UT-onderzoeker ontwikkelt nieuwe detectiemethode kwaadaardige datastromen

Door naar verdachte verkeerspatronen te kijken, is het mogelijk gecompromitteerde of overgenomen systemen te detecteren zonder elk met internet verbonden apparaat apart te moeten controleren. Dat heeft onderzoek van de Universiteit Twente aangetoond.

Flow-detectieHet onderzoek met de titel Flow-based Compromise Detection werd uitgevoerd door Rick Hofstede van de groep Design and Analysis of Communication Systems. "Bij traditionele intrusion detection kijk je alleen naar elke aanval op elke client in een netwerk en dat is best lastig als je meer dan dertigduizend clients hebt, zoals bij de UT", zegt Hofstede tegen Tweakers.

Bij dat laatste bestaat een extra moeilijkheid omdat het op zulke grote netwerken vrijwel onmogelijk is om toegang tot alle apparaten te krijgen en elk apparaat afzonderlijk te voorzien van intrusion detection. "Bij een heel veilige en relatief kleine omgeving, zou je op elke machine intrusion detection kunnen zetten", zegt Hofstede.

Om op zo'n groot netwerk waar dat beveiligen per machine niet mogelijk is, toch te weten welke aanvallen daadwerkelijk voor problemen zorgen, is compromise detection via flow data veel praktischer. "Met compromise detection weet je welke aanval succesvol is, dan pas haal je de betreffende host van het netwerk."

"De flow-based methode heeft één of enkele sensoren, typisch in de edge routers, waarmee we aan de hand van gedragingen zeggen of er een compromise of overname heeft plaatsgevonden."

Om deze techniek toe te passen, maakten de onderzoekers gebruik van eigen opensourcesoftware die werkt op basis van IPFIX, een standaard die voortborduurt op NetFLow, een Cisco-technologie. "In plaats van dat je naar individuele pakketten kijkt, kijk je naar metadata", zegt Hofstede. "Wie communiceert met wie, hoe lang heeft het geduurd, et cetera. Je kijkt niet naar de payload van de communicatie en zo hoef je veel minder data te analyseren. Bovendien is het veel minder privacygevoelig. In plaats van alle ip-connecties op te slaan, hoef je feitelijk maar één regel op te slaan. Zo heb je heel schaalbare monitoring."

Op de vraag of het dan niet al een veel toegepaste techniek is, zegt Hofstede dat het compromised-detectieonderdeel een 'van nature' simpele gedachte is, maar vrijwel nergens wordt toegepast. "De traditionele detectiesystemen kunnen dat wel controleren, maar de netwerk-gebaseerde systemen, zoals flow-based systemen, doen dat niet. Daarin zijn wij de eersten die dat hebben gedaan", zegt Hofstede.

"Om te laten zien dat het ook echt werkt, hebben we een bijzondere aanpak gekozen. Wetenschappelijk onderzoek moet altijd worden gevalideerd. Dat was voor ons heel lastig geweest omdat er maar zo weinig mensen mee bezig zijn. Je kunt jezelf dus lastig meten aan data van anderen. Daarom hebben we een open source intrusion detection system gemaakt met de hoop dat de community wellicht met ons wilde samenwerken. Dat was een schot in de roos, want het wordt nu al wereldwijd gebruikt; van kleine softwarebedrijfjes tot landniveau. Er zijn nationale computer emergency response teams of certs die onze tool gebruiken. Zo hebben we een atypische validatiemanier gekozen."

SSHCure logoHofstede deed het werk niet alleen. Voor de software werkte hij samen met Luuk Hendriks en een andere collega, Anna Sperotto, promoveerde al eerder op het onderwerp om brute-forceaanvallen te herkennen op ssh-clients. Hofstede gebruikte onder andere informatie van dat proefschrift voor het werk van het team. "Daarom heet de software ook SSHCure."

Hij geeft aan dat er nog een reden is dat technieken als NetFlow en IPFIX er zijn: "Vrijwel elke high-end-router ondersteunt die protocollen en daarmee heb je al een heel breed draagvlak. Dat is ook de belangrijkste reden te kiezen voor de flow-based aanpak."

Het systeem richt zich op brute-force-aanvallen. Vaak werken die aanvallen op basis van woordenboek- of dictionary-lijsten met loginnamen en wachtwoorden. Op netwerkniveau wordt vervolgens een scan op een grote netwerkrange waargenomen, zoals een scan op poort 22. Als de daemon vervolgens zijn doelen detecteert, gaat de aanvaller woordenboeklijsten afwerken. Als de aanvaller bij een client binnen weet te komen, kan de client overgenomen worden.

"Dat concept van verschillende fasen in een aanval komt heel nadrukkelijk terug in het proefschrift en is bedacht door Anna. Dat hebben wij gewoon overgenomen. Wij ontwikkelden de laag erbovenop, namelijk de detectie of er wel of geen compromise heeft plaatsgevonden."

Het hele onderzoek is terug te vinden bij de Universiteit Twente.

Screenshots SSHCureScreenshots SSHCure

Door Krijn Soeteman

Freelanceredacteur

Feedback • 28-06-2016 16:39 11

28-06-2016 • 16:39

11

Lees meer

Wetenschap Netwerk en systeembeheer Twente

Reacties (11)

-Moderatie-faq
11
11
7
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
deus4 28 juni 2016 22:01
In 2008 heb ik mijn bachelor thesis aan dezelfde groep geschreven over een sterk gerelateerd onderwerp: het detecteren van netwerk scan attacks dmv flow data. Alweer lang geleden. Leuk om te zien dat dit onderzoek alsnog wordt voortgezet. :)
GlowMouse 29 juni 2016 00:12
Het nieuwsartikel is een beetje een PR-verhaal: "wordt nu al wereldwijd gebruikt". Elders wordt gesproken van een "accuracy close to 100%" (persbericht, wetenschappelijke publicatie 1 en 2). In die laatste publicatie zie je in Tabel III dat hiermee 97% wordt bedoeld. De false positive rate is dan 4,2%. In de onderzochte data set met 4.7M flow records vonden 4276 aanvallen plaats. De voorgestelde methode zou 4148 aanvallen detecteren, en tegelijkertijd twee miljoen keer vals alarm slaan. Voor elke aanval bijna 500x vals alarm. Dat is toch niet bruikbaar in praktijk?

Waar men wel succesvol in was, is het detecteren en classificeren van ssh-aanvallen, een resultaat uit 2012. Geen enkele false positive terwijl vrijwel alle aanvallen werden gedetecteerd en geclassificeerd (in poortscan, brute-force of succesvolle hackpoging). Later kwam men terug op dat succes: "real-world deployments (..) have shown that this approach fails for many attacks from especially far-away countries". Het bleek lastig om een poortscan te onderscheiden van een succesvolle aanval. Na enkele aanpassingen wordt de brute-forcefase nog in 22-57% van de gevallen gezien als een succesvolle aanval. Gelet op het grote aantal brute-forces die op ssh-servers plaatsvinden, is dat praktisch onbruikbaar. De tool daarvoor is in 2015 verder ontwikkeld, maar gelet op de nieuwe features kun je je afvragen of dat een taak is van universiteiten:
• New user interface design, adapted to better suit the needs of SSHCure users.
• Integration with security incident reporting tools, such as Qmanage and AIRT, using XML-RPC, X-ARF and IODEF interfaces. This allows SSHCure to be integrated into existing security incident handling workflows, e.g., Security Information and Event Management (SIEM).
• Integration with the OpenBL SSH blacklist, providing additional insights when analysing detection results.
• Full IPv6 support.
Echt bruikbaar is het nog niet, want sinds twee jaar staat er bij SSHCure:
The code currently available on GitHub is what should be v3.0 shortly, but is unstable as of this moment. Please use either v2.4.x from SourceForge, or be aware of a probably very hard time gettings things up and running.
En dan zou deze tool veel gebruikt worden?
Gettow @GlowMouse29 juni 2016 00:36
Ik vraag me ook af hoe het zich verhoud tot andere flow-based detectiesystemen, zoals Lancope, of een systeem zoals Bro, dat een andere, maar vergelijkbare abstractie van het netwerkverkeer gebruikt voor detectie.
totaalgeenhard @GlowMouse29 juni 2016 00:48
De false positive rate is dan 4,2%. In de onderzochte data set met 4.7M flow records vonden 4276 aanvallen plaats.
Host based? Want als dit een netwerk van 10Gb/s moet voorstellen is het niets.

Zelfs met 1 Gb/s uplink zie ik per dag een veelvoud daarvan voorbij komen.

Verder zouden onderzoekers eens verder kijken dan hun neus lang is. Dat je publiekelijk niet zoiets vind betekend niet dat het er niet is.

Ik ben betrokken geweest bij een implementatie eind jaren '90 in financiële branche (de enige die er ook de financiële middelen voor hebben) het is niet nieuws.

Verder vraag ik me af of iemand die security serieus neemt RDP/SSH rechtstreeks benaderbaar maakt vanaf het internet. Laat staan dat bruteforce enige zin heeft (preshared keys + passphrase) + block/drop bij meer dan X aantal pogingen.

Dus naast dat concept zeker niet nieuw is, wat lost het op t.o.v. 1001 andere mogelijkheden die je al reeds hebt (en soms ook al reeds hebt toegepast :) )

Tot slot proven technology + betrouwbare bedrijf/organisatie (ivm o.a. support) is de sleutel voor een nieuw product.

Ik wens deze studenten veel succes, als ze het eens als product/appliance in de markt willen zetten mogen ze gerust contact met me opzoeken tot die tijd zal ik geen moeite doen om me te verdiepen in proefschrift.

update: even vluchtig naar beide documenten (thanks glowmouse) gekeken.
Maar simpel gezegd hebben ze een bruteforce detector op netwerk nivo "verzonnen".
Wat voegen ze hiermee toe/lossen ze op?

Als Joomla/Wordpress (en SSH en RDP) al te bruteforcen zijn heb je gewoon structureel en heel ander probleem en zal hun oplossing (operationeel) veel kosten en arbeidsintensiever te zijn, tenzij je een netwerk voor de lol wilt monitoren omdat je toch niet achterliggende problemen structureel kunt oplossen. (of wilt indien je per uur betaald krijgt).

Er zijn andere dingen te verzinnen, maar ik wil niemand op ideeën brengen.

[Reactie gewijzigd door totaalgeenhard op 22 juli 2024 20:07]

Verwijderd 28 juni 2016 17:05
Dit is duidelijk een follow-up van RFC3514 uit 2003, die vermeldt:
" Firewalls, packet filters, intrusion detection systems, and the like often have difficulty distinguishing between packets that have malicious intent and those that are merely unusual. We define a security flag in the IP(v4) header as a means of distinguishing the two cases."

[Reactie gewijzigd door Verwijderd op 22 juli 2024 20:07]

mashell @Verwijderd28 juni 2016 17:26
Trap je nou niet in een heel oude 1 april grap?
Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd28 juni 2016 18:09
Meen je dit nu serieus? De RFC3514 , ofwel "evil bit" is een aloude bekende 1 april grap.
CAPSLOCK2000
28 juni 2016 18:37
Ik snap niet waarom dit nu wordt gepubliceerd. Wat is het nieuws?
Hofstede deed het werk niet alleen. Voor de software werkte hij samen met Luuk Hendriks en een andere collega, Anna Sperotto, promoveerde al eerder op het onderwerp om brute-forceaanvallen te herkennen op ssh-clients. Hofstede gebruikte onder andere informatie van dat proefschrift voor het werk van het team. "Daarom heet de software ook SSHCure."
Ik snap het niet. SSHCure is al veel ouder, die software is al in 2012 uit gekomen. Geschreven door Rick Hofstede, het is dus geen gevalletje fraude ofzo, maar waarom nu een artikel er over?

Het wetenschappelijke artikel waar naar verwezen wordt is ook niet helemaal nieuw meer, dat is in maart 2015 gepubliceerd. Toen is er ook een nieuwe release van SSHCure geweest maar dat is inmiddels dus ook al meer een jaar geleden.

Het is mooie software en interessant onderzoek maar ik snap niet waarom het nú in het nieuws is.
Gettow @CAPSLOCK200028 juni 2016 19:44
Het is mooie software en interessant onderzoek maar ik snap niet waarom het nú in het nieuws is.
Morgen, 29 juni, vindt de verdediging van het werk plaats.
CAPSLOCK2000
@Gettow28 juni 2016 20:41
Ah, bedankt, ik wens hem veel succes! :)
VictorK @CAPSLOCK200028 juni 2016 18:44
Inderdaad, en de laatste commit op github is van 10 december 2015: https://github.com/SSHCur...0977538e21f847ced82eda692

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq