Abschlussvortrag zur Bachelorarbeit

Größe: px

Ab Seite anzeigen:

Download "Abschlussvortrag zur Bachelorarbeit"

Albert Kirchner
vor 7 Jahren
Abrufe

1 Abschlussvortrag zur Bachelorarbeit Classification of Traffic Flows using DPI Andreas Scheibleger Betreuer: Lothar Braun 17. November 2010 : Abschlussvortrag zur Bachelorarbeit 1

2 Gliederung Motivation Ziele OpenDPI Vermont + OpenDPI Auswertung : Abschlussvortrag zur Bachelorarbeit 2

3 Motivation : Abschlussvortrag zur Bachelorarbeit 3

4 Motivation Bisher keinerlei Klassifizierung in Vermont Vorteil der Anwendungsklassifizierung: Statistik über Anwendungsnutzung Risikoeinschätzung Spamabwehr Virenschutz Deshalb Anwendungslabel zu den Flow-Daten hinzugefügen : Abschlussvortrag zur Bachelorarbeit 4

5 Ziele Anwendungsklassifizierung in Vermont einbauen Infrastruktur für verschiedene Klassifizierer schaffen Anwendungslabel in Flowdaten integrieren Konkreter Klassifizierer Einbau von OpenDPI Verifizierung der korrekten Funktionalität : Abschlussvortrag zur Bachelorarbeit 5

6 OpenDPI : Abschlussvortrag zur Bachelorarbeit 6

7 OpenDPI Klassifizierung mit Pattermatching und Port-Nummern Pattern und Ports in den Code eingebaut Potentiell performant : Abschlussvortrag zur Bachelorarbeit 7

8 OpenDPI Ein Flow fasst Pakete, welche zu einer Verbindung gehören zusammen. Dies kann erreicht werden durch das Zusammenspiel der folgenden Punkte: IP-5 Tupel Zeitstempel Bessere Erkennungsrate erhält man durch: Bessere Zuordnung von Paketen zu Flows Übergabe der vollständigen Pakete (nicht nur die ersten x Byte) : Abschlussvortrag zur Bachelorarbeit 8

9 Vermont + OpenDPI Filter: Vorteil: Als eigenes Modul in der Konfiguration vorhanden Bei Codeänderungen muss lediglich dieses Modul neu kompiliert werden Nachteil: Eigenes Flow-management nötig : Abschlussvortrag zur Bachelorarbeit 9

10 Vermont + OpenDPI Flow-Cache: Vorteil: Flow-management bereits vorhanden Nachteil: Active-Timeout : Abschlussvortrag zur Bachelorarbeit 10

11 Vermont + OpenDPI Flow-Cache als Integrationsmöglichkeit gewählt. Hauptgründe dafür: Das Flow-Management in Vermont ist recht gut Durch verwenden des Cache muss dieses nicht neu geschrieben werden Code-duplizierung ist meist eine schlechte Idee Flow-Management in Vermont problematisch für OpenDPI: durch Active-timeout kann ein Teil einer Verbindung als unknown klassifiziert werden Gegenmaßnahme: Höher angesetztes Active-Timeout Spätere Zuordnung bei Analyse : Abschlussvortrag zur Bachelorarbeit 11

12 Vermont + OpenDPI Vermont: HTTP OpenDPI Testprogramm: HTTP Vermont: Flash OpenDPI Testprogramm: HTTP : Abschlussvortrag zur Bachelorarbeit 12

13 Vermont + OpenDPI OpenDPI Testprogramm: SSL Vermont: Teil1: SSL Teil2: unknown Weniger ein Problem da: Active-Timeout steuerbar Bei Analyse zuordenbar : Abschlussvortrag zur Bachelorarbeit 13

14 Auswertung Pakete aufzeichnen und als PCAP speichern Die gespeicherten Pakete direkt an das OpenDPI Testprogramm übergeben Die gespeicherten Pakete an das modifizierte Vermont übergeben Ausgabeformate vereinheitlichen => Vergleich der Erkennungsrate : Abschlussvortrag zur Bachelorarbeit 14

15 Auswertung Hardware: Prozessor: AMD Turion 64 X2 TL-56 Speicher: 2GB DDR2-SDRAM 667 MHz Paketdaten: ca Pakete Aufgenommen am Gateway mit 5 Rechnern im Netz innerhalb von ca. 2 Stunden Erkennungsrate wird mit dem OpenDPI Testprogramm verglichen : Abschlussvortrag zur Bachelorarbeit 15

16 Auswertung Ausfuehrungszeit Mit OpenDPI Ohne OpenDPI Dominant: Flow-Generierung OpenDPI nur geringer Mehraufwand Durchschnittswerte: ohne: s mit: s : Abschlussvortrag zur Bachelorarbeit 16

17 Auswertung Protocol: unknown (0) Flows: 104 (+0 ) Protocol: Mail POP (2) Flows: 45 (+0 ) Protocol: Mail SMTP (3) Flows: 1 (+0 ) Protocol: DNS (5) Flows: (+0 ) Protocol: HTTP (7) Flows: 1997 (-4 ) Protocol: NTP (9) Flows: 4 (+0 ) Protocol: DHCP (18) Flows: 1 (+0 ) Protocol: Flash (40) Flows: 72 (+4 ) Protocol: SSL (91) Flows: 959 (+0 ) Protocol: SSH (92) Flows: 6 (+0 ) Unterschiede in den Flows entstehen durch: OpenDPI Testprogramm nimmt letztes erkanntes Label Meine Implementierung den spezialisiertesten Treffer : Abschlussvortrag zur Bachelorarbeit 17

18 Auswertung Protocol: unknown (0) Packets: 8862 (-11438) Protocol: Mail POP (2) Packets: 910 (+315 ) Protocol: Mail SMTP (3) Packets: 30 (+7 ) Protocol: DNS (5) Packets: (+0 ) Protocol: HTTP (7) Packets: (+4792) Protocol: NTP (9) Packets: 104 (+0 ) Protocol: DHCP (18) Packets: 14 (+0 ) Protocol: Flash (40) Packets: (+1452) Protocol: SSL (91) Packets: (+4842) Protocol: SSH (92) Packets: (+30 ) Unterschiede in der Paketanzahl: OpenDPI Testprogramm ordnet unbekannte Pakete nicht über den Flow einer später erkannten Klassifizierung zu Meine Implementierung berücksichtigt dies automatisch durch Verwenden des Vermont-internen Flow-Managements : Abschlussvortrag zur Bachelorarbeit 18

19 Auswertung Vielen Dank für die Aufmerksamkeit : Abschlussvortrag zur Bachelorarbeit 19

Ähnliche Dokumente

WRT als Plattform für anderes

WRT als Plattform für anderes 14. Mai 2009 Übersicht 1 Einstieg 2 Ideen 3 Basis 4 Beispiel 5 Abschluß Übersicht 1 Einstieg 2 Ideen 3 Basis 4 Beispiel 5 Abschluß Übersicht 1 Einstieg 2 Ideen 3 Basis 4 Beispiel 5 Abschluß Übersicht 1