Application-Aware Flow Monitoring

Network flow monitoring has been a part of network security for the last dozen years. It is constantly evolving to keep pace with changes in network operation and innovative network attacks. The thesis contributes to the continuous efforts by exploring the possibilities unlocked by extending the flow data with application-specific information. We show how the construction of flows is affected by processing of application data, present the benefits to traffic analysis, and assess the inevitable performance loss caused by additional data processing. To compensate for the lost performance, several novel optimisation techniques are proposed for the flow monitoring process. Recognising that the increasing deployment of encryption is going to limit the benefits of application flow monitoring, we perform a survey of methods for measurement of encrypted traffic. The thesis is concluded by an outlook towards future possibilities for flow monitoring advancement

Next Generation Application-Aware Flow Monitoring

Deep packet inspection (DPI) and IP flow monitoring are frequently used network monitoring approaches. Although the DPI provides application visibility, detailed examination of every packet is computationally intensive. The IP flow monitoring achieves high performance by processing only packet headers, but provides less details about the traffic itself. Application-aware flow monitoring is proposed as an attempt to combine DPI accuracy and IP flow monitoring performance. However, the impacts, benefits and disadvantages of application flow monitoring have not been studied in detail yet. The work proposed in this paper attempts to rectify this lack of research. We also propose a next generation flow measurement for application monitoring. The flows will represent events within the application protocol, e.g., web page download, instead of packet stream. Finally, we will investigate the performance of different approaches to application classification and application parsing with a computational complexity in mind.Často používané metody monitorování sítě jsou hloubková inspekce paketů (DPI) a monitorování síťových IP toků. Přestože DPI poskytuje formace z aplikační vrstvy, podrobné zkoumání každého paketu je výpočetně náročné. Monitorování pomocí IP síťových toků dosahuje vysokého výkonu, protože zpracovává pouze záhlaví paketů, ale také poskytuje méně informací o provozu samotném. Měření aplikačních síťových toků bylo navrženo jako pokus zkombinovat přesnost DPI a výkon IP síťových toků. Dopady, výhody a nevýhody aplikačních síťových toků zatím ale nebyly dostatečně prostudovány. Práce navrhovaná v tomto článku se snaží napravit tento nedostatek výzkumu. Navíc také navrhujeme další generaci měření síťových toků. Tyto toky budou místo sekvence paketů reprezentovat události v aplikačních protokolech, například stažení webové stránky. Budeme se také zabývat výkonem a výpočetní složitostí různých přístupů ke klasifikaci provozu a zpracování aplikačních protokolů

Annotation of NetFlow Data from Perspective of Network Security

Tato práce se zabývá návrhem a implementací aplikace pro offline anotaci NetFlow datové sady z pohledu síťové bezpečnosti. V práci je podrobně popsána architektura NetFlow spolu se způsoby detekce bezpečnostních událostí v zachycených datech. Návrh aplikace je vytvořen na základě analýzy manuální anotace a podpořen několika UML diagramy. Vytvořená aplikace využívá systém Nemea pro detekci bezpečnostních událostí a systém Warden jako zdroj informací o nahlášených událostech na síti. Webová aplikace je postavena na PHP 5 s využitím Nette frameworku, knihovny jQuery a Bootstrap frameworku. Sdružení CESNET poskytlo NetFlow data pro testování aplikace. Pomocí vytvořené aplikace je možné analyzovat a následně anotovat zachycené NetFlow záznamy a vytvořenou datovou sadu využít například pro ověření, zda detekční nástroje pracují správně.This thesis describes design and implementation of application for offline NetFlow data annotation from perspective of network security. In this thesis is explained the NetFlow architecture in detail along with methods for security incidents detection in the captured data. The application design is based on analysis of manual annotation and supported by several UML diagrams. The Nemea system is used for detecting security events and Warden system as a source of information about reported security incidents on the network. The application uses technologies such as PHP 5, Nette framework, jQuery library and Bootstrap framework. The CESNET association provided NetFlow data for testing the application. The result of this thesis could be used for analysis and annotation of NetFlow data. Resulting data set could be used to verify proper functionality of detection tools.

Using Application-Aware Flow Monitoring for SIP Fraud Detection

Part 3: Security, Privacy, and MeasurementsInternational audienceFlow monitoring helps to discover many network security threats targeted to various applications or network protocols. In this paper, we show usage of the flow data for analysis of a Voice over IP (VoIP) traffic and a threat detection. A traditionally used flow record is insufficient for this purpose and therefore it was extended by application-layer information. In particular, we focus on the Session Initiation Protocol (SIP) and the type of a toll-fraud in which an attacker tries to exploit poor configuration of a private branch exchange (PBX). The attacker’s motivation is to make unauthorized calls to PSTN numbers that are usually charged at high rates and owned by the attacker. As a result, a successful attack can cause a significant financial loss to the owner of PBX. We propose a method for stream-wise and near real-time analysis of the SIP traffic and detection of the described threat. The method was implemented as a module of the Nemea system and deployed on a backbone network. It was evaluated using simulated as well as real attacks