University of Oulu

Integration of Arctic Node threat intelligence sharing platform with Suricata

Saved in:
Author: Mattila, Timo1
Organizations: 1University of Oulu, Faculty of Information Technology and Electrical Engineering, Computer Science
Format: ebook
Version: published version
Access: open
Online Access: PDF Full Text (PDF, 1.5 MB)
Pages: 59
Persistent link: http://urn.fi/URN:NBN:fi:oulu-202006242660
Language: English
Published: Oulu : T. Mattila, 2020
Publish Date: 2020-06-29
Thesis type: Master's thesis (tech)
Tutor: Röning, Juha
Reviewer: Röning, Juha
Celentano, Ulrico
Description:

Abstract

The Internet has connected the modern world. Nowadays anyone can access anything straight from their home computer. Everything and everyone has a presence in the cyber domain, including those who seek to conduct criminal activities. In response to this, the field of cyber security has been born.

Cyber threat intelligence refers to information about cyber threats such as computers with open vulnerabilities and malicious Internet sites. The amount of available information is vast and the only way to handle such a large amount of data is automation. Threat intelligence sharing platforms have been developed for this task. They are used to fetch threat intelligence data from multiple sources, harmonize and analyze the data, and share it further.

One part of the automation process is the integration of threat intelligence sharing platforms with other cyber security applications. The goal of this thesis was to integrate a new intrusion detection and prevention system into the Arctic Node threat intelligence sharing platform. Suricata was chosen as the integrated system. A new integration submodule was created for Arctic Node to convert threat intelligence collected by the platform into Suricata rules and send it automatically to Suricata. One of the prominent features of this new module was the capability to deduplicate the output data.

The new integration submodule was compared to a similar functionality in another threat intelligence sharing platform, MISP. Testing was conducted in a custom virtual environment using real threat intelligence from seven different feeds. The results of these tests indicated that the new submodule was able to notice a greater number of possible threats, and it generated a more diverse set of different types of Suricata rules from the same input data. Deduplication was found to only have a small impact in reducing the size of the generated rule set as the overlap between different threat intelligence feeds was minimal.

Arctic Node -alustan yhdistäminen Suricataohjelmaan

Tiivistelmä

Internet on yhdistänyt nykyajan maailman. Kaikilla on pääsy kaikkialle suoraan kotikoneelta. Myös rikolliset ovat havainneet tämän, ja hakkerointi on noussut modernin maailman suureksi riesaksi. Internetissä tapahtuvan rikollisuuden estämiseksi on syntynyt kyberturvallisuuden ala.

Tietoturvatieto käsittää tietoa eri uhkatekijöistä internetissä. Tieto voi koskea esimerkiksi vaarallisia sivustoja tai haavoittuvaisia tietokoneita. Tietoturvatietoa on olemassa valtavasti, eikä kaikkea tätä tietoa voida hallita manuaalisesti, vaan sen hallinta täytyy automatisoida. Tietoturvatiedon hallintaa varten on kehitetty erilaisia tietoturvatiedon hallinta-alustoja, joilla tietoa voidaan kerätä eri lähteistä, rikastaa, analysoida ja jakaa eteenpäin.

Yksi tietoturvatiedon hallinta-alustojen toiminnallisuuden osa-alueista on niiden integraatio toisten tietoturvaohjelmien kanssa. Tämän diplomityön tavoitteena oli yhdistää uusi tietoturvaohjelma Arctic Node -alustaan. Yhdistettäväksi ohjelmaksi valittiin Suricata. Diplomityössä tehtiin toiminnallisuus, joka muuttaa Arctic Node -alustan keräämää tietoturvatietoa Suricata-säännöiksi ja joka kykenee jakamaan säännöt automaattisesti Suricata-ohjelmalle. Yksi tämän toiminnallisuuden tavoitteista oli poistaa toisto luoduista Suricata-säännöistä, jotta jokainen sääntö olisi uniikki.

Arctic Node -alustan uutta toiminnallisuutta testattiin MISP-alustan samanlaista toiminnallisuutta vastaan. Testin tuloksena oli, että uusi toiminnallisuus tuotti jonkin verran enemmän Suricata-sääntöjä kuin MISP-alusta samoilla tietoturvalähteillä, ja säännöt olivat myös monipuolisempia kuin MISP-alustan luomat säännöt. Testeissä Arctic Node -alustan tuottamat säännöt havaitsivat haitallista liikennettä paremmin kuin MISP-alustan tuottamat säännöt. Testeissä ei havaittu Suricata-sääntöjen toiston poistamisen olevan kovinkaan merkittävää, koska tietoturvalähteiden välillä on melko vähän päällekkäisyyksiä.

see all

Subjects:
Copyright information: © Timo Mattila, 2020. This publication is copyrighted. You may download, display and print it for your own personal use. Commercial use is prohibited.