A study of network-based attacks : detection through protocol level analysis

Abstract

Τα σύγχρονα υπολογιστικά δίκτυα αποτελούν θεμελιώδες στοιχείο της σημερινής ψηφιακής υποδομής, γεγονός που τα καθιστά ελκυστικό στόχο για ένα ευρύ φάσμα κυβερνοεπιθέσεων. Καθώς οι τεχνικές επίθεσης εξελίσσονται συνεχώς,οι παραδοσιακοί μηχανισμοί ανίχνευσης που βασίζονται σε αντιστοίχιση με στατικούς κανόνες και έλεγχο υπογραφών δυσκολεύονται ολοένα και περισσότερο να εντοπίσουν προηγμένες ή δυσδιάκριτες απειλές. Η παρούσα διπλωματική εργασία εξετάζει επιθέσεις δικτύου με έμφαση στις ανωμαλίες και αποκλίσεις σε επίπεδο πρωτοκόλλων, με στόχο τη βελτίωση της κατανόησης τόσο της εκτέλεσης των επιθέσεων όσο και των περιορισμών των μηχανισμών ανίχνευσης. Η μελέτη αναλύει ένα ευρύ σύνολο διαδεδομένων πρωτοκόλλων δικτύου, όπως τα IP, TCP, UDP, DNS,ARP,ICMP,LLMNR,NTLM και πρωτόκολλα που σχετίζονται με το IEEE 802.11. Για κάθε πρωτόκολλο, εξετάζεται η φυσιολογική του συμπεριφορά και συγκρίνεται με κακόβουλη δραστηριότητα που παράγεται μέσω ελεγχόμενων σεναρίων επίθεσης. Οι επιθέσεις που καλύπτονται περιλαμβάνουν τεχνικές σάρωσης δικτύου, επιθέσεις ARP spoofing, DNS spoofing και tunneling, HTTP request smuggling, επιθέσεις άρνησης παροχής υπηρεσίας(DoS), επιθέσεις παρεμβολής σε ασύρματα δίκτυα, καθώς και επιθέσεις που σχετίζονται με μηχανισμούς αυθεντικοποίησης των Windows, όπως LLMNR poisoning και NTLM relay. Οι επιθέσεις υλοποιούνται τόσο σε ένα εικονικό όσο και σε φυσικό εργαστηριακό περιβάλλον, με στόχο την καταγραφή ρεαλιστικών μοτίβων κίνησης. Η κίνηση που παράγεται τόσο από κανονική όσο και από κακόβουλη δραστηριότητα αναλύεται σε επίπεδο πακέτων, με έμφαση στον εντοπισμό ασυνεπειών πρωτοκόλλων, μη αναμενόμενων μεταβάσεων κατάστασης και ανώμαλων χαρακτηριστικών κίνησης. Τα αποτελέσματα αναδεικνύουν τα πλεονεκτήματα αλλά και τους περιορισμούς των κοινών προσεγγίσεων ανίχνευσης, ιδιαίτερα εκείνων που βασίζονται σε packet filtering, στατική ανάλυση κυκλοφορίας και περιορισμένη κατανόηση των πρωτοκόλλων. Τα ευρήματα δείχνουν ότι, παρότι πολλές επιθέσεις εμφανίζουν σαφείς ενδείξεις, ορισμένες επιθέσεις προσομοιάζουν σε μεγάλο βαθμό κανονική κίνηση, καθιστώντας την αξιόπιστη ανίχνευση ιδιαίτερα απαιτητική. Συνολικά, η εργασία αυτή προσφέρει πρακτικές γνώσεις σχετικά με τον τρόπο με τον οποίο η ανάλυση σε επίπεδο πρωτοκόλλων μπορεί να υποστηρίξει την ανίχνευση επιθέσεων δικτύου και παρέχει ένα δομημένο σύνολο καταγραφών κίνησης που μπορεί να αποτελέσει βάση για μελλοντική έρευνα, συμπεριλαμβανομένων προσεγγίσεων ανίχνευσης βασισμένων σε μηχανική μάθηση και τεχνητή νοημοσύνη.