Bruteforcing in the Shadows - Evading Automated Detection

DRAŠAR, Martin a Jan VYKOPAL. Bruteforcing in the Shadows - Evading Automated Detection. 2012.

Základní údaje

• Originální název: Bruteforcing in the Shadows - Evading Automated Detection
• Název česky: Skrytý bruteforcing - obcházení automatické deteckce útoků
• Autoři: DRAŠAR, Martin (203 Česká republika, garant, domácí) a Jan VYKOPAL (203 Česká republika, domácí).
• Vydání: 2012.

Další údaje

• Originální jazyk: angličtina
• Typ výsledku: Audiovizuální tvorba
• Obor: 10201 Computer sciences, information science, bioinformatics
• Stát vydavatele: Česká republika
• Utajení: není předmětem státního či obchodního tajemství
• WWW: Webová stránka konference Slidy prezentace
• Kód RIV: RIV/00216224:14610/12:00058679
• Organizační jednotka: Ústav výpočetní techniky
• Klíčová slova anglicky: NetFlow;bruteforce attacks;flow stretching;evading detection;automatic detection
• Štítky: rivok
• Příznaky: Mezinárodní význam, Recenzováno

Anotace

Networks of today face multitude of attacks of various complexities, but research of suitable defences is often done on limited or unsuitable datasets or insufficient testbeds. Therefore many proposed detection mechanisms are usable only for relatively small subsets of attacks, which significantly disturbs traffic patterns such as flooding attacks or massive port scans. At Masaryk University, which has about 15,000 networked computers, we employ a wide range of detection tools based on NetFlow, such as port scan, botnet, and brute-force attack detectors. Their initial versions proved to be useful for detecting attacks that generate significant behavioral changes in traffic patterns. However we have found that there are several techniques to lessen the behavioral impact and in effect to hide an attack from the detection mechanisms. In our presentation we will discuss three such techniques. The first one restricts the number of attempts in a given time window under the detection threshold. The second and the third ones mimic legitimate traffic either by inserting irregular delays between individual attack attempts or by exploiting features of protocols to create the illusion of legitimate traffic. These methods are inexpensive to implement, but they can be very effective for evading detection. Therefore we would like to raise awareness about them and their importance for designing new detection methods.

Návaznosti

• OVMASUN200801, projekt VaV: Název: CYBER ? Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence. (Akronym: CYBER)

Investor: Ministerstvo obrany ČR, CYBER - Bezpečnost informačních a komunikačních systémů AČR - on line monitorování, vizualizace a filtrace paketů. Rozvoj schopností Computer Incident Response Capability v prostředí Cyber Defence