Universiteit Twente

UT onderzoeker ontwikkelt zelflerende beveiliging voor computernetwerken

Cyberaanvallen op computernetwerken komen steeds vaker voor. Netwerken worden daarom beveiligd met zogenaamde Network Intrusion Detection Systems. Deze merken echter een gedeelte van de aanvallen niet, of te laat op. Damiano Bolzoni van de Universiteit Twente ontwikkelde daarom een systeem dat de opstap vormt voor een nieuwe generatie beveiligingssystemen. Hij promoveerde 25 juni aan de faculteit Elektrotechniek Wiskunde en Informatica.

Voor de beveiliging van computernetwerken wordt gebruik gemaakt van Network Intrusion Detection Systems (NIDS), een soort virusscanners, maar dan niet voor enkele computers, maar voor complete netwerken van computers. Er bestaan twee typen Network Intrusion Detection Systems. Het eerste type bevat een database met alle bekende aanvallen, zoals die van computerhackers. Het herkent `handtekeningen' van bekende aanvalsmethoden. Een nog onbekende aanvalsmethode zal daardoor in het begin onopgemerkt blijven.

Het tweede type NIDS werkt op basis van anomaly detection. Dit houdt in dat het systeem leert hoe een netwerk normaal gesproken gebruikt wordt. Als het systeem vervolgens afwijkend gebruik constateert, dan geeft het een seintje aan de systeembeheerder die de veronderstelde aanval verder kan onderzoeken. Dit type NIDS wordt in de praktijk niet zo veel gebruikt, omdat er nog geen goede systemen van dit type op de markt zijn.

Damiano Bolzoni van de Universiteit Twente ontwikkelde zo'n NIDS op basis van anomaly detection, dat hij SilentDefense doopte. Zijn systeem is gebaseerd op zelflerende algoritmes en is veel nauwkeuriger dan bestaande systemen van dit type. Bovendien is de kans op valse foutmeldingen bij zijn systeem circa 1000 keer kleiner dan bij bestaande systemen met anomaly detection.

Doorontwikkeling

Het systeem wordt verder doorontwikkeld door SecurityMatters, het bedrijf dat Bolzoni onlangs samen met Emmanuele Zambon en Sandro Etalle heeft opgericht. Het bedrijf verwacht SilentDefense halverwege 2010 op de markt te brengen.

Overigens geeft Bolzoni aan dat het ideale NIDS niet een keuze maakt tussen de twee types, maar ze juist combineert. Voor dit mogelijk is, moet er echter wel een goed systeem beschikbaar zijn dat werkt op basis van anomaly detection.