Security in high-bandwidth networks
Loading...
Date
2020-09-23
Authors
Journal Title
Journal ISSN
Volume Title
Publication Type
Dissertation
Published in
Abstract
Ever-increasing bandwidth in networks presents a challenge to security mechanisms as the amount of traffic following Gilder's law) increases faster than the computational power (following Moore's law). This continuous increase in the amount of data not only impedes the effort to analyze the data in firewalls or Intrusion Detection Systems, but it can also be exploited by attackers to achieve ever stronger attacks. Moreover, testing network security mechanisms in high-bandwidth networks presents a challenge in itself as common testing tools are neither designed to produce nor to analyze such a vast amount of traffic.
In this thesis, firstly, we look into testing of network applications, devices, and algorithms in high-bandwidth networks as a challenge in and of itself. We analyze traffic, build a network testing framework, and provide test data sets as groundwork for the other parts of this thesis.
Following these insights, we work on improving security mechanisms to tackle the challenges of high-bandwidth networks. Hereby, we focus on two commonly used security mechanisms found in today's networks: Intrusion Detection Systems (IDS) and Mitigation Systems for Distributed Denial-of-Service (DDoS) attacks and investigate the impact of rising network traffic on their performance.
We look into ways to raise IDS throughput through hardware-supported parallelization of regular expression matching. Matching regular expressions is a key component of the payload analysis in IDS and presents a major bottleneck for their throughput.
Moreover, we present a framework able to detect DDoS attacks, identify attacking clients, and defend successfully against attacks. The system entails improvements in these areas with a particular focus on identifying slow DDoS attackers and defense against reflective attacks.
The software developed, the data sets produced, and the insights gained in this work can help researchers, network administrators, and developers improve network security mechanisms and defend their networks more reliably against attacks.
Die ständig wachsende Bandbreite in Netzen stellt eine Herausforderung für die Sicherheitsmechanismen dar, da die Menge des Datenverkehrs nach Gilder's Gesetz schneller steigt als die Rechenleistung nach Moore's Gesetz. Diese kontinuierliche Zunahme der Datenmenge erhöht nicht nur den Aufwand zur Analyse der Daten in Firewalls oder Intrusion Detection Systemen, sondern kann auch von Angreifern genutzt werden, um immer stärkere Angriffe zu erzielen. Darüber hinaus stellt das Testen von Sicherheitsmechanismen in Netzen mit hoher Bandbreite eine Herausforderung an sich dar, da Testwerkzeuge weder dazu ausgelegt sind, eine so große Menge an Datenverkehr zu produzieren noch zu analysieren. In dieser Arbeit untersuchen wir zunächst das Testen von Anwendungen, Geräten und Algorithmen in Netze mit hoher Bandbreite als eine Herausforderung an sich. Wir analysieren den Datenverkehr, bauen ein Netzwerk Testframework und stellen Testdatensätze zur Verfügung die uns im weiteren Verlauf der Arbeit nützen. Folgend den erlangten Erkenntnissen arbeiten wir an der Verbesserung der Sicherheitsmechanismen, um die Herausforderungen von Netzen mit hoher Bandbreite zu bewältigen. Dabei konzentrieren wir uns auf zwei häufig verwendete Sicherheitsmechanismen, die in heutigen Netzwerken zu finden sind: Intrusion Detection Systeme (IDS) und Abwehrsysteme von Distributed Denial of Service (DDoS) Angriffen und untersuchen die Auswirkungen des steigenden Netzwerkverkehrs auf ihre Leistung. Wir untersuchen Möglichkeiten, den IDS-Durchsatz durch die Parallelisierung von Regular Expression Matching durch Hardwareunterstüzung zu erhöhen. Das Matching von regulären Ausdrücken ist eine Schlüsselkomponente der Payload-Analyse im IDS und stellt einen großen Engpass für deren Durchsatz dar. Darüber hinaus stellen wir ein Framework vor, das in der Lage ist, DDoS-Angriffe zu erkennen, Angreifer zu identifizieren und sich erfolgreich gegen Angriffe zu verteidigen. Das System bringt Verbesserungen in diesen Bereichen mit sich, mit besonderem Fokus auf die Identifizierung von slow DDoS-Angreifern und die Abwehr von Reflective Angriffen. Die entwickelte Software, die produzierten Datensätze und die dabei gewonnenen Erkenntnisse können Forschern, Aministratoren und Entwicklern helfen, ihre Sicherheitsmechanismen in Netzen zu verbessern und ihre Netze zuverlässiger gegen Angriffe zu schützen.
Die ständig wachsende Bandbreite in Netzen stellt eine Herausforderung für die Sicherheitsmechanismen dar, da die Menge des Datenverkehrs nach Gilder's Gesetz schneller steigt als die Rechenleistung nach Moore's Gesetz. Diese kontinuierliche Zunahme der Datenmenge erhöht nicht nur den Aufwand zur Analyse der Daten in Firewalls oder Intrusion Detection Systemen, sondern kann auch von Angreifern genutzt werden, um immer stärkere Angriffe zu erzielen. Darüber hinaus stellt das Testen von Sicherheitsmechanismen in Netzen mit hoher Bandbreite eine Herausforderung an sich dar, da Testwerkzeuge weder dazu ausgelegt sind, eine so große Menge an Datenverkehr zu produzieren noch zu analysieren. In dieser Arbeit untersuchen wir zunächst das Testen von Anwendungen, Geräten und Algorithmen in Netze mit hoher Bandbreite als eine Herausforderung an sich. Wir analysieren den Datenverkehr, bauen ein Netzwerk Testframework und stellen Testdatensätze zur Verfügung die uns im weiteren Verlauf der Arbeit nützen. Folgend den erlangten Erkenntnissen arbeiten wir an der Verbesserung der Sicherheitsmechanismen, um die Herausforderungen von Netzen mit hoher Bandbreite zu bewältigen. Dabei konzentrieren wir uns auf zwei häufig verwendete Sicherheitsmechanismen, die in heutigen Netzwerken zu finden sind: Intrusion Detection Systeme (IDS) und Abwehrsysteme von Distributed Denial of Service (DDoS) Angriffen und untersuchen die Auswirkungen des steigenden Netzwerkverkehrs auf ihre Leistung. Wir untersuchen Möglichkeiten, den IDS-Durchsatz durch die Parallelisierung von Regular Expression Matching durch Hardwareunterstüzung zu erhöhen. Das Matching von regulären Ausdrücken ist eine Schlüsselkomponente der Payload-Analyse im IDS und stellt einen großen Engpass für deren Durchsatz dar. Darüber hinaus stellen wir ein Framework vor, das in der Lage ist, DDoS-Angriffe zu erkennen, Angreifer zu identifizieren und sich erfolgreich gegen Angriffe zu verteidigen. Das System bringt Verbesserungen in diesen Bereichen mit sich, mit besonderem Fokus auf die Identifizierung von slow DDoS-Angreifern und die Abwehr von Reflective Angriffen. Die entwickelte Software, die produzierten Datensätze und die dabei gewonnenen Erkenntnisse können Forschern, Aministratoren und Entwicklern helfen, ihre Sicherheitsmechanismen in Netzen zu verbessern und ihre Netze zuverlässiger gegen Angriffe zu schützen.
Description
Faculties
Fakultät für Ingenieurwissenschaften, Informatik und Psychologie
Institutions
Institut für Verteilte Systeme
Institut für Organisation und Management von Informationssystemen
Institut für Organisation und Management von Informationssystemen
Citation
DFG Project uulm
License
Standard
Keywords
DDoS, Computersicherheit, Sicherheit, Netzwerk, DoS-Attacke, Security systems, Network analysis (Planning) Computer programs, Denial of service attacks, DDC 004 / Data processing & computer science