Schließen

Optimization of network intrusion detection processes

Optimierung von Einbrucherkennungsprozessen

  • Intrusion detection is a concept from the field of IT security. Network intrusion detection systems (NIDS) are used in addition to preventative measures, such as firewalls, to enable an automated detection of attacks. Network security threats often consist of multiple attack phases directed against various components of the network. During each attack phase, varying types of security-related events can be observed at various points in the network. Security monitoring, however, is nowadays essentially limited to the uplink to the internet. Sometimes it is also used to a limited extent at key points within a network, but the analysis methods do not have the same depth as at the uplink. Other areas, such as virtual networks in virtual machines (VMs), are not covered at all, yet. The aim of this thesis has been to improve the detection capability of attacks in local area networks. With a glance at the area of safety engineering, it appears efficient to secure these networks thoroughly and to develop additional monitoring solutions onlyIntrusion detection is a concept from the field of IT security. Network intrusion detection systems (NIDS) are used in addition to preventative measures, such as firewalls, to enable an automated detection of attacks. Network security threats often consist of multiple attack phases directed against various components of the network. During each attack phase, varying types of security-related events can be observed at various points in the network. Security monitoring, however, is nowadays essentially limited to the uplink to the internet. Sometimes it is also used to a limited extent at key points within a network, but the analysis methods do not have the same depth as at the uplink. Other areas, such as virtual networks in virtual machines (VMs), are not covered at all, yet. The aim of this thesis has been to improve the detection capability of attacks in local area networks. With a glance at the area of safety engineering, it appears efficient to secure these networks thoroughly and to develop additional monitoring solutions only for the remaining problem cases. This entails several challenges for the analysis of different parts of the TCP/IP stack. The lowermost part of the network stack has to be analyzed for attacks on network components, such as switches and VM bridges. For this, there is still no technology. Although attacks on the layers~2 and 3, such as ARP spoofing and rogue DHCP servers in physical networks, can be controlled to some extent by appropriate switches, equivalent methods are not used in virtual networks. Therefore, a software-defined networking based approach is proposed to counteract the respective attacks, which works for physical and virtual networks. The upper layers are already largely covered by traditional NIDS methods, but the rapidly increasing data rates of local area networks often lead to an uncontrolled discarding of traffic due to overload situations in the monitoring stations. Therefore, the drawbacks of current optimization approaches are outlined based on a detailed performance profiling of typical intrusion detection systems. A new approach for parallelizing the intrusion detection analysis that copes with the increasing network dynamics is introduced and evaluated. Since further special issues for NIDS particularly go back to the massive use of web technologies in today's networks, a firewall architecture is presented which applies novel NIDS methods based on machine learning to identify web applications and to ward off malicious inputs. The architecture addresses the entire process chain starting from the data transfer with HTTP via the analysis of manipulated web documents to the extraction and analysis of active contents.show moreshow less
  • Intrusion Detection (Einbrucherkennung) ist ein Konzept aus dem Bereich der IT-Sicherheit. Netzwerk-Einbrucherkennungssysteme (NIDS) werden in Ergänzung zu präventiven Maßnahmen, wie z.B. Firewalls, eingesetzt um automatisiert Angriffe auf Computernetze und Endsysteme zu erkennen. Bedrohungen für die Netzsicherheit setzen sich oft aus verschiedenen Angriffsphasen zusammen, die gegen verschiedene Komponenten im Netz gerichtet sind. Während jeder Angriffsphase können an verschiedenen Punkten im Netz unterschiedliche sicherheitsrelevante Ereignisse beobachtet werden, die theoretisch in ein NIDS eingeleitet werden können. Das Sicherheits-Monitoring ist heutzutage jedoch im Wesentlichen auf den Uplink zum Internet beschränkt. In wenigen Fällen wird es auch innerhalb eines Netzes eingesetzt, aber die eingesetzten Analysemethoden haben nicht dieselbe Analysetiefe wie am Uplink. Darüber hinaus sind andere Netzbereiche, wie z.B. virtuelle Netze zwischen virtuellen Maschinen, bisher nicht abgedeckt. Das Ziel dieser Arbeit ist die VerbesserungIntrusion Detection (Einbrucherkennung) ist ein Konzept aus dem Bereich der IT-Sicherheit. Netzwerk-Einbrucherkennungssysteme (NIDS) werden in Ergänzung zu präventiven Maßnahmen, wie z.B. Firewalls, eingesetzt um automatisiert Angriffe auf Computernetze und Endsysteme zu erkennen. Bedrohungen für die Netzsicherheit setzen sich oft aus verschiedenen Angriffsphasen zusammen, die gegen verschiedene Komponenten im Netz gerichtet sind. Während jeder Angriffsphase können an verschiedenen Punkten im Netz unterschiedliche sicherheitsrelevante Ereignisse beobachtet werden, die theoretisch in ein NIDS eingeleitet werden können. Das Sicherheits-Monitoring ist heutzutage jedoch im Wesentlichen auf den Uplink zum Internet beschränkt. In wenigen Fällen wird es auch innerhalb eines Netzes eingesetzt, aber die eingesetzten Analysemethoden haben nicht dieselbe Analysetiefe wie am Uplink. Darüber hinaus sind andere Netzbereiche, wie z.B. virtuelle Netze zwischen virtuellen Maschinen, bisher nicht abgedeckt. Das Ziel dieser Arbeit ist die Verbesserung der Angriffserkennung innerhalb lokaler Netze (LANs). Mit Blick auf den Bereich des Safety Engineering scheint es effizient diese Netze zunächst sorgfältig mit präventiven Maßnahmen zu sichern und nur für die verbleibenden Problemfälle reaktive Monitoring-Maßnahmen zu entwickeln. Dies beinhaltet verschiedene Probleme bei der Analyse un¬terschiedlicher Teile des TCP/IP Protokoll-Stacks. Der unterste Teil des Stacks muss auf Angriffe/Angriffsmethoden auf die Netztechnik, wie z.B. Switches und VM bridges, untersucht werden. Hierfür gibt es bisher keine zuverlässige Technologie. Auch wenn Angriffe auf die Schichten 2 bis 3 des Protokoll-Stacks in physischen Switches bis zu einem gewissen Grad eingeschränkt werden können, gibt es bisher keine vergleichbaren Technologien für virtuelle Netze und Software-Komponenten. Deshalb wird in dieser Dissertation ein software-defined-networking Ansatz vorgestellt, der sowohl physische, als auch virtuelle Netzinfrastrukturen schützt. Die mittleren/oberen Schichten des Protokoll-Stacks sind bereits zu einem großen Teil durch traditionelle NIDS geschützt. Stetig steigende Datenraten innerhalb der lokalen Netze führen jedoch oft zu einem unkontrollierten Verwerfen von Netzverkehr (mit einem entsprechenden Verlust der Analysegenauigkeit), der durch Überlastsituationen innerhalb der Monitoring-Stationen bedingt ist. Basierend auf einer detaillierten Leistungsanalyse typischer NIDS werden die Probleme und Flaschenhälse existierender Optimierungsansätze für die Beschleunigung der Analyse aufgezeigt und ein neuer Ansatz zur Parallelisierung der NIDS-Analysemethoden vorgestellt und evaluiert. Die Analyse der Anwendungsschicht wird zwar zu einem großen Teil durch klassische NIDS abgedeckt, aber der massive Einsatz von Web-Technologien erschwert die Analyse potenziell gefährlicher Anwendungsdaten. Um auch den Web-Bereich abzudecken wird eine neue Firewall-Architektur präsentiert, die basierend auf neuen NIDS-Analysemethoden mittels maschinellen Lernens Web-Anwendungen identifizieren und schadhafte Eingaben abwehren kann. Die Architektur adressiert die gesamte Prozesskette beginnend mit dem Datentransfer via HTTP, über die Analyse manipulierter Web-Dokumente, bis hin zur Extraktion und Analyse aktiver Inhalte.show moreshow less

Download full text files

Export metadata

Additional Services

Search Google Scholar Stastistics
Metadaten
Author: René Rietz
URN:urn:nbn:de:kobv:co1-opus4-44327
Referee / Advisor:Prof. Dr.-Ing. habil. Hartmut König
Document Type:Doctoral thesis
Language:English
Year of Completion:2017
Date of final exam:2017/11/17
Release Date:2018/03/19
Tag:Einbrucherkennungssysteme (IDS); Maschinelles Lernen; Software-definierte Netzwerke (SDN); Web 2.0; Web Firewall
Intrusion Detection Systems (NIDS); Machine Learning; Parallel NIDS; Software-Defined Networking (SDN); Web Firewall (Web 2.0)
GND Keyword:Eindringerkennung; Maschinelles Lernen; Software-defined networking; World Wide Web 2.0; Firewall
Institutes:Fakultät 1 MINT - Mathematik, Informatik, Physik, Elektro- und Informationstechnik / FG Rechnernetze und Kommunikationssysteme
Licence (German):Keine Lizenz vergeben. Es gilt das deutsche Urheberrecht.

DINI-Zertifikat OPUS4 Logo

Einverstanden ✔
Diese Webseite verwendet technisch erforderliche Session-Cookies. Durch die weitere Nutzung der Webseite stimmen Sie diesem zu. Unsere Datenschutzerklärung finden Sie hier.