Een onderzoeker van de Universiteit Twente heeft een nieuwe manier gevonden om netwerkverkeer te analyseren, waardoor er efficiënter tegen aanvallen kan worden opgetreden. Dat heeft de Universiteit Twente bekendgemaakt.
De meest voor de hand liggende manier om mogelijke aanvallen te detecteren is het analyseren van netwerkverkeer en logbestanden op iedere computer. Deze klassieke benadering kijkt vooral naar de inhoud van het verkeer. Volgens onderzoeker en promovendus Rick Hofstede wordt op deze manier veel data geanalyseerd die nooit effect zal hebben. Een netwerk van een grote organisatie, met daarop tienduizenden computers en smartphones, is onmogelijk te beveiligen door op elk apparaat te kijken wat er gebeurt.
Hofstede heeft daarom voor een 'flow-based' benadering gekozen (pdf). Hij kijkt op een hoger niveau naar de datastromen en herkent daarin patronen. "Zoals je de verspreiding van een reclamefolder kunt herkennen zonder naar de inhoud van de folder te kijken, herkent hij verdacht internetverkeer door naar de manier van verzenden te kijken, en naar de afzender. Het voordeel hiervan is dat dit op een centraal punt kan plaatsvinden, bijvoorbeeld bij een router die het internetverkeer regelt", aldus de universiteit.
Zelfs als het aantal aangesloten apparaten toeneemt is deze detectiemethode gemakkelijk op te schalen. Daarnaast kijkt Hofstede niet naar alle aanvalspogingen, maar naar die ene aanval die daadwerkelijk effect heeft en tot een infectie of hack leidt. Ook zou de detectiemethode sneller moeten achterhalen of er meer aanvallen van dezelfde afzender komen.
Hofstede heeft zijn aanpak niet alleen in het lab uitgetest, maar de bijbehorende software SSHCure (pdf) ook 'open source' ter beschikking gesteld aan Computer Emergency Response Teams van verschillende organisaties. Hieruit blijkt dat zijn aanpak tot beduidend minder incidenten leidt, met detectiepercentages tot 100 procent, afhankelijk van onder meer de applicatie en het type netwerk. Toekomstige, krachtige routers zouden de detectie al zelfstandig, dus zonder tussenkomst van extra apparatuur, kunnen uitvoeren, zo verwacht Hofstede. De onderzoeker hoopt morgen te promoveren.
Deze posting is gelocked. Reageren is niet meer mogelijk.