Network intrusion detection systems (NIDS) continuously monitor network traffic for malicious activity, raising alerts when they detect attacks. However, high-performance Gbps networks pose major challenges for these systems. Despite vendor promises, they often fail to work reliably in such environments. In this work, we set out to understand the trade-offs involved in network intrusion detection, and we mitigate the impact of their choice on operational security monitoring. We base our study on extensive experience with several large-scale network environments, including the Munich Scientific Network and the backbone of the University of California at Berkeley. In such networks, we find an immense traffic diversity which requires a NIDS to deal robustly with unexpected situations. However, to accommodate any conceivable situation, a NIDS would need an unlimited supply of CPU cycles and memory. Thus, the operator of the system needs to trade-off the quality of the detection with resource demands. To provide the necessary tuning options, we devise several new mechanisms which allow to choose this trade-off according to the policy of a particular environment. Moreover, we enable a NIDS to transparently share its state across instances, thereby multiplying the available amount of resources. Another major trade-off that a NIDS faces is the decision when to alert: if it reports anything which could potentially be malicious, it will generate an unmanageable number of alerts; if it reports only the most obvious attacks, it will miss some. To improve the precision of the detection, we enable a NIDS to incorporate different kinds of network context into its analysis. Such contextual information can either be derived during operation or provided externally, e.g., by host applications.     «

Network intrusion detection systems (NIDS) continuously monitor network traffic for malicious activity, raising alerts when they detect attacks. However, high-performance Gbps networks pose major challenges for these systems. Despite vendor promises, they often fail to work reliably in such environments. In this work, we set out to understand the trade-offs involved in network intrusion detection, and we mitigate the impact of their choice on operational security monitoring. We base our study on...     »

Ein "Network Intrusion Detection System" (NIDS) soll die Sicherheit eines Netzwerkes gewährleisten. Im täglichen Betrieb zeigt sich allerdings oft, dass diese Systeme den hohen Versprechungen ihrer Hersteller nicht standhalten. In dieser Arbeit untersuchen wir, in wie weit sich die Konzepte solcher Systeme in der Praxis bewähren und entwickeln neue Mechanismen, um den sinnvollen operationalen Einsatz insbesondere in anspruchsvollen hoch-performanten Netzwerken zu ermöglichen. Unser besonderes Augenmerk gilt dabei den Trade-Offs, denen sich ein NIDS prinzipiell ausgesetzt sieht, und wir entwickeln neue Methoden, ihren Einfluss auf das operationale Sicherheitsmonitoring zu mildern. Unsere Studie basiert auf umfangreicher Erfahrung mit mehreren großen Netzwerkumgebungen, darunter das Münchner Wissenschaftsnetz sowie der Backbone der University of California in Berkeley. In solchen Netzwerken finden wir eine immense Variabilität im Netzwerkverkehr, weshalb ein NIDS sehr robust mit unerwarteten Situation umgehen muss. Um allerdings mit jeder denkbaren Situation zurecht kommen zu können, müsste ein NIDS einen unbegrenzten Vorrat an CPU- und Speicherresourcen besitzen. Daher muss der Benutzer immer die Qualität der Erkennung gegen den Ressourcenverbrauch abwägen. Um die dafür nötigen Parametrisierungsoptionen bereitzustellen, entwickeln wir mehrere neue Mechanismen, die es einem erlauben, diesen Trade-Off entsprechend den lokalen Sicherheitsrichtlinien der jeweiligen Umgebung zu wählen. Des weiteren ermöglichen wir es einem NIDS seinen internen Zustand transparent über verschiedene Instanzen zu verteilen, um so die verfügbaren Ressourcen zu vervielfachen. Ein weiterer wesentlicher Trade-Off, dem sich ein NIDS ausgesetzt sieht, ist die Entscheidung, wann ein Alarm gerechtfertigt ist: Falls es alles meldet, was potentiell bösartig sein könnte, wird es viele Fehlalarme generieren; falls es nur die offensichtlichsten Dinge meldet wird es Angriffe übersehen. Um die Präzision der Erkennung zu erhöhen, ermöglichen wir es einem NIDS, verschiedene Arten von Netzwerkontext in seine Analyse einzubeziehen. Solche Hintergrundinformationen können entweder während des Betriebs gewonnen oder extern bereit gestellten werden, z.B. durch Applikationen auf den Endsystemen.     «

Ein "Network Intrusion Detection System" (NIDS) soll die Sicherheit eines Netzwerkes gewährleisten. Im täglichen Betrieb zeigt sich allerdings oft, dass diese Systeme den hohen Versprechungen ihrer Hersteller nicht standhalten. In dieser Arbeit untersuchen wir, in wie weit sich die Konzepte solcher Systeme in der Praxis bewähren und entwickeln neue Mechanismen, um den sinnvollen operationalen Einsatz insbesondere in anspruchsvollen hoch-performanten Netzwerken zu ermöglichen. Unser besonderes Au...     »