Klassifiseringsmetoder i høyere ordens IDS
Abstract
Vi ser stadig en mer aggressiv Internet-verden, med en jevn økning i datakriminalitet
i form av hacker-angrep og virus. Dette skaper behov for overvåkning
av nettverk i form av innbruddsdeteksjonsystem (IDS).
Når angrep oppdages på nettverket vil innbruddsdeteksjonsystemet generere
en alarm til nettverksansvarlig. Signaturbaserte IDS, som er den vanligste
formen for IDS i dag, har et generelt problem at de genererer endel alarmer
uten at det forekommer angrep. Dette kalles falske alarmer.
Vi presenterer en løsning på dette problemet med å innføre et «høyere
ordens IDS». Med dette mener vi en automatisk klassifisering av alarmer
fra et signaturbasert IDS på om disse er falske eller reelle. Til dette har vi
benyttet maskinlæringsmetoden naiv Bayes klassifikator.
Et viktig mål har vært å minske antall falske alarmer, samtidig som man
vil unngå å klassifisere reelle alarmer som falske alarmer. I vårt testmiljø
hos Telenor Sikkerhetssenter har vi jobbet med alarmer generert av Snort,
et typisk signaturbasert IDS. Vi oppnår gode resultater i vår testing og reduserer
antall alarmer med opptil 90%.
De viktigste konklusjonene fra oppgaven vår er at et «høyere ordens
IDS» vil være en god løsning til å minske antall falske alarmer.
Vi anser våre hypoteser, «alarmer fra et signaturbasert IDS har de
egenskaper som skal til for å kunne klassifiseres ved hjelp av maskinlæring
», «falske alarmer må kunne kjennes igjen i stor grad ved bruk av
maskinlæring» og «feilklassifiserte reelle alarmer vil kunne reduseres kraftig
ved ulike metoder innenfor maskinlæring» som styrket utav vårt arbeid.
Description
Masteroppgave i informasjons- og kommunikasjonsteknologi 2004 - Høgskolen i Agder, Grimstad
Publisher
Høgskolen i AgderAgder University College