RILEVAMENTO DI ATTACCHI DI RETE TRAMITEPROTOCOLLI DI MONITORAGGIO PER ROUTER IP

Luca MellaRelatore: Walter Cerroni

Correlatore: Marco Ramilli

Universita di Bologna

luca.mella@studio.unibo.it

12/10/2011

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 1 / 14

Sommario

1 Scenario AttualeAttacchi di rete

2 NIDSTassonomiaProtocolli di Monitoraggio e NIDS

3 Framework PropostoMetodologiaTest-bedRisultatiAnalisi

4 Conclusioni

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 2 / 14

Scenario Attuale - Attacchi di rete

Organizzazioni

Grande numero di servizi in rete

Sviluppo di applicazioni non sempre appropriato

Sottovalutazione dei rischi

Attaccanti

Documentazione e materiali pubblici

Disponibilita di toolshttp://nmap.org/dist/

http://thc.org/thc-hydra/releases/

http://nmap.org/ncrack/dist/

http://sourceforge.net/projects/loic/files/loic/

http://sourceforge.net/projects/sqlmap/files/sqlmap/

. . .

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 3 / 14

NIDS - Tassonomia

Categorizzazione dei (N)IDS [Debar, 1999]

Metodologia di rilevazione

Signature-based, approcciopattern matching.

NIDS commerciali. . . problemi con nuoviattacchi

Behaviour-based, approcciobasato su anomaliecomportamentali.

. . . problemi con falsipositivi e re-training!

Sorgente d’informazione

Network-based, ovverobasati su sonde e catture ditraffico.

Enormi quantita di dati

Host-based, basatasull’utilizzo di host (o nodi)come sorgenti.

eg. syslog deamon

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 4 / 14

NIDS - Protocolli di monitoraggio e NIDS

SNMP-based [Cerroni, 2009]

No sniffing del traffico

Uso di tecniche di data mining (unsupervised)

Possibilita di distribuzione orizzontale

Ottima accuratezza delle rilevazioni

NetFlow-based [Wang, 2008, Dubendorfer, 2005]

Miglior percezione della rete: visione a “flussi”

Analisi forense facilitata

Rilevamento malware tramite analisi comportamentale

. . . Ancora non sfruttate tecniche di data mining!

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 5 / 14

Framework Proposto

NetFlow

ogni nodo intermedio e unasorgente d’informazione

flussi di rete(ip-S,ip-D,proto-L4,proto-L3,port-S,port-D,ToS)

Metodologia

ispirata a quella utilizzataper SNMP-based NIDS.

costruzione di variabiliartificiali

Algoritmi di data mining

non supervisionati, clusterede partitivi - eg. k-means

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 6 / 14

Framework Proposto - Metodologia

Emulazione, non simulazione

Neutral Stage

Attack StagePort Scanning (SYN Scan, ACK Scan, UDP Scan, Xmas Scan)SBF (SecureShell Brute Force)DDoSSQL-Injection

Realistic Stage

Attivita

Setup

Collecting

Emulazione Traffico

Analisi

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 7 / 14

Framework Proposto - Test-bed

Caratteristiche

Server:

HTTPSSHMySQL

Collector:

Network isolataNfdump suiteScript perprocessamento flussi

Clients:

Script per generazionetraffico neutraleScript per attacchi

Figura: Topologia Test-bed

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 8 / 14

Framework Proposto - Risultati (1)

Tabella: Statistiche generali sulle sessioni sperimentali

Sessione Flussi Bytes Packets BpS(ec) PpS BpP Durata

Traffico Neutro 298.3 K 352.4 M 5.6 M 76.3 K 154 61 633 min.Port Scanning 16.7 K 739.4 K 17.9 K 1.7 K 5 41 64 min.

SBF 20.2 K 22.9 M 160.2 K 16.9 K 14 143 180 min.DDoS 481.8 K 289.3 M 4.3 M 668.6 K 1247 66 54 min.

SQL-Injection 13.7 K 15.0 M 69.3 K 444.6 K 25 216 45 min.Traffico Reale 714.6 K 418.8 M 6.1 M 178.7 K 326 68 360 min.

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 9 / 14

Framework Proposto - Risultati (2)

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 10 / 14

Framework Proposto - Risultati (3)

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 11 / 14

Framework Proposto - Analisi

Data mining

Costruzione di tabelle artificiali

Ogni nuovo record caratterizza un minuto di traffico. . . contatori di flussi, flag TCP, classifica IP, classifica porte . . .

Analisi preliminare con 1000 istanze di k-means

Media Dev.Std. Moda Min MaxFalsi Negativi (%) 0.09 0.71 0 0 15.43Falsi Positivi (%) 15.64 7.68 19.50 3.61 34.85Accuratezza (%) 76.56 2.47 78.85 64.75 81.56

Tabella: Statistiche del sistema

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 12 / 14

Conclusioni

Obiettivi e Risultati

Validata nuova metodologia di rilevazione di attacchi direte(NetFlow+DM)

Ottima capacita di rilevazione (falsi negativi bassi)

Carico computiazionale contenuto (Benchmark su workstation fasciamedia)

Possibili sviluppi e miglioramenti

Definizione di record piu complessi

Distribuzione orizzontale

Proattivita

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 13 / 14

Riferimenti

Wang Zhenqi,Wang Xinyu

NetFlow Based Intrusion Detection System

2008 International Conference on MultiMedia and Information Technology..

Thomas Dubendorfer,Arno Wagnert, Bernhard Plattner

A Framework for Real-Time Worm Attack Detection and Backbone Monitoring

IEEE Computer Society Washington, DC, USA c©2005.

Herve Debar, Marc Dacier, Andreas Wespi

Towards a taxonomy of intrusion-detection systems

Computer Networks 31 (1999) 805–822.

Walter Cerroni, Gabriele Monti, Gianluca Moro, and Marco Ramilli

Network Attack Detection Based on Peer-to-Peer Clustering of SNMP Data

ICST QShine 2009.

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 14 / 14

Domande

:(){ :|: &}; :

Luca Mella (Universita di Bologna) NetFlow-based NIDS - Unsupervised approach 12/10/2011 15 / 14