klinkt inderdaad als 'network behavior analysis'. Iets dat producten als FlowMon, Stealthwatch, Optiview Netflow Tracker en PRTG ook in meer of minder mate kunnen doen.
29-06-2016, 14:49 door Anoniem
Door Anoniem: Zeker interessant, alleen gebruikt geen enkele weldenkende netwerkbeheerder SSH aan de buitenkant (internet) van een router/firewall etc etc
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”

Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn

Zou u mij kunnen vertellen waarom VPN veiliger aan de buitenkant is dan SSH? (Oprecht nieuwsgierig)
29-06-2016, 16:29 door Anoniem
Door Anoniem:
Door Anoniem: Zeker interessant, alleen gebruikt geen enkele weldenkende netwerkbeheerder SSH aan de buitenkant (internet) van een router/firewall etc etc
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”

Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn

Zou u mij kunnen vertellen waarom VPN veiliger aan de buitenkant is dan SSH? (Oprecht nieuwsgierig)

Niet dezelfde poster, maar vaak betekent SSH login SSH login op basis van username/password .
De veelvuldige SSH portscans hebben te vaak succes met een dictionary attack .

VPN is vrijwel altijd op basis van opgeslagen credentials bij de client, en dus niet direct kwetsbaar voor een portscan+ dictionary attack.

Dat is geen fundamenteel protocol probleem, maar wel een praktische realiteit .

De code kwaliteit van een SSH daemon versus IKE/Ipsec of andere VPN daemon als risico van een compromise of DoS lijkt me niet slechter , en misschien zelfs beter .
29-06-2016, 16:37 door Anoniem
Door Anoniem: Als deze UT man eens zijn huiswerk had gedaan, had ie al gezien dat er in 2000 door Prof. Copeland van Georgia Tech een tool is ontwikkeld die dit doet. Dit product heet Stealthwatch en is op de markt sinds 2005 via Lancope. Lancope is sinds eind 2015 een onderdeel van Cisco en het product draait al bij zo'n 1500 eindklanten.

Op basis van de samenvatting kun je echt niet zeggen of de research nieuw is of niet .

"Iets op basis van flows" is inderdaad bepaald niet nieuw . Maar het is dan ook erg zeldzaam dat een promotie onderwerp op zo'n hoofdlijn nieuw is .

Er wordt in de werktuigbouw echt nog gepromoveerd op Otto- of Dieselmotoren, of op turbines. De nieuwigheid zit 'm dan niet in het 100+ jaar oude basisconcept .
Medisch/fysische promoties op basis van "oppoetsen en analyseren van rontgen/mri/ultrasoon beelden" gaan ook gestaag door. De vorige generatie promoties op dat terrein zit dan net in de scanners die je kunt kopen .
29-06-2016, 17:22 door Anoniem
Gezellig weer, al de azijnpisserij hier onder vrijwel ieder artikel. De beste stuurlui staan aan wal ?
29-06-2016, 17:32 door Anoniem
Door Anoniem: Dit klinkt inderdaad als 'network behavior analysis'. Iets dat producten als FlowMon, Stealthwatch, Optiview Netflow Tracker en PRTG ook in meer of minder mate kunnen doen.
In dat rijtje zitten wat goede producten en paar waardeloze. Marketing statements hoeven aan een stuk minder eisen te voldoen dan een promotietraject.
01-07-2016, 18:49 door Anoniem
Wat wordt hiet weer negatief gereageerd zeg, even een paar opmerkingen:

- Het artikel is te kort om de echte essentie van het proefschrift weer te geven. Lees het proefschrift eens door zou ik zeggen.
- SSH is hier gebruikt als proof of concept. Het gaat echt niet alleen om SSH.
- Het was een promotie-onderzoek voor 2 universiteiten, die gezamelijk het onderzoek met een promotie hebben beloond. Het komt niet zo vaak voor dat iemand van 2 universiteiten tegelijk een doctorstitel krijgt. Dus het was echt niet een kwestie van "het wiel opnieuw" uitvinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.