Go to page
 

Bibliographic Metadata

Title
Efficient intrusion detection in high-speed networks / Felix Erlacher
AuthorErlacher, Felix
ParticipantsDressler, Falko ; Freiling, Felix
PublishedPaderborn, 2019
Edition
Elektronische Ressource
Description1 Online-Ressource (viii, 157 Seiten) : Diagramme
Institutional NoteUniversität Paderborn, Dissertation, 2019
Annotation
Tag der Verteidigung: 27.06.2019
Defended on2019-06-27
LanguageEnglish
Document TypesDissertation (PhD)
URNurn:nbn:de:hbz:466:2-35001 
DOI10.17619/UNIPB/1-742 
Files
Efficient intrusion detection in high-speed networks [1.2 mb]
Links
Reference
Classification
Abstract (German)

Um heutige Computer Netzwerke in Betrieb zu halten, ist es unumgänglich alle Angriffe und bösartigen Aktivitäten im Netzwerkverkehr zu entdecken. Diese Anforderung macht Angriffserkennung zu einem integralen Bestandteil jeder IT-Sicherheitsstrategie. In dieser PhD Arbeit beschäftigen wir uns mit dem Problem der Angriffserkennung in Hochgeschwindigkeitsnetzwerken. Um eine zufriedenstellende Genauigkeit bei der Angriffserkennung zu erreichen, greifen moderne Angriffserkennungssysteme auf leistungsintensive Methoden wie Deep Packet Inspection (DPI) zurück und können deshalb nicht mehr mit dem Verkehrsaufkommen in Hochgeschwindigkeitsnetzen mithalten. Die Tatsache, dass Hochgeschwindigkeitsverbindungen heutzutage sogar in kleineren Firmen- und Campusnetzwerken weitverbreitet sind, unterstreicht die Wichtigkeit, welche die Entwicklung von effizienten Angriffserkennungssystemen hat. In dieser Arbeit schlagen wir neuartige Methoden für effiziente Angriffserkennung vor. Wir geben einen Überblick über die aktuelle Bedrohungslandschaft im Internet. Hierbei konzentrieren wir uns speziell auf Bedrohungen, welche mit der Einführung des sogenannten Web 2.0 entstanden. Wir untersuchen die aktuellen Gegenmaßnahmen und zeigen offene Problemstellungen auf. Dann zeigen wir, wie man die Effizienz von Anomalie-basierten Angriffserkennungssystemen erhöhen kann, indem wir mehrere Anomalieerkennungs-Algorithmenauf einer Maschine kombinieren. Durch die hohe Leistungsanforderung der kombinierten Algorithmen können zufällige Paketverluste auftreten, diese mildern wir durch eine neuartigen Herangehensweise ab. Um den Datendurchsatz von Netzwerk-Monitoring Vorrichtungen im Allgemeinen und Angriffserkennungssystemen im Speziellen zu erhöhen, schlagen wir zwei Methoden zur Vorverarbeitung von HTTP Verkehr vor. Wir zeigen, dass beide Methoden die Menge der zu analysierenden Daten signifikant reduzieren und dabei die für die Angriffserkennung interessanten Daten erhalten.

Abstract (English)

To keep todays computer networks up and running, it is paramount to detect all attacks and malicious activities contained in the network traffic. This makes network intrusion detection an integral part of every IT security strategy. In this PhD thesis we study the problem of intrusion detection in high-speed networks. To achieve sufficient accuracy, state-of-the-art Network Intrusion Detection Systems (NIDS) apply performance intensive procedures like Deep Packet Inspection (DPI)-methods on network packets and, thus, can not cope with the traffic rates in high-throughput networks. The fact that high-throughput connections are nowadays widespread even in smaller corporate or campus networks, stresses for more efficient detection approaches. This thesis proposes novel methods for efficient intrusion detection in such scenarios. In order to get an understanding of todays threat landscape, we give an overview of the attacks which arose with the introduction of the so called Web2.0. We analyze current mitigation techniques and point out open research problems.Further, we present an approach which increases the efficiency of anomaly-based NIDS by combining multiple anomaly detection algorithms on a single computer.Our novel load allocation scheme mitigates random packet drops caused by the high performance-demand of the combined algorithms. To increase the network throughput performance of network monitoring appliances in general and NIDS in particular, we propose two methods for preprocessing HTTP traffic before analysis.We show that both approaches significantly reduce the data portion to be analyzed while retaining the relevant parts for intrusion detection. Then we present our novel signature-based NIDS called FIXIDS , which takes as input HTTP-enriched IPFIX Flows. By applying HTTP-related signatures from the widely used NIDS Snort, it guarantees that thousands of u++p-to-date and community validated attack descriptions are available.

License
CC-BY-NC-ND-License (4.0)Creative Commons Attribution - NonCommercial - NoDerivatives 4.0 International License