Klassifiseringsmetoder i høyere ordens IDS

Abstract

Vi ser stadig en mer aggressiv Internet-verden, med en jevn økning i datakriminalitet i form av hacker-angrep og virus. Dette skaper behov for overvåkning av nettverk i form av innbruddsdeteksjonsystem (IDS). Når angrep oppdages på nettverket vil innbruddsdeteksjonsystemet generere en alarm til nettverksansvarlig. Signaturbaserte IDS, som er den vanligste formen for IDS i dag, har et generelt problem at de genererer endel alarmer uten at det forekommer angrep. Dette kalles falske alarmer. Vi presenterer en løsning på dette problemet med å innføre et «høyere ordens IDS». Med dette mener vi en automatisk klassifisering av alarmer fra et signaturbasert IDS på om disse er falske eller reelle. Til dette har vi benyttet maskinlæringsmetoden naiv Bayes klassifikator. Et viktig mål har vært å minske antall falske alarmer, samtidig som man vil unngå å klassifisere reelle alarmer som falske alarmer. I vårt testmiljø hos Telenor Sikkerhetssenter har vi jobbet med alarmer generert av Snort, et typisk signaturbasert IDS. Vi oppnår gode resultater i vår testing og reduserer antall alarmer med opptil 90%. De viktigste konklusjonene fra oppgaven vår er at et «høyere ordens IDS» vil være en god løsning til å minske antall falske alarmer. Vi anser våre hypoteser, «alarmer fra et signaturbasert IDS har de egenskaper som skal til for å kunne klassifiseres ved hjelp av maskinlæring », «falske alarmer må kunne kjennes igjen i stor grad ved bruk av maskinlæring» og «feilklassifiserte reelle alarmer vil kunne reduseres kraftig ved ulike metoder innenfor maskinlæring» som styrket utav vårt arbeid.