Samen met gerenommeerde partners

De meeste van onze projecten voeren we uit in samenwerking met universiteiten en andere onderzoekslabs, maar soms hebben we ook projecten die we alleen doen. Deze pagina bevat een overzicht van de projecten waar we momenteel aan werken. Eerdere projecten vind je hier.

MINIONS-NL

Naam Mitigating IOT-Based DDoS Attacks via DNS
Acroniem MINIONS-NL
Abstract

Het project MINIONS-NL heeft 3 doelstellingen: ten eerste, het verkrijgen van empirisch inzicht in het landschap van onveilige IoT-apparaten en de oorzakelijke factoren achter concentraties van geïnfecteerde apparaten; ten tweede, het ontwerpen van DNS-gebaseerde technieken voor de detectie van geïnfecteerde IoT-apparaten; en ten derde, het voorkomen van toenemend misbruik door IoT-botnets door geïnfecteerde apparaten en hun command-and-control infrastructuur te signaleren en geïnfecteerde apparaten op te schonen.

MINIONS-NL maakt gebruikt van een IoT-honeypot die wordt beheerd door de TU Delft en YNU in Japan. Deze infrastructuur is nu zo'n 2 jaar min of meer operationeel en de gegevensverzameling is in volle gang. De vergaarde informatie kan ook voor andere doeleinden door SIDN worden gebruikt, zoals passieve en DNS-metingen. We verwachten dat de honeypot na afloop van de projectperiode operationeel zal blijven. Het verzamelen en delen van gegevens zal doorlopen zolang dat het geval is.

MINIONS-NL is nauw gelieerd aan het project DAGOBERT van de Open Universiteit, dat gericht is op botnetdetectie in DNS-verkeer (de tweede doelstelling van MINIONS-NL).

Looptijd juni 2018 - mei 2020
Partners TU Delft 
Financiers SIDN
Hoofdonderzoeker dr. Arman Noroozian (TU Delft)
Contactpersoon SIDN Labs  Elmer Lastdrager
Website -

DAGOBERT

Naam Design, application and governance of a botnet detection and profiling system
Acroniem DAGOBERT
Abstract Het project DAGOBERT beoogt de veiligheid van het internet te verhogen. Het is gericht op de strijd tegen botnets, netwerken die bestaan uit computers die zijn geïnfecteerd met schadelijke software en vervolgens op afstand door cybercriminelen kunnen worden ingezet voor malafide praktijken. Cybercriminaliteit met behulp van botnets is een groot gevaar met ernstige economische en sociale gevolgen. Het is onze opzet om profielen van zowel bekende als onbekende botnets af te leiden en deze profielen vervolgens toe te passen in een systeem voor botnetdetectie. We onderzoeken, ontwikkelen en evalueren geautomatiseerde systemen voor real-time, grootschalige en nauwkeurige botnetprofilering en -detectie, alsmede de besluitvorming ten aanzien van systeemimplementatie door aanbieders van intranetstructuren.
Looptijd oktober 2017 - okctober 2019
Partners Open Universiteit, Quarantainenet
Financiers Open Universiteit, SIDN
Hoofdonderzoeker dr. Harald Vranken (Open Universiteit)
Contactpersoon SIDN Labs  Elmer Lastdrager
Website -

 

The Root Canary Project

Naam The Root Canary Project
Acroniem
Abstract

De ‘Root Canary’ is een systeem voor het van begin tot eind monitoren en meten van een root key roll-over vanuit het perspectief van validerende DNS-resolvers. Het project heeft drie doelstellingen. Het eerste doel is om een internet-breed beeld te geven van de impact van de root KSK roll-over. Het tweede doel is om tijdig te waarschuwen wanneer DNS-resolvers onder observatie problemen ondervinden. Het laatste doel is om hoogwaardige longitudinale metingen te verzamelen om zo de impact van de root KSK roll-over gedurende het hele proces te kunnen analyseren.

Momenteel combineert het systeem de gegevens van drie actieve meetplatforms om een zo breed mogelijke dekking van validerende resolvers te verkrijgen. De resultaten van de root key roll-over van oktober 2018 werden nagenoeg in real-time gepubliceerd, zodat de globale DNS-gemeenschap in actie kon komen zodra zich problemen voordeden. Op dit moment werken we op basis van de geregistreerde datasets aan een diepteanalyse, waaruit de internetgemeenschap lessen kan trekken voor toekomstige key roll-overs, zowel van de root als van daaronder gelegen lagen van de DNS-hiërarchie.

Looptijd mei 2017 - heden (lopend)
Partners SURFnet, NLnet Labs, Universiteit Twente, Northeastern University, RIPE NCC, ICANN
Financiers Projectpartners
Hoofdonderzoeker dr. Roland van Rijswijk-Deij (Universiteit Twente)
Contactpersoon SIDN Labs  Moritz Müller
Website https://rootcanary.org/ 

 

BotLeg

Naam Project Public-private Actions Against Botnets: Establishing the Legal Boundaries
Acroniem BotLeg
Abstract

De bestrijding van botnets, die vele vormen van cyberaanvallen faciliteren, vormt een van de grootste uitdagingen op het terrein van cybersecurity. De klassieke manier om misdaad te bestrijden - de daders berechten en hun wapens afpakken - faalt hier: botnets kunnen niet zomaar even worden 'afgepakt’ en de reactieve nadruk die bij wetshandhaving wordt gelegd op het berechten van misdadigers zet weinig zoden aan de dijk als het gaat om afrekenen met botnetdreigingen. Er is behoefte aan een breder arsenaal aan anti-botnet strategieën, inclusief proactieve strategieën en publiek-private samenwerking, voor de detectie en ontmanteling van botnets. Publiek-private anti-botnet operaties roepen echter belangrijke juridische vragen op. Mogen private partijen en overheidsinstanties gegevens over (mogelijk) geïnfecteerde computers met elkaar delen? Hoe ver mogen private en publieke partijen gaan in hun acties tegen botnets? En hoe legitiem zijn publiek-private samenwerkingen waarbij private partijen zich toeleggen op misdaadbestrijding, een taak die eigenlijk toebehoort aan de overheid?

Het project is gericht op het versterken van de rechtszekerheid voor belanghebbenden en van de legitimiteit van publiek-private anti-botnet operaties in twee cruciale sectoren in de strijd tegen botnets (telecommunicatie/internet en hoger onderwijs). De doelstellingen zijn het onderzoeken van de wettelijke grenzen en mogelijkheden voor publiek-private anti-botnet operaties; het vergroten van de bewustwording onder belanghebbenden van de juridische ruimte voor anti-botnet operaties; en het ontwikkelen van richtlijnen en gedragscodes waarin de grenzen van anti-botnet operaties in de relevante sectoren worden vastgelegd en verduidelijkt.

De overkoepelende onderzoeksvraag is: wat zijn de voorwaarden waaronder doeltreffende publiek-private anti-botnet operaties op wettige en legitieme wijze kunnen worden ondernomen? De methodologie combineert rechtsanalyse (Nederlandse en Europese wetgeving), vergelijkende rechtsanalyse (Duitsland, Engeland) en sociaal-wetenschappelijke methodes voor stakeholderanalyse. Het is de bedoeling dat samenwerking op nationaal en internationaal niveau zal leiden tot een brede verspreiding van best practices voor de bestrijding van botnets.

Looptijd december 2014 -  december 2018
Partners Tilburg University (TILT), SURFnet, Vereniging Abuse Information Exchange, SIDN, LeaseWeb, Politie (Team High Tech Crime)
Financiers SURFnet, Vereniging Abuse Information Exchange, SIDN, LeaseWeb, Politie (Team High Tech Crime)
Hoofdonderzoeker Karine e Silva (TILT)
SIDN Labs Cristian Hesselman
Website https://research.tilburguniversity.edu/en/projects/public-private-actions-against-botnets-establishing-the-legal-bou 

 

COMAR

Naam Classification of COmpromised versus MAliciously Registered Domains
Acroniem COMAR
Abstract Het doel van COMAR is om een automatisch lerend classificatiesysteem te ontwikkelen dat domeinen op de zwarte lijst onderverdeelt in gehackt of kwaadwillend geregistreerd en dit systeem vervolgens na grondige evaluatie geschikt te maken voor gebruik in een productieomgeving. Daarnaast willen we onderzoeken wat aanvallers doen om hun winst te maximaliseren en wat hun verdienmodel is. Door de classifier toe te passen op nog ongeclassificeerde blacklisted URL's willen we antwoord krijgen op de vraag of internetcriminelen de voorkeur geven aan het registreren van malafide domeinen, het hacken van kwetsbare websites of aan het misbruiken van de domeinen van legitieme diensten, zoals clouddiensten voor bestandsopslag.
Looptijd november 2018 - november 2022
Partners Grenoble Alps University, AFNIC Labs
Financiers SIDN, AFNIC
Hoofdonderzoeker dr. Maciej Korczynski (Grenoble Alps University)
Contactpersoon SIDN Labs  Cristian Hesselman
Website www.comar-project.fr (binnenkort beschikbaar) www.comar-project.nl (binnenkort beschikbaar)

 

DDoS Clearing House for NL and Europe

Naam DDoS Clearing House for NL and Europe
Acroniem -
Abstract

Het doel van dit project is het ontwerpen en testen van een DDoS-clearinghouse. Dit is een systeem waarmee beheerders van verschillende (vitale) infrastructuren automatisch de unieke karakteristieken van DDoS-aanvallen - zogenaamde ‘DDoS fingerprints’ - kunnen genereren, delen en gebruiken. Het clearinghouse is een extra securitylaag, die een aanvulling vormt op traditionele DDoS-bestrijdingsdiensten zoals wasstraten. Het geeft beheerders de mogelijkheid om proactief op te treden en hun infrastructuur gezamenlijk bestand te maken tegen DDoS-aanvallen die hen nog niet hebben getroffen, maar waarmee ze ooit te maken kunnen krijgen. Hiermee wordt een nieuwe koers ingeslagen ten opzichte van de bestaande strategieën voor DDoS-bestrijding, die juist 'ieder voor zich’ en reactief zijn.

Het pilotonderzoek wordt uitgevoerd op TRL5 tot TRL7 (globaal). Tijdens dit onderzoek wordt de effectiviteit van de volgende mechanismen getest:

  • Het genereren van fingerprints, bijvoorbeeld aan de hand van verschillende soorten netwerkpatronen (op basis van packets, flow en logs) op verschillende locaties (bijvoorbeeld DDoS-doelwitten of IoT-honeypots).
  • Het delen van fingerprints, bijvoorbeeld met vitale aanbieders, met de academische community (om bijvoorbeeld nieuwe algoritmen voor DDoS-detectie te ontwikkelen) of met CERT’s/SCIRT’s (bijvoorbeeld om hen te informeren over computers die bij aanvallen zijn gebruikt). Hieronder valt ook het delen van informatie die daaruit afgeleid is, zoals op fingerprints gebaseerde detectie- en bestrijdingsregels.
  • Het inzetten van fingerprints voor bestrijding. Denk hierbij aan regels voor het filteren van upstream verkeer, de dynamische omleiding van DNS-verkeer via anycast tijdens aanvallen en het beperken van uitgaand verkeer van geïnfecteerde IoT-apparaten in edge-netwerken.
  • Het inzetten van fingerprints voor attributie, d.w.z. het verzamelen van fingerprints over een langere periode om daders op te sporen en te vervolgen.

De pilot wordt in eerste instantie opgezet en uitgevoerd in Nederland, maar verhuist daarna naar Italië. Een deel van het werk bestaat uit het ontwikkelen van een ‘kookboek’ waarmee aanbiedergroepen gemakkelijk hun eigen DDoS-clearinghouse kunnen opzetten en zelfstandig kunnen beheren, zodat het concept kan worden opgeschaald naar Europees niveau. Als onderdeel hiervan gaan we samen met de aanbieders van vitale infrastructuren in Nederland en Italië aan de slag (bijvoorbeeld via workshops) om na te gaan in hoeverre het DDoS-clearinghouse levensvatbaar is, bezien vanuit onder meer financieel, juridisch, technisch en bestuursmatig perspectief.

De werkzaamheden zijn onderdeel van zowel een Nederlands project met een technische inslag (bekend onder de naam de ‘nationale anti-DDoS-wasstraat') als een meer op onderzoek gericht Europees project (H2020 CONCORDIA).

Looptijd januari 2019 - januari 2023
Partners SIDN, SURFnet, Universiteit Twente Partners in de ‘nationale anti-DDoS-wasstraat’ (Nederland) Partners in H2020 Concordia (Task 3.2)
Financiers Partners in de ‘nationale anti-DDoS-wasstraat’ (in natura) Europese Commissie
Hoofdonderzoeker TBD
Contactpersoon SIDN Labs  Cristian Hesselman
Website https://www.concordia-h2020.eu/ 

2STiC 

Name Security, stability, and transparency in inter-network communications
Acronym 2STiC
Abstract

2STiC Het doel van 2STiC is technieken te ontwikkelen en evalueren die de veiligheid, stabiliteit en transparantie van internetcommunicatie vergroten, bijvoorbeeld door te experimenteren met en bij te dragen aan opkomende internetarchitecturen, zoals SCION, RINA en NDN, alsook aan het bestaande (IP-gebaseerde) Internet. De onderzoekspartners verwachten dat deze nieuwe internetvormen fungeren als aanvulling op het huidige Internet om specifieke klassen van toepassingen mogelijk te maken. Onze lange-termijnambitie is om een expertisecentrum op te zetten op het gebied van vertrouwde en weerbare internetten en de Nederlandse (en Europese) netwerkcommunity's te helpen om op dit gebied voorop te lopen.

We hebben een visiedocument geschreven, waarin we het project nader toelichten en dieper ingaan op zaken als doelstellingen, motivatie, actualiteit en onderzoeksthema's. 2STiC is een meerjarig onderzoeksprogramma met een praktijkgerichte aanpak op basis van connecties met bestaande testbeds (bijvoorbeeld van SCION of NDN), running code voor het evalueren van nieuwe netwerkconcepten en applicaties, experimenten en proefversies.

2STiC is actief op zoek naar samenwerkingen met de operationele en academische community's in Nederland en Europa.

Duration October 2018 till October 2020 (phase 1)
Partners AMS-IX, NLnet Labs, SIDN Labs, TU Delft, University of Amsterdam, University of Twente, SURFnet
Funded by Project partners
Lead researcher Victor Reijs (SIDN Labs)
SIDN Labs contact Victor Reijs
Website www.2stic.nl

DMAP

Naam Domain Name Ecosystem Mapper
Acroniem DMAP
Abstract

Het project heeft als doel het ontwikkelen, prototypen en evalueren van ons crawlersysteem DMAP. Dit systeem meet periodiek de (beveiligings)kenmerken van grote groepen domeinnamen (orde van grootte: miljoenen) om bijvoorbeeld nepwebshops op te sporen en voor onderzoek.

DMAP gebruikt de meetresultaten om een dynamisch model van het ecosysteem achter de domeinnamen te bouwen en de onderliggende datastructuren te creëren, bij te werken en te verwijderen. Het systeem kan naar wens worden uitgebreid met classifiers (algoritmen) die probabilistische kenmerken koppelen aan een domeinnaam. Voorbeelden hiervan zijn classifiers die berekenen hoe groot de kans is dat een domeinnaam wordt gebruikt voor phishing, dat het een booter-site is, dat een site is gehackt of dat de domeinnaam wordt gebruikt als DGA.

Een classifier kan een kenmerk afleiden uit meerdere heterogene databronnen, zoals DNS-verkeer, abuse feeds, de ASN- en adressendatabase van RIPE en RIPE ATLAS.

Looptijd juli 2016 - heden (lopend)
Partners n.v.t.
Financiers SIDN
Hoofdonderzoeker Maarten Wullink (SIDN Labs)
Contactpersoon SIDN Labs  Maarten Wullink
Website https://dmap.sidnlabs.nl/ 

 

ENTRADA

Name ENhanced Top-level domain Resilience through Advanced Data Analysis
Acroniem ENTRADA
Abstract

Het doel van ENTRADA is het vergroten van de stabiliteit en beveiliging van de .nl-zone en de wereldwijde internetinfrastructuur door een platform te bieden voor de ontwikkeling van nieuwe applicaties en geautomatiseerde diensten voor de detectie van afwijkingen en bedreigingen in ons DNS-verkeer. ENTRADA is een open source platform dat we hebben ontworpen om grote hoeveelheden DNS-verkeer te verwerken en snel te analyseren, zelfs op een cluster met weinig nodes. ENTRADA kan deze prestaties leveren dankzij 2 belangrijke kenmerken:

  • Het maakt gebruik van een geoptimaliseerd kolom-georiënteerd bestandsformaat (Apache Parquet, gebaseerd op Dremel van Google)
  • Het maakt gebruik van een high-performance SQL zoekmachine (Apache Impala)

Bij het werken met DNS-gegevens mag de privacy niet uit het oog worden verloren. Daarom hebben we een privacyraamwerk ontwikkeld dat juridische, organisatorische en technische aspecten van privacybeheer integraal combineert. Het raamwerk is ‘by design’ ingebouwd in het ENTRADA-platform.

Bij ons bevat ENTRADA momenteel zo'n 4 jaar aan DNS-verkeer van onze nameservers, wat neerkomt op 1 triljoen DNS-query's en antwoorden. ENTRADA-applicaties waar wij momenteel aan werken, zijn bijvoorbeeld algoritmen om phishing te detecteren en botnetverkeer te herkennen. ENTRADA is een open source project en er heeft zich een kleine community van ENTRADA-gebruikers gevormd. Nieuwe ENTRADA-applicaties kunnen de stabiliteit en veiligheid van het hele internet helpen vergroten.

Looptijd januari 2014 - heden (lopend)
Partners n.v.t.
Financiers SIDN
Hoofdonderzoeker Maarten Wullink (SIDN Labs)
Contactpersoon SIDN Labs  Maarten Wullink
Website http://entrada.sidnlabs.nl/ 

 

SPIN

Naam Security & Privacy for In-home Networks
Acroniem SPIN
Abstract

Het doel van het project Security & Privacy for In-home Networks (SPIN) is het onderzoeken, prototypen en evalueren van methodes en systemen die het internet en gebruikers beschermen tegen onveilige IoT-apparaten in kleine netwerken, zoals thuisnetwerken. We zijn dit project begonnen naar aanleiding van de DDos-aanval van 1,2 Tbps op DNS-operator Dyn. Deze aanval werd uitgevoerd door zo'n 600.000 IoT-bots en veroorzaakte een grote internetstoring bij populaire diensten als Twitter en Spotify.

SPIN is ons open source platform voor apparaten met beperkte resources. Het analyseert het verkeer op een netwerk en zoekt naar afwijkingen die erop kunnen duiden dat een IoT-apparaat is geïnfecteerd. Een voorbeeld hiervan is een lamp met wifi die maandenlang slechts af en toe en alleen in het donker verbinding maakt met een internetdienst, maar plotseling overdag grote aantallen berichten gaat sturen en ontvangen. In zo'n geval blokkeert SPIN automatisch het verkeer van en naar dat apparaat om te voorkomen dat het actief deel gaat uitmaken van een botnet (om bijvoorbeeld DDoS-aanvallen op een DNS-operator zoals SIDN uit te voeren) of de beveiliging, privacy of fysieke veiligheid van eindgebruikers in gevaar brengt. SPIN maakt het dus mogelijk om apparaten gericht te blokkeren. Dat is van cruciaal belang voor het IoT, want zelfs bescheiden netwerken kunnen in potentie honderden (piepkleine) IoT-apparaten bedienen die ongemerkt communiceren met de fysieke omgeving van mensen. We hebben SPIN zo ontworpen dat het in een lokaal netwerk kan functioneren zonder metingen te hoeven delen met clouddiensten, wat de privacy ten goede komt. 

Looptijd januari 2017 - heden (lopend)
Partners n.v.t.
Financiers SIDN
Hoofdonderzoeker Jelte Jansen (SIDN Labs)
Contactpersoon SIDN Labs  Jelte Jansen
Website https://spin.sidnlabs.nl 

 

SAND

Naam Self-managing Anycast Networks for the DNS
Acroniem SAND
Abstract

SAND richt zich op het probleem dat DNS-operators maar heel weinig intelligente real-time instrumenten tot hun beschikking hebben waarmee ze hun anycast diensten kunnen monitoren, bijvoorbeeld tijdens een DDoS-aanval. Het doel van het project is om instrumenten en aanbevelingen voor operators van anycast systemen te ontwikkelen, prototypen en evalueren.

De DNS-infrastructuur van het hedendaagse internet is uiterst complex: autoritatieve servers worden gerepliceerd met behulp van IP anycast, meerdere NS-records en load balancers. Op hun beurt kunnen resolvers ook werken met IP anycast en andere selectie-algoritmen hebben. De ervaringen van gebruikers zijn afhankelijk van de onderlinge verbanden tussen de diverse onderdelen van de infrastructuur.

Operators, zoals SIDN, streven ernaar om DNS-diensten met een lage latency te leveren. In de afgelopen jaren heeft het onderzoek van SAND specifieke onderdelen van de lagen van complexiteit in de DNS-infrastructuur geïdentificeerd en deze nauwgezet geëvalueerd, met als resultaat een reeks aanbevelingen voor DNS-operators over hoe ze hun diensten het beste kunnen beheren.

Het doel van SAND is om DNS-operators te helpen weloverwogen beslissingen te nemen met betrekking tot het beheer van hun netwerk, waarbij rekening wordt gehouden met de verschillende lagen van complexiteit en de wisselwerking tussen de diverse protocollen die aan het DNS ten grondslag liggen. Daarnaast heeft het project als doel om operators van dienst te zijn door visualisatie- en meetinstrumenten te ontwikkelen.

Looptijd Fase 1: november 2014 – november 2016 Fase 3: april 2018 – april 2020
Partners Universiteit Twente, NLnet Labs
Financiers SIDN, NLnet Labs
Hoofdonderzoeker dr. João Ceron (Universiteit Twente)
Contactpersoon SIDN Labs  Giovane Moura
Website http://www.sand-project.nl/ 

 

PAADDoS

Naam Plannning for Anycast as Anti-DDoS
Acroniem PAADDoS
Abstract

Het project PAADDoS heeft als doel het beschermen tegen grootschalige Distributed Denial-of-Service oftewel DDoS-aanvallen door de anycast capaciteit effectiever te maken dan nu het geval is. Anycast maakt gebruik van internetroutering om gebruikers te koppelen aan de dichtstbijzijnde locatie van gerepliceerde services. Tijdens een DDoS-aanval kunnen anycast locaties de capaciteit beter verdelen, zodat de aanval kan worden geabsorbeerd. Bovendien kunnen ze worden gebruikt om de aanval te beperken tot een deel van het netwerk. We zijn van plan om het gebruik van anycast tijdens DDoS-aanvallen te verbeteren door (1) instrumenten te ontwikkelen voor het in kaart brengen van anycast catchments en hun normale belasting, (2) methodes te ontwikkelen voor het plannen van wijzigingen en het voorspellen van de effecten ervan op catchments en (3) instrumenten te ontwikkelen voor het inschatten van de aanvalsbelasting en voor hulp bij de anycast herconfiguratie tijdens een aanval. We verwachten dat deze innovaties de weerbaarheid tegen DDoS-aanvallen zullen vergroten. Onze instrumenten zullen de wendbaarheid van anycast tijdens een aanval verbeteren, waardoor de capaciteit effectief kan worden ingezet.

Looptijd 2019 - 2023 (naar verwachting)
Partners Universiteit of Twente, University of Southern California (ISI)
Financiers NWO (NL), DHS (US)
Hoofdonderzoeker Aiko Pras (Universiteit Twente), John Heidemann (USC/ISI)
Contactpersoon SIDN Labs  Giovane Moura
Website https://ant.isi.edu/paaddos/ 

 

OpenINTEL

Naam Open INTernet Evolution Library
Acroniem OpenINTEL
Abstract Het project OpenINTEL heeft als doel het opzetten en beheren van het OpenINTEL-platform, dat de evolutie van het internet volgt door middel van actieve en continue DNS-metingen. We hebben gekozen voor een benadering op basis van het DNS, omdat het vanwege de gigantische hoeveelheid verkeer en het enorme aantal netwerkknooppunten vrijwel onmogelijk is om de evolutie van het wereldwijde internet te volgen op IP-niveau. De huidige methodes voor DNS-metingen zijn grotendeels afhankelijk van passieve metingen. Hoewel dat in bepaalde sectoren goede resultaten oplevert (bijvoorbeeld forensische beveiliging), geeft het geen betrouwbaar beeld van het DNS in de loop van de tijd. Dit komt doordat de gegevens zo worden verzameld dat onderzoekers geen controle hebben over hoe vaak of in welke domeinen de gegevensverzameling plaatsvindt. OpenINTEL is een opgeschaalde versie van het platform dnsjedi, ontworpen en geïmplementeerd door Universiteit Twente en SURFnet. Het OpenINTEL-platform beoogt een infrastructuur te zijn voor hoogwaardige analyse van het DNS op basis van de Hadoop toolchain en het mogelijk te maken om meetgegevens efficiënt op te slaan, te analyseren en te delen.
Looptijd 1 augustus 2015 - heden (lopend)
Partners Universiteit Twente, SURFnet, NLnet Labs
Financiers Universiteit Twente, SIDN, SURFnet 
Hoofdonderzoeker dr. Roland van Rijswijk-Deij (Universiteit Twente, NLnet Labs)
Contactpersoon SIDN Labs  Cristian Hesselman
Website http://www.openintel.nl/

Security Intelligence for Top-level Domain Operators

Naam Security Intelligence for Top-level Domain Operators
Acroniem SITO
Abstract

Net als de domeinen in andere TLD's kunnen de domeinen in .nl worden misbruikt voor allerlei soorten aanvallen: phishing, de verspreiding van malware, spamcampagnes, frauduleuze webwinkels, enzovoort. Ook kunnen .nl-domeinen ten prooi vallen aan malafide praktijken als Distributed Denial-of-Service oftewel DDoS-aanvallen. Bovendien kunnen domeinen gekaapt worden, bijvoorbeeld door de inloggegevens van de registrant te stelen.

Het doel van SITO is het detecteren van de vele soorten aanvallen en vormen van misbruik waarmee .nl-domeinen te maken kunnen krijgen. Hiervoor bouwt SITO voort op het ENTRADA-project, waarbij een data-gedreven aanpak wordt gehanteerd om misbruik en diverse soorten aanvallen aan het licht te brengen, bijvoorbeeld wanneer domeinen worden gebruikt voor phishing of spamcampagnes. Uiteindelijk is het doel om vroegtijdig te kunnen waarschuwen en zo gebruikers, registrars, registranten en hosting providers te beschermen tegen domeinen die zijn geïnfecteerd of betrokken zijn bij misbruik.

SITO is een groot project dat is opgedeeld in meerdere modules, waarbij elke module zich toelegt op een bepaald soort aanval. De eerste module is nDEWS (new Domain Early Warning System). Deze module is erop gericht om ‘normale’ nieuwe domeinen te onderscheiden van 'verdachte’. Hiervoor worden zelflerende algoritmen ingezet, die gebruik maken van de DNS-gegevens die door ENTRADA worden geleverd. Te zijner tijd zullen meer modules worden ontwikkeld en informatie daarover zal hier worden gepost.

Looptijd 1 januari 2015 - heden
Partners Geen
Financiers SIDN
Hoofdonderzoeker Giovane Moura (SIDN Labs)
Contactpersoon SIDN Labs  Giovane Moura (SIDN Labs)
Website -

Gesponsorde projecten

Financiële ondersteuning van NLnet Labs

SIDN draagt vijf jaar lang financieel bij aan NLnet Labs. Deze bijdrage dekt de helft van de omzet. Dit doen we omdat de DNS-software van NLnet Labs een belangrijke Nederlandse bijdrage levert aan de veiligheid en stabiliteit van de internetinfrastructuur. De bekendste producten van NLnet Labs zijn de autoratieve nameserversoftware NSD en de UNBOUND-resolver. UNBOUND wordt onder meer gebruikt door grote Nederlandse internetaanbieders als XS4ALL en T-Mobile. Verder heeft NLnet Labs binnen het kader van de IETF bijgedragen aan een groot aantal internetstandaarden, bijvoorbeeld op het gebied van DNSSEC, en zo mede richting gegeven aan de voortschrijdende ontwikkeling van het internet. Het werk van NLnet Labs is daarmee van belang voor talloze belanghebbenden in de internetinfrastructuur, waaronder onze .nl-registrars.

Duur

1 januari 2012 - 1 januari 2017 (fase 1) 1 januari 2017 - 1 januari 2022 (fase 2))

Financiers SIDN
Contactpersoon SIDN Labs Cristian Hesselman (SIDN Labs)
Website http://www.nlnetlabs.nl/

Onze partners

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.