Simulative Evaluation of Security Monitoring Systems based on SDN

Stagkopoulou, Alexandra

January 2016

Software Defined Networks (SDN) constitute the new communication paradigm ofprogrammable computer networks. By decoupling the control and date plane the networkmanagement is easier and more flexible. However, the new architecture is vulnerable to anumber of security threats, which are able to harm the network. Network monitoringsystems are pivotal in order to protect the network. To this end, the evaluation of a networkmonitoring system is crucial before the deployment of it in the real environment. Networksimulators are the complementary part of the process as they are necessary during theevaluation of the new system’s performance at the design time. This work focuses on providing a complete simulation framework which is able to(i) support SDN architectures and the OpenFlow protocol, (ii) reproduce the impact ofcyber and physical attacks against the network and (iii) provide detection and mitigationtechniques to address Denial-of-Service (DoS) attacks. The performance of the designedmonitoring system will be evaluated in terms of accuracy, reactiveness and effectiveness.The work is an extension of INET framework of OMNeT++ network simulator. / Software Defined Networks (SDN) utgör den nya kommunikationsmodellen av programmerbara datornätverk. Genom separation av kontroll- och dataplanet blir administrativ hantering av datornätverk enklare och flexiblare. Arkitekturen öppnar emellertid upp nya säkerthets hot, övervakningssystem är därför väsentliga för att skydda datornätverk. Till följd av detta är utvärdering av övervakningssystem kritiskt innan driftsättning i produktionsmiljö. Nätverkssimulatorer är den kompletterande delen i processen då de är nödvändiga för utvärdering av systemets prestanda under design fasen. Detta arbete fokuserar på att tillföra ett komplettet simulations ramverk vilket är kapabelet till; (i) ge stöd för SDN arkitekturer och OpenFlow protokollet, (ii) reproducera skadegörelsen av cyber- och fysiska attacker mot datornäterk och (iii) förse sätt att upptäcka och mildra Denial-of-Service (DoS) attacker. Prestanda av det designade övervakningssystemet är utvärderat i form av exakthet, responstid och effektivitet. Arbetet är en utvidgning av INET ramverket, som är del av OMNeT++ network simulator.

Communication Systems

Kommunikationssystem

Fault prediction in information systems

Walden, Love

January 2019

Fault detection is a key component to minimizing service unavailability. Fault detection is generally handled by a monitoring system. This project investigates the possibility of extending an existing monitoring system to alert based on anomalous patterns in time series.The project was broken up into two areas. The first area conducted an investigation whether it is possible to alert based on anomalous patterns in time series. A hypothesis was formed as follows; forecasting models cannot be used to detect anomalous patterns in time series. The investigation used case studies to disprove the hypothesis. Each case study used a forecasting model to measure the number of false, missed and correctly predicted alarms to determine if the hypothesis was disproved.The second area created a design for the extension. An initial design of the system was created. The design was implemented and evaluated to find improvements. The outcome was then used to create a general design.The results from the investigation disproved the hypothesis. The report also presents a general software design for an anomaly detection system. / Feldetektering är en nyckelkomponent för att minimera nedtid i mjukvarutjänster. Feldetektering hanteras vanligtvis av ett övervakningssystem. Detta projekt undersöker möjligheten att utöka ett befintligt övervakningssystem till att kunna skicka ut larm baserat på avvikande mönster i tidsserier.Projektet bröts upp i två områden. Det första området genomförde en undersökning om det är möjligt att skicka ut larm baserat på avvikande mönster i tidsserier. En hypotes bildades enligt följande; prognosmodeller kan inte användas för att upptäcka avvikande mönster i tidsserier. Undersökningen använde fallstudier till att motbevisa hypotesen. Varje fallstudie använde en prognosmodell för att mäta antalet falska, missade och korrekt förutsedda larm. Resultaten användes sedan för att avgöra om hypotesen var motbevisad.Det andra området innefattade skapadet av en mjukvarudesign för utökning av ett övervakningssystem. En initial mjukvarudesign av systemet skapades. Mjukvarudesignen implementerades sedan och utvärderades för att hitta förbättringar. Resultatet användes sedan för att skapa en generell design. Resultaten från undersökningen motbevisade hypotesen. Rapporten presenterar även en allmän mjukvarudesign för ettanomalitetsdetekteringssystem.

Computer and Information Sciences

Data- och informationsvetenskap

Vårdrelaterade urinvägsinfektioner : Incidens före och efter validering av infektionsverktyget / Health care associated urinary tract infections : Incidence before and after validation of the Anti-Infection Tool

Hallberg, Linda

January 2018

Introduktion: Vårdrelaterade infektioner (VRI) har negativ inverkan på folkhälsan med påverkan på mortalitet, morbiditet och livskvalitet. Inom hälso- och sjukvården är VRI en stor utmaning. Den vanligaste VRI i Sverige är vårdrelaterade urinvägsinfektioner (VUVI). För att förebygga VRI är regelbundna mätningar och återkopplingar viktigt. Mätinstrument som idag används på lokal och nationell nivå för att mäta incidens av VRI är bl.a. Markörbaserad journalgranskning och Infektionsverktyget. Syfte: Validera Infektionsverktyget och jämföra incidens av VUVI från Infektionsverktyget mot manuell journalgranskning och Markörbaserad journalgranskning samt studera förekomsten av urinkateter i samband med VUVI. Metod: Under 2017 samlades data in från 143 slumpmässigt utvalda journaler i slutenvården på Södra Älvsborgs sjukhus. Diagnostiserad VUVI och samhällsförvärvad urinvägsinfektion (SUVI) i Infektionsverktyget validerades mot manuell journalgranskning. Incidensen av VUVI i Infektionsverktyget jämfördes även mot VUVI i markörbaserad journalgranskning. Resultat: Incidens av VUVI innan validering var 1.5 % medan den uppskattade incidensen efter manuell journalgranskning och validering var 3.6 %. Markörbaserad journalgranskning visade en incidens på 1.1 %. I 65.6 % av fallen med VUVI fanns en koppling till urinkateter. Den mest förekommande orsaken till inkorrekt registreringen av VUVI var att patienter med urinkateter bedömdes som SUVI. Slutsats: Den rapporterade incidensen av VUVI skiljer sig mellan de mätinstrument som används idag och incidensen är troligtvis högre än vad som idag rapporteras. För att få bra kvalitet på övervakningsdata krävs kunskap och granskning av hög kvalitet. Dock begränsas resultatet från denna studie av att studiepopulationen var relativt liten och därmed begränsar generaliserbarheten. / Introduction: Health care associated infections (HCAIs) have a negative impact on public health, with an impact on mortality, morbidity and quality of life. The most common HCAIs in Sweden are health care associated urinary tract infections (UTI). One important component in preventing HCAIs are regular measurements and feedback to these. Instruments that are currently used for measuring HCAIs at a local and national level in Sweden are marker-based journal review and the Anti-Infection Tool (AIT). Aim:  The aim of this study was to validate the AIT and compare the incidence of health care associated UTI measured with the AIT against both manual journal review and marker-based journal review. The aim was also to study the presence of urinary catheters in conjunction with a healthcare associated UTI. Methods: In 2017, data was collected from 143 records from a random sample of patients admitted to somatic wards at Södra Älvsborg's Hospital. From the AIT, diagnosed health care associated UTI and community-acquired UTI were studied and validated against manual journal review. Also, the incidence of health care associated UTI in the AIT was compared with that found in marker-based journal review. Results: Incidence of health care associated UTI before the validation was 1.5% while the estimated incidence after manual journal review and validation was 3.6%. Marker-based journal review showed an incidence of 1.1%. In 65.6 % of the cases with health care associated UTI, the patient was equipped with urinary catheter. The most common cause of incorrect registration of health care associated UTI was that patients with urinary catheters were assessed as community-acquired UTI.   Conclusion:  The reported incidence of health care associated UTI differs greatly between these instruments. The incidence is probably much higher than what is currently reported using these instruments. To obtain good quality of monitoring data, knowledge and journal reviews of high quality are required. However, the generalizability of the result of this study is limited, due to the relatively small study sample.

public health

electronic surveillance system

incidence

validation

folkhälsa

vårdrelaterade urinvägsinfektioner

elektroniskt övervakningssystem

incidens

validering

Analysis and Evaluation of Network Management Solutions : A Comparison of Network Management Solutions Suitable for Networks with 2,500+ Devices

Gabdurahmanov, Murat, Trygg, Simon

January 2016

Some companies today are using sub-optimal and nearly obsolete management systems for their networks. Given the large number of different services that are demanded by users, there is a need to adapt the network structure to support the current and potential future demands. As a result, there is a need for new Network Management Solutions (NMSs). The aim of this thesis project is to help a company who uses a NMS called Local Area Network (LAN) Management Solution (LMS). LMS was designed by Cisco for managing LAN networks. However, the company’s demands are growing and they need to expand their network more than expected. Moreover, LMS is designed to only support devices by Cisco, whereas the company wants a universal solution with wide device support from many manufacturers. This thesis presents an analysis of their current system and suggests potential solutions for an upgrade that will meet all of the company’s demands and will have a long operating life. To help find reasonable solutions a thorough evaluation of their existing NMS and network monitoring and management needs was made.  This evaluation gave good insights into different aspects of their system. A reasonable solution was found by following a three-step approach, beginning with 82 possible solutions, filtering out and breaking down with each step, until only the most suitable NMS was left. Two NMSs has been proposed as equally suitable replacements: IBM Tivoli Netcool/OMNIbus and ManageEngine OpManager. Regardless of which one is chosen, they both have the following advantages over the company’s existing NMS: they are very stable solutions which can handle a large number of managed devices; they are universal solutions with wide device support, and the company can add custom support if needed; they are user-friendly with the ability to add custom interfaces; and they both have a professional first-line technical support department locally located. / Vissa företag använder idag suboptimala och föråldrade övervakningsssystem för sina nätverk. Med tanke på det stora antalet olika tjänster som efterfrågas av användare finns det ett stort behov av att anpassa nätverksstrukturen för att stödja de nuvarande och potentiellt framtida kraven. Som ett resultat finns det ett behov av nya övervakningssystem (Network Management Solutions (NMSs)) för nätverken. Syftet med detta examensarbete är att hjälpa ett företag som använder NMS:en Local Area Network (LAN) Management Solution (LMS). LMS utecklades av Cisco för att hantera lokala nätverk (LANs). Men med tiden har företagets krav förändrats och de har därför behövt expandera sitt nätverk mer än väntat.  Dessutom är LMS endast utformad för att hantera enheter tillverkade av Cisco, medan företaget vill ha en universal lösning med stöd för enheter från många olika tillverkare. Denna rapport presenterar en analys av deras nuvarande system, samt föreslår möjliga lösningar som kan ersätta detta. Den nya lösningen ska vara långvarig samt ska uppfylla alla krav företaget ställt. För att hitta lämpliga lösningar har en grundlig utvärdering av den befintliga NMS:en samt en analys av de ställda kraven utförts. Denna analys gav goda insikter i olika aspekter av deras nuvarande system. En lämplig lösning hittades genom att följa en trestegsmetod. Metoden utgick från 82 möjliga lösningar, som efter flera steg av filtrering resulterade i de mest lämpade ersättningssystemen. Två NMS:er har föreslagits som lika lämpliga ersättare: IBM Tivoli Netcool/OMNIbus och ManageEngine OpManager. Oavsett vilken som väljs, har de båda följande fördelar jämfört med den nuvarande NMS:en: de är båda väldigt stabila lösningar som klarar av en stor mängd hanterade enheter; de är universella lösningar med stöd för en stor mängd olika enheter, dessutom går det även att lägga till eget stöd för enheter vid behov; de är användarvänliga och har möjlighet till att anpassa egna gränssnitt; samt att de båda har en professionell first-line teknisk support placerad lokalt i landet.<p>

Analysis

evaluation

Network Management Solution (NMS)

monitoring

management

Cisco

LAN Management Solution (LMS)

Tivoli

Netcool

OMNIbus

OpManager

Analys

utvärdering

övervakningssystem

nätverk

hantering

Cisco

LAN Management Solution (LMS)

Tivoli

Netcool

OMNIbus

OpManager

Communication Systems

Kommunikationssystem