Title Paskirstyto prievadų skenavimo atakų aptikimas tinklo srautuose
Distributed port scan detection in network traffic
Authors Andrius Kulbis
Abstract [lit] Kompiuterinės bei ryšio technologijos labai palengvina bendravimą bei bendradarbiavimą, tačiau kartu jos atneša ir vis daugiau naujų grėsmių tiek pavieniams vartotojams namuose, tiek įmonių ar įstaigų darbuotojams. Šiame magistriniame darbe nagrinėjami kompiuterių tinklo prievadų skenavimo tipai ir vykdymo metodikos, įrankiai ir literatūroje aprašomi metodai, šioms atakoms tinklo duomenų srautuose aptikti. Tolesniam tyrimui buvo pasirinktos paskirstyto prievadų skenavimo atakos, kuomet aibė šaltinių atlieka skenavimą nukreiptą prieš aibę įrenginių, veikiančių tinkle. Buvo sudarytas metodas šio tipo atakų aptikimui, kuris remiasi plačiai naudojamo vieno šaltinio atliekamo skenavimo aptikimo algoritmu ieškant pėdsakų NetFlow tinklo srautų įrašuose, tam kad sumažinti, informacijos, kurią reikia analizuoti kiekį ir aprėpti visame tinkle vykstančius įvykius. Atlikus eksperimentą nustatyta, kad siūlomas metodas efektyviau naudoja tinklo srauto analizei naudojamo įrenginio resursus, bei tiksliau aptinka ir identifikuoja paskirstytas tinklo prievadų skenavimo atakas lyginant su Snort įsilaužimų aptikimo sistema.
Abstract [eng] Computer and communications technology greatly facilitates communication and cooperation, and together they bring more and more new threats to both individual home users and corporate bodies or employees. This paper focuses on network port scanning types and techniques and detection methods for this kind of network attacks. Further investigation has been distributed for the selected port scanning attack, where multiple sources are scanning multiple host in order to find security gaps or weak spots in the network. A method for detecting this type of attack, which is based on the widely used single source scan detection algorithm using NetFlow network flow records as a data source, in order to reduce the amount of the information you need to analyze and coverage events taking place throughout the entire network. The experiment showed that the proposed method is more efficient with the use of device resources for network traffic analysis and has a better accuracy for detecting and identifying a distributed network port scanning attacks compared with the Snort intrusion detection system.
E. documents Download