Faculté des sciences

Defence mechanisms against vulnerabilities in network protocols and risk assessment of data packets

Yoo, InSeon ; Ultes-Nitsche, Ulrich (Dir.)

Thèse de doctorat : Université de Fribourg, 2006 ; no 1520.

Currently, the Internet is not a privilege for specific groups any more. The wide coverage of the Internet brought lots of risks as well as convenience. Network security problems are the familiar loss of confidentiality, integrity and availability. One of the solution technologies is a defence system to protect network-connected resources, which is called a firewall. The more serious network... Plus

Ajouter à la liste personnelle
    Zusammenfassung
    Heutzutage ist das Internet kein Privileg mehr für eine bestimmte Personengruppe. Die weite Verbreitung des Internets brachte viele Risiken wie auch Annehmlichkeiten. Probleme der Netzwerksicherheit sind der bekannte Verlust von Vertraulichkeit, Integrität und Verfügbarkeit. Eine Lösungstechnologie ist ein Verteidigungssystem, das mit dem Netzwerk verbundene Ressourcen schützt, die Firewall. Je grösser Netzwerkbedrohungen werden, umso wichtiger wird die Rolle der Firwall. Durch die weiterentwickelte Technologie werden die Angriffe immer bedrohlicher. Um vor neuen Angriffen zu schützen müssen, neue Verteidigungsmechanismen entwickelt werden. Die vorliegende Doktorarbeit untersucht Verteidigungsmechanismen gegen Netzwerkangriffe, die Schwachstellen in Netzwerkprotokollen ausnutzen, und betrachtet Risikobewertung von Datenpaketen, um sie dann auf Netzwerksicherheitssysteme anzuwenden, im besonderen auf ein Firewallsystem, das Janus genannt wird. Der Anfang dieser Forschung basiert auf der MPhil Arbeit "An Intelligent Firewall Architecture Model to Detect Internet-Scale Virus Attacks". Mit dem Konzept einer intelligenten Firewall im Auge wurde an möglichen Technologien geforscht, die auf Janus anwendbar sind. Ziel dieser Forschung ist es, die Fähigkeiten einer paketfilternden Firewall auszubauen, um mögliche Probleme und Angriffe durch verbesserte Firewalltechnologien zu reduzieren. Janus ist eine adaptive Firewalltechnologie, die auf einer paketfilternden Firewall basiert und die mit Protokollanomalieerkennung, Verifikation und E-Mail-Klassifikation ausgestattet ist. Weiterhin kann Janus Virenerkennung in Dateien, die einer E-Mail angehängt sind, durchführen, ohne dabei Virensignaturen zu verwenden. Der nichtsignaturbasierte Virenerkennungsansatz ist derzeit in der Lage, 84% von vireninfizierten Dateien in einer Stichprobe zu erkennen, die auch polymorphe und verschlüsselte Viren enthält. Die False Positives Rate liegt im Moment bei 30%. Die Kombination klassischer Virenerkennungsverfahren mit dieser SOM-basierten Technik für unbekannte Viren kann dazu beitragen, Systeme noch sicherer zu machen. Der Beitrag dieser Doktorarbeit ist es, verschiedene Verteidigungsmechanismen anzubieten und mit diesen das adaptive Firewallmodell weiterzuentwickeln.
    Summary
    Currently, the Internet is not a privilege for specific groups any more. The wide coverage of the Internet brought lots of risks as well as convenience. Network security problems are the familiar loss of confidentiality, integrity and availability. One of the solution technologies is a defence system to protect network-connected resources, which is called a firewall. The more serious network threats are, the more important the role of the firewall is. As high technologies have developed, the ways of attacks are getting even more serious. To prevent new attacks, new defence mechanisms also need to be developed. This thesis looks for defence mechanisms against network attacks, which use vulnerabilities in network protocols, and risk assessment of data packets, then apply them to network security systems, in particular, to a firewall system, which is called Janus. The start of this research is based on the MPhil thesis, "An Intelligent Firewall Architecture Model to Detect Internet-Scale Virus Attacks". With the concept of an intelligent firewall in mind, research on potential technologies applicable to Janus has been conducted. The goal of this research is to extend the abilities of packet-filtering firewalls aiming to reduce possible problems and attacks by improving firewall technologies. Janus is an adaptive firewall architecture based on a packet-filtering firewall, which can deal with protocol anomaly detection and verification, and email classification. Furthermore, Janus can conduct virus detection in attached files without the use of virus signatures. The non-signature-based virus detection approach currently is capable of detecting 84% of the virus-infected files in the sample set, which includes polymorphic and encrypted viruses. At the moment, the false positive rate is 30%. The combination of the classical virus detection technique for known viruses and this SOM-based technique for unknown viruses can help systems even more secure. The contribution of this work is to propose various approaches for building defence mechanisms, and developing the adaptive firewall model further based on the proposed defence technologies.