Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Master's Thesis |
| Scope | Discipline-based scholarship |
| Title | Flow-based and Packet level-based Intrusion Detection as Complementary Concepts |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Institution | University of Zurich |
| Faculty | Faculty of Economics, Business Administration and Information Technology |
| Date | 2008 |
| Abstract Text | Network-based intrusion detection systems monitoring state-of-the-art high-volume net- work links demand for more computational resources than available from conventional computer hardware. Frequently, this problem is overcome by increasing the available resources with dedicated, specialized hardware. Instead of employing expensive infras- tructure, efficiently decreasing the amount of data to be processed may lead to the same goal. NetFlow enabled routers can be used as a source for aggregated connection data that can be leveraged for intrusion detection purposes. Using a model, possible use cases for combining conventional, packet-based and novel, flow-based intrusion detection are elabo- rated. With the Bro intrusion detection system as a central component, an architecture to combine both data sources is presented. In order to effectively reduce the amount of pack- ets to be processed, a pre-filter employing flow data for the detection of peer-to-peer-based and IRC-based botnets is presented. The performed evaluation, based on the comparison of the new, combined approach and the analysis of all packets, shows, depending on the implementation, a reduction of re- source usage. Minor losses in the detection rate were observed. The prototypical imple- mentation which was realized with existing software components shows synergy potentials for combining NetFlow and packet data for intrusion detection purposes. Further work is recommended, particularly to develop a flow-based pre-filter in a low-level language in order to further enhance resource efficiency. |
| Zusammenfassung | Die Überwachung von modernen, hochvolumigen durch netzwerkbasierte Intrusion Detection Systeme beansprucht mehr Rechenleistung als von gewöhnlicher Computerhardware verfüsen Zweck entwickelte Hardware gelöst. Anstelle des Einsatzes teurer Infrastruktur, kann eine Reduktion der zu verarbeitenden Daten zum selben Ziel führen. Router mit NetFlow Unterstützung können als Quelle von aggregierten Verbindungsinformationen für Intrusion Detection Zwecke verwendet werden. In dieser Arbeit werden mit Hilfe eines Modells mögliche Anwendungsfälle für eine Kombination von klassicher, paketbasierter und neuartiger, flowbasierter Intrusion Detection ausgearbeitet. Mittels des Bro Intrusion Detection Systems als zentrale Komponente wird eine Architektur zur Kombination der beiden Datenquellen präsentiert. Für die Erkennung von Peer-to-Peer- und IRC-basierenden Botnetzen werden Vorfilter basierend auf Flowdaten vorgestellt, welche die Datenmenge der zu inspizierenden Pakete effektiv verringert. Die durchgeführte Evaluation zeigt bei der Gegenüberstellung des neuen, kombinierten Erkennungsansatzes zur Analyse aller Pakete, je nach Implementation, eine Reduktion des Resourcenverbrauchs währenddem geringe Einbussen bei der Erkennungsrate feststellbar sind. Die prototypische Implementation, welche mit Hilfe existierender Softwarekomponenten durchgeführt wurde, zeigt ein Synergiepotential beim kombinierten Einsatz von NetFlow und Paket-Daten und für Intrusion Detection Zwecke. Um die Resourceneffizienz weiter zu steigern, wird empfohlen den flowbasierten Vorfilter in einer hardwarenahmen Programmiersprache zu entwickeln. |
| Export |
BibTeX
|