An approch to the security problems in the TCP/IP protocol suite for a network security monitor design

Thesis (Master)--Izmir Institute of Technology, Computer Engineering, Izmir, 1999Includes bibliographical references (leaves: 99-102)Text in English; Abstract: Turkish and Englishxii, 102 leavesThere are a number of security problems in the TCP/IP protocol suite. In this thesis these problems will be analyzed in detail. The problems in several existing prevention methods will be analyzed as well in order to show that security policies based merely on preventive measures are not completely secure and convenient. Therefore, "network security moniJoring" will be proposed as an alternative and supplementary approach against Internet attacks

New Sequential Methods for Detecting Portscanners

In this paper, we propose new sequential methods for detecting port-scan attackers which routinely perform random "portscans" of IP addresses to find vulnerable servers to compromise. In addition to rigorously control the probability of falsely implicating benign remote hosts as malicious, our method performs significantly faster than other current solutions. Moreover, our method guarantees that the maximum amount of observational time is bounded. In contrast to the previous most effective method, Threshold Random Walk Algorithm, which is explicit and analytical in nature, our proposed algorithm involve parameters to be determined by numerical methods. We have developed computational techniques such as iterative minimax optimization for quick determination of the parameters of the new detection algorithm. A framework of multi-valued decision for testing portscanners is also proposed.Comment: 11 pages, 5 figures, the mathematical theory of the detection algorithm has been presented in SPIE conference

Advancing Protocol Diversity in Network Security Monitoring

With information technology entering new fields and levels of deployment, e.g., in areas of energy, mobility, and production, network security monitoring needs to be able to cope with those environments and their evolution. However, state-of-the-art Network Security Monitors (NSMs) typically lack the necessary flexibility to handle the diversity of the packet-oriented layers below the abstraction of TCP/IP connections. In this work, we advance the software architecture of a network security monitor to facilitate the flexible integration of lower-layer protocol dissectors while maintaining required performance levels. We proceed in three steps: First, we identify the challenges for modular packet-level analysis, present a refined NSM architecture to address them and specify requirements for its implementation. Second, we evaluate the performance of data structures to be used for protocol dispatching, implement the proposed design into the popular open-source NSM Zeek and assess its impact on the monitor performance. Our experiments show that hash-based data structures for dispatching introduce a significant overhead while array-based approaches qualify for practical application. Finally, we demonstrate the benefits of the proposed architecture and implementation by migrating Zeek\u27s previously hard-coded stack of link and internet layer protocols to the new interface. Furthermore, we implement dissectors for non-IP based industrial communication protocols and leverage them to realize attack detection strategies from recent applied research. We integrate the proposed architecture into the Zeek open-source project and publish the implementation to support the scientific community as well as practitioners, promoting the transfer of research into practice

目視モニタリングの時系列圧縮性による機械化方式に関する研究

利用者がネットワークをどの様に使用しているのかを知るため，ネットワーク管理者（以下，管理者と略記）は観測されたトラヒック時系列のグラフを日常的に目視している．そして，グラフに描かれるトラヒックパターンと過去に経験したパターンを比較する事により，ネットワークの正常性や異常性を把握するとともに，トラヒックパターンに関する新たな経験知識も獲得する．目視モニタリングから得られる経験知識は自動モニタリング手法の設計にも必要であり，まさしくモニタリングの基盤的知識である．それ故に目視モニタリングはインターネットの初期から広く利用されており，今後も非常に重要である．しかし，管理者の経験知識は日々のモニタリング作業で更新されるため，維持管理が非常に困難である．更に，目視モニタリングの大半は人の作業であるため，管理者の負担は大きい．それにもかかわらず，モニタリング基盤である経験知識の獲得と維持管理について管理者を支援する機械的手段は殆ど存在しない．現状の自動モニタリング手法は，ウイルスやP2P 等による既知の異常トラヒックの検出手法であり，経験知識の獲得を対象としない．よって，本研究は目視モニタリングの機械化によりこれらの困難な問題の解決を目指す．提案手法は目視モニタリングを管理者とシステムの相互作用に基づくマンマシンシステムとして機械化する．特に，1 回のモニタリングを次の2 ステップで構成し，それらを交互に繰り返す事により経験知識の獲得と維持管理について管理者を支援する． 1) システムは観測されたトラヒックパターンを分類し，その分類結果を管理者が想定する分類結果と比較する事によりネットワークの状態を把握し，管理者に通知する． 2) システムからの通知をきっかけに，管理者は分類結果が想定と一致しないトラヒックについてネットワークを調査し，判明した正しい分類結果をシステムに学習させ，以降の自動状態把握に反映させる．この過程において，管理者の経験知識は管理者が教示した分類事例としてシステムに蓄積される．その結果として，管理者の経験知識は忘却の恐れなくシステムに完全に保存される．また，システムは事例データベースにない新パターンを管理者に通知し調査を促す．そして，この通知に基づいてネットワークを調査する事で，管理者は新たな経験知識を獲得できる．よって，提案手法は経験知識の獲得と維持管理について管理者を支援する．提案手法は多様なネットワークにおいて多目的モニタリングを実現する下記の2 種類の適応能力を持つ． a) 観測する地点や時点により多様に変化するトラヒックに対し自律的に適応する能力． b) モニタリング目的に応じて多様に変化するトラヒック分類基準に対し管理者の教示により適応する能力．提案手法では，まず，システムは観測されたトラヒック時系列を観測データの分布に対して適応的なラベル時系列として表現し，基準トラヒックが張る圧縮性特徴空間によりパラメータフリーで低次元の圧縮性特徴ベクトルへと変換する．これにより，上の a)を実現する．次に，システムは管理者から教示されたトラヒック分類事例を基準として学習し，蓄積された事例に基づいて圧縮性特徴ベクトルとして表現されたトラヒックを分類する．これにより，上の b)を実現する．シミュレーション生成した多様なトラヒックを用いた実験により，提案手法が研究目標を達成する事を示す．電気通信大学201