UT onderzoeker ontwikkelt zelflerende beveiliging voor computernetwerken
Cyberaanvallen op computernetwerken komen steeds vaker voor. Netwerken
worden daarom beveiligd met zogenaamde Network Intrusion Detection
Systems. Deze merken echter een gedeelte van de aanvallen niet, of te
laat op. Damiano Bolzoni van de Universiteit Twente ontwikkelde daarom
een systeem dat de opstap vormt voor een nieuwe generatie
beveiligingssystemen. Hij promoveerde 25 juni aan de faculteit
Elektrotechniek Wiskunde en Informatica.
Voor de beveiliging van computernetwerken wordt gebruik gemaakt van
Network Intrusion Detection Systems (NIDS), een soort virusscanners,
maar dan niet voor enkele computers, maar voor complete netwerken van
computers. Er bestaan twee typen Network Intrusion Detection Systems.
Het eerste type bevat een database met alle bekende aanvallen, zoals
die van computerhackers. Het herkent `handtekeningen' van bekende
aanvalsmethoden. Een nog onbekende aanvalsmethode zal daardoor in het
begin onopgemerkt blijven.
Het tweede type NIDS werkt op basis van anomaly detection. Dit houdt
in dat het systeem leert hoe een netwerk normaal gesproken gebruikt
wordt. Als het systeem vervolgens afwijkend gebruik constateert, dan
geeft het een seintje aan de systeembeheerder die de veronderstelde
aanval verder kan onderzoeken. Dit type NIDS wordt in de praktijk niet
zo veel gebruikt, omdat er nog geen goede systemen van dit type op de
markt zijn.
Damiano Bolzoni van de Universiteit Twente ontwikkelde zo'n NIDS op
basis van anomaly detection, dat hij SilentDefense doopte. Zijn
systeem is gebaseerd op zelflerende algoritmes en is veel nauwkeuriger
dan bestaande systemen van dit type. Bovendien is de kans op valse
foutmeldingen bij zijn systeem circa 1000 keer kleiner dan bij
bestaande systemen met anomaly detection.
Doorontwikkeling
Het systeem wordt verder doorontwikkeld door SecurityMatters, het
bedrijf dat Bolzoni onlangs samen met Emmanuele Zambon en Sandro
Etalle heeft opgericht. Het bedrijf verwacht SilentDefense halverwege
2010 op de markt te brengen.
Overigens geeft Bolzoni aan dat het ideale NIDS niet een keuze maakt
tussen de twee types, maar ze juist combineert. Voor dit mogelijk is,
moet er echter wel een goed systeem beschikbaar zijn dat werkt op
basis van anomaly detection.
Universiteit Twente