Πρωτότυπος Τίτλος:
Συγκριτική Αποτίμηση Επίδοσης Συστημάτων Ανίχνευσης Εισβολής (Intrusion Detection Systems) σε Περιβάλλοντα Σύγχρονων Δικτύων Επικοινωνιών
Συγγραφέας:
Κουτσοδημητροπούλου, Αναστασία, Γεώργιος
Επιβλέπων καθηγητής:
Δημητρακόπουλος, Γεώργιος
Περίληψη:
Τα συστήματα ανίχνευσης εισβολών (Intrusion Detection Systems) κατέχουν σημαντικό ρόλο στην ασφάλεια των πληροφοριακών συστημάτων. Η ασφάλεια των δεδομένων στα δίκτυα επικοινωνιών, αποτελεί μεγάλη πρόκληση με την ραγδαία αύξηση της κυκλοφορίας του δικτύου. Στα δίκτυα αυτά, κακόβουλοι χρήστες σχεδιάζουν τρόπους προκειμένου να διεισδύσουν στο δίκτυο. Τα IDSs έχουν αναπτυχθεί και προσαρμοστεί ώστε να λειτουργήσουν ως στρώμα προστασίας σε αυτές τις εξελισσόμενες επιθέσεις. Υπάρχουν πολλά Network Intrusion Detection Systems, αλλά η ακόλουθη έρευνα εστιάζει σε τρία συστήματα, τα οποία προσαρμόζονται περισσότερο στα δίκτυα επικοινωνιών. Η εργασία στοχεύει στον προσδιορισμό του συστήματος ανίχνευσης εισβολών με την καλύτερη επίδοση για να αντιμετωπίσει τις εκάστοτε επιθέσεις.
Ο Snort αποτελεί ένα σύστημα ανίχνευσης εισβολών ανοιχτού κώδικα, το οποίο δημιουργήθηκε το 1998 κι από τότε έχει εξελιχθεί σημαντικά. Το εργαλείο αυτό έχει τη δυνατότητα να εκτελεί ανάλυση της κυκλοφορίας σε πραγματικό χρόνο (real-time traffic analysis) και να καταγράφει πακέτα σε δίκτυο IP (Internet Protocol). Ένα θετικό χαρακτηριστικό του Snort αποτελεί η ικανότητα του να αποτρέπει τις απειλές. Επιθέσεις οι οποίες μπορούν να εντοπιστούν – και να αποτραπούν – από τον Snort είναι buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, καθώς και πολλές ακόμη. Ο Snort μπορεί ακόμη να χρησιμοποιηθεί με πιο «προχωρημένες» (advanced) επιλογές, οι οποίες παρουσιάζονται στα επόμενα κεφάλαια.
Ένα επιπλέον σύστημα ανίχνευσης εισβολών είναι το Cyber AI της Darktrace. Το συγκεκριμένο σύστημα έχει εξελιχθεί με στόχο όχι μόνο να ανιχνεύει, αλλά και να μετριάζει επιθέσεις σε πραγματικό χρόνο (real-time attacks) που βρίσκονται σε εξέλιξη (IPS). Το Darktrace Antigena βασίζεται στην τεχνητή νοημοσύνη – και αποτελεί ένα αυτοδίδακτο (self-learning) σύστημα, το οποίο μαθαίνει και προσαρμόζει το «φυσιολογικό μοντέλο ζωής» του συστήματος. Στην περίπτωση που παρατηρηθεί μια ασυνήθιστη δραστηριότητα, το AI ενεργοποιείται με στόχο να μετριάσει την απειλή. Ορισμένες επιθέσεις, οι οποίες εντοπίζονται από το Cyber AI της Darktrace, είναι Insider Threat, Ransomware attacks, καθώς και διάφορες ακόμη επιθέσεις, οι οποίες θα αναφερθούν αργότερα στην παρούσα έρευνα.
Από την άλλη πλευρά, ο PCA (Principal Component Analysis) αποτελεί μια κοινώς χρησιμοποιούμενη τεχνική μείωσης των διαστάσεων. Είναι σημαντικό να αναφερθεί πως ο αλγόριθμος αυτός μπορεί να χρησιμοποιηθεί με στόχο να ανιχνεύσει μια επίθεση, η οποία βρίσκεται σε εξέλιξη. Με βάση μια έρευνα που πραγματοποιήθηκε το 2007 [4], παρουσιάζεται μια προσέγγιση ανίχνευσης περιστατικών που χρησιμοποιεί πιθανοτικές μεθόδους δικτύου και επεξεργασίας για την εκμετάλλευση χωρικών και χρονικών συσχετισμών και εξαρτήσεων στα δίκτυα των οχημάτων.
Προκειμένου να εντοπιστεί πιο από τα παραπάνω IDS έχει καλύτερη επίδοση, πραγματοποιήθηκε μια έρευνα δύο σταδίων. Αρχικά, αναφέρονται οι επιθέσεις τις οποίες κάθε σύστημα ανιχνεύει επιτυχώς και στο δεύτερο μέρος, αναφέρεται ο χρόνος που απαιτείται προκειμένου να ανιχνευτούν οι επιθέσεις από τα IDSs.
Ο Snort αποτελεί ένα σύστημα ανίχνευσης εισβολών ανοιχτού κώδικα, το οποίο δημιουργήθηκε το 1998 κι από τότε έχει εξελιχθεί σημαντικά. Το εργαλείο αυτό έχει τη δυνατότητα να εκτελεί ανάλυση της κυκλοφορίας σε πραγματικό χρόνο (real-time traffic analysis) και να καταγράφει πακέτα σε δίκτυο IP (Internet Protocol). Ένα θετικό χαρακτηριστικό του Snort αποτελεί η ικανότητα του να αποτρέπει τις απειλές. Επιθέσεις οι οποίες μπορούν να εντοπιστούν – και να αποτραπούν – από τον Snort είναι buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts, καθώς και πολλές ακόμη. Ο Snort μπορεί ακόμη να χρησιμοποιηθεί με πιο «προχωρημένες» (advanced) επιλογές, οι οποίες παρουσιάζονται στα επόμενα κεφάλαια.
Ένα επιπλέον σύστημα ανίχνευσης εισβολών είναι το Cyber AI της Darktrace. Το συγκεκριμένο σύστημα έχει εξελιχθεί με στόχο όχι μόνο να ανιχνεύει, αλλά και να μετριάζει επιθέσεις σε πραγματικό χρόνο (real-time attacks) που βρίσκονται σε εξέλιξη (IPS). Το Darktrace Antigena βασίζεται στην τεχνητή νοημοσύνη – και αποτελεί ένα αυτοδίδακτο (self-learning) σύστημα, το οποίο μαθαίνει και προσαρμόζει το «φυσιολογικό μοντέλο ζωής» του συστήματος. Στην περίπτωση που παρατηρηθεί μια ασυνήθιστη δραστηριότητα, το AI ενεργοποιείται με στόχο να μετριάσει την απειλή. Ορισμένες επιθέσεις, οι οποίες εντοπίζονται από το Cyber AI της Darktrace, είναι Insider Threat, Ransomware attacks, καθώς και διάφορες ακόμη επιθέσεις, οι οποίες θα αναφερθούν αργότερα στην παρούσα έρευνα.
Από την άλλη πλευρά, ο PCA (Principal Component Analysis) αποτελεί μια κοινώς χρησιμοποιούμενη τεχνική μείωσης των διαστάσεων. Είναι σημαντικό να αναφερθεί πως ο αλγόριθμος αυτός μπορεί να χρησιμοποιηθεί με στόχο να ανιχνεύσει μια επίθεση, η οποία βρίσκεται σε εξέλιξη. Με βάση μια έρευνα που πραγματοποιήθηκε το 2007 [4], παρουσιάζεται μια προσέγγιση ανίχνευσης περιστατικών που χρησιμοποιεί πιθανοτικές μεθόδους δικτύου και επεξεργασίας για την εκμετάλλευση χωρικών και χρονικών συσχετισμών και εξαρτήσεων στα δίκτυα των οχημάτων.
Προκειμένου να εντοπιστεί πιο από τα παραπάνω IDS έχει καλύτερη επίδοση, πραγματοποιήθηκε μια έρευνα δύο σταδίων. Αρχικά, αναφέρονται οι επιθέσεις τις οποίες κάθε σύστημα ανιχνεύει επιτυχώς και στο δεύτερο μέρος, αναφέρεται ο χρόνος που απαιτείται προκειμένου να ανιχνευτούν οι επιθέσεις από τα IDSs.
Ημερομηνία κατάθεσης:
2019-10-04
Γλώσσες Τεκμηρίου:
Ελληνικά
Θεματικές Κατηγορίες:
Ηλεκτρονικοί υπολογιστές. Επιστήμη των υπολογιστών
Λοιπά Θέματα:
Πληροφοριακά συστήματα - ασφάλεια
Λέξεις-κλειδιά:
Τεχνητή Νοημοσύνη, Εισβολές, Ανίχνευση
Περιγραφή:
49 σ.:εικ.,πίν.
Άδεια χρήσης:
Αναφορά Δημιουργού – Μη Εμπορική Χρήση – Όχι Παράγωγα Έργα 4.0
