UT-onderzoeker analyseert netwerkverkeer op nieuwe manier
Een onderzoeker van de Universiteit Twente heeft een nieuwe manier gevonden om netwerkverkeer te analyseren, waardoor er efficiënter tegen aanvallen kan worden opgetreden. Dat heeft de Universiteit Twente bekendgemaakt.
De meest voor de hand liggende manier om mogelijke aanvallen te detecteren is het analyseren van netwerkverkeer en logbestanden op iedere computer. Deze klassieke benadering kijkt vooral naar de inhoud van het verkeer. Volgens onderzoeker en promovendus Rick Hofstede wordt op deze manier veel data geanalyseerd die nooit effect zal hebben. Een netwerk van een grote organisatie, met daarop tienduizenden computers en smartphones, is onmogelijk te beveiligen door op elk apparaat te kijken wat er gebeurt.
Hofstede heeft daarom voor een 'flow-based' benadering gekozen (pdf). Hij kijkt op een hoger niveau naar de datastromen en herkent daarin patronen. "Zoals je de verspreiding van een reclamefolder kunt herkennen zonder naar de inhoud van de folder te kijken, herkent hij verdacht internetverkeer door naar de manier van verzenden te kijken, en naar de afzender. Het voordeel hiervan is dat dit op een centraal punt kan plaatsvinden, bijvoorbeeld bij een router die het internetverkeer regelt", aldus de universiteit.
Zelfs als het aantal aangesloten apparaten toeneemt is deze detectiemethode gemakkelijk op te schalen. Daarnaast kijkt Hofstede niet naar alle aanvalspogingen, maar naar die ene aanval die daadwerkelijk effect heeft en tot een infectie of hack leidt. Ook zou de detectiemethode sneller moeten achterhalen of er meer aanvallen van dezelfde afzender komen.
Open source
Hofstede heeft zijn aanpak niet alleen in het lab uitgetest, maar de bijbehorende software SSHCure (pdf) ook 'open source' ter beschikking gesteld aan Computer Emergency Response Teams van verschillende organisaties. Hieruit blijkt dat zijn aanpak tot beduidend minder incidenten leidt, met detectiepercentages tot 100 procent, afhankelijk van onder meer de applicatie en het type netwerk. Toekomstige, krachtige routers zouden de detectie al zelfstandig, dus zonder tussenkomst van extra apparatuur, kunnen uitvoeren, zo verwacht Hofstede. De onderzoeker hoopt morgen te promoveren.
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.
Natuurlijk is flow based firewalling en intrusion detection and mitigation al JAAREN standaard in grote omgevingen...
Klinkt echt of ze bij de universiteit twente nog pre-100mbps tijd zitten.
Verzin eens iets nieuws...
Hopen dat Redsocks ook gebruik gaat maken van deze toevoeging, Redsocks detecteert Malware op een vrijwel identieke manier.
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.
Natuurlijk is flow based firewalling en intrusion detection and mitigation al JAAREN standaard in grote omgevingen...
Klinkt echt of ze bij de universiteit twente nog pre-100mbps tijd zitten.
Verzin eens iets nieuws...
Over het algemeen is promoveren op bekende informatie niet mogelijk. Verdiep je maar eens wat dieper in de academische wereld. Geen idee hoe revolutionair dit onderzoek is. Iets teveel leeswerk voor vanavond maar ik vermoed dat jij nooit veel verder bent gekomen dan dit soort postings.
Is er geen professor die enigzins een controle uitvoert op de onderwerpen waarop met tegenwoordig kan afstuderen?
Anders had ik jaren geleden misschien wel kunnen afstuderen op het koppelen van PC's via koperdraad met een universeel protocol.
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”
Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”
Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn
Zou u mij kunnen vertellen waarom VPN veiliger aan de buitenkant is dan SSH? (Oprecht nieuwsgierig)
Management doe je via een intern adres (desnoods door een VPN tunnel), maar nooit aan de “outside”
Maar ik kan me voorstellen dat er idd talloze (MKB?) bedrijven zijn die hier wat soepeler mee omspringen, met name als men geen goede infra heeft om bijv VPN’s mee op te bouwen. Dus als je geen VPN o.i.d. hebt, dan kan het best interessant zijn
Zou u mij kunnen vertellen waarom VPN veiliger aan de buitenkant is dan SSH? (Oprecht nieuwsgierig)
Niet dezelfde poster, maar vaak betekent SSH login SSH login op basis van username/password .
De veelvuldige SSH portscans hebben te vaak succes met een dictionary attack .
VPN is vrijwel altijd op basis van opgeslagen credentials bij de client, en dus niet direct kwetsbaar voor een portscan+ dictionary attack.
Dat is geen fundamenteel protocol probleem, maar wel een praktische realiteit .
De code kwaliteit van een SSH daemon versus IKE/Ipsec of andere VPN daemon als risico van een compromise of DoS lijkt me niet slechter , en misschien zelfs beter .
Op basis van de samenvatting kun je echt niet zeggen of de research nieuw is of niet .
"Iets op basis van flows" is inderdaad bepaald niet nieuw . Maar het is dan ook erg zeldzaam dat een promotie onderwerp op zo'n hoofdlijn nieuw is .
Er wordt in de werktuigbouw echt nog gepromoveerd op Otto- of Dieselmotoren, of op turbines. De nieuwigheid zit 'm dan niet in het 100+ jaar oude basisconcept .
Medisch/fysische promoties op basis van "oppoetsen en analyseren van rontgen/mri/ultrasoon beelden" gaan ook gestaag door. De vorige generatie promoties op dat terrein zit dan net in de scanners die je kunt kopen .
- Het artikel is te kort om de echte essentie van het proefschrift weer te geven. Lees het proefschrift eens door zou ik zeggen.
- SSH is hier gebruikt als proof of concept. Het gaat echt niet alleen om SSH.
- Het was een promotie-onderzoek voor 2 universiteiten, die gezamelijk het onderzoek met een promotie hebben beloond. Het komt niet zo vaak voor dat iemand van 2 universiteiten tegelijk een doctorstitel krijgt. Dus het was echt niet een kwestie van "het wiel opnieuw" uitvinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
