3.9 Процент на откриване на DoS атаки
3.5.7 Атаки срещу мейл сървър
Резултатите от откритите атаки срещу мейл сървъра са показани на фигура 3.10 Следва да се отбележи, че не е имало атаки срещу NT и поради това не е показана на фигура 3.10. Обобщените резултати са повече или по-малко според очакванията, като по-малките подгрупи от функция са в състояние да откриват атаки по-добре, отколкото при използване на всички функции, или Knuuti функциите. Ако се вземе под внимание, че при използване на по-малко функции за обработка, изискванията са по-малки, отколкото при използването на по-голям набор от информация. От тази гледна точка, резултатите са много добри. Интересното обаче в тези резултати е, че пробните и Dos подгрупите от функции са толкова добри, колкото функциите на пощенския сървър с атаки срещу компютъра Solaris. С Linux компютъра всички подгрупи с изключение на подгрупа DoS се представят еднакво добре.
3.10 Процент на откриване на атаки срещу мейл сървър
3.6. Верни положителни и неверни положителни резултати
Процентът на установените нередности, който съответства на действителните атаки (истински положителни резултати) е илюстриран на фигура 3.11. Следва да се вземе предвид, че дори нормалният мрежови трафик съдържа промени, които могат да бъдат открити като неправилно поведение.
От фигура 3.11 може да се види, че при мрежовия трафик на Linux компютъра, локалният метод за откриване на аномалии разкрива повече истински положителни резултати в сравнение с неверни положителни резултати с пробните подгрупи от функции и подгрупи от функции на мейл сървъра. Подмножеството от пробнит функции открива от мрежовия трафик към компютъра NT повече фалшиви положителни резултати, отколкото истински положителни. Linux компютъра с подгрупата от функциите DoS има подобни резултати.
Фигура 3.11 Процент на верни положителни резултати в подмножеството от функции
На фигура 3.12, 3.13 и 3.14 е показан броят на фалшивите положителни резултати в сравнение с броя на истинските положителни резултати, открити от мрежовия трафик, за всеки компютър с подгрупата от функции. При NT и Linux компютрите резултатите са според очакванията, че при използването на повече функции, това също ще доведе до повече неверни положителни резултати.
При Solaris обаче се дават противоположни резултати. С по-малки подгрупи от функция, броят на неверните положителни резултати е много по-голям, отколкото при използване на всички функции или Knuuti функции.те
В заключение е ясно, че е необходимо по-задълбочено изследване на разликите между операционните системи и атаките срещу тях, за да се избере по-подходящия набор от функции. Въпреки, че има големи разлики в резултатите, те все още са повече или по-малко според очакванията. Резултатите могат да бъдат взети като насърчение, че е възможно да се използват по-малки групи от функция за откриване на специфични категории атака с по-малко изисквания за обработка.
Фигура 3.12. Сравнение на броя на неверните и верните положителни резултати, които са били открити от мрежовия трафик при Solaris компютъра
Фигура 3.13. Сравнение на броя на неверни и верни положителни резултати, които са били разкрити от мрежовия трафик при NT компютъра
Alpha
Фигура 3.14. Сравнение на броя на неверни и верни положителни резултати, които са били разкрити от мрежовия трафик при Linux компютъра
ЗАКЛЮЧЕНИЯ
Целта на дипломната работа бе да се намерят подходящи подгрупи от функции за избраните категории атака в рамките на лабораторията за база данни Lincoln. Подгрупите от функции бяха формирани, използвайки предварителните познанията от други изследвания на IDS, атаките и з тяхното въздействие върху мрежовия трафик се анализираха, за да се реши кои функции трябва да се използват за откриването на аномалии.
Резултатите (виж точка 3.6), показват, че е възможно да се използват по-малки подгрупи от функции, за да се открие проникване в наблюдаваните данни. Като се вземат предвид всички фактори, които влияят върху резултатите, резултатът е добър, при процент на откриваемост от 40-60% с повечето подгрупи от функции (вж. Фигура 3.7). Също така, броят на неверните положителни резултати се редуцира при по-малките подгрупи от функции при Linux и NT компютъра. Въпреки че резултатите при Solaris компютъра са напълно противоположни, все още може да се приеме, че резултатите са добър знак, че е възможно да се облекчи натоварването на мрежовия администратор чрез откриване на по-малко неверни положителни резултати.
Въпреки това, както вече беше обсъдено в тока 3.6, допълнителни изследвания са необходими за да се постигнат още по-добри резултати в откриването на аномалии. Ясно е, че в някои случаи резултатите са напълно противоположни на очакваните. За да се разбере причината, са необходими повече изследвания в тази област. Също така, тестването на подгрупи от функции трябва да се извършва с помощта на по-къс времеви прозорец. Ако, например, времевият прозорец бъде пет секунди, теоретично би следвало да е възможно да се открият и по-кратки атаки. Пробните атаки са добър пример за такива кратки атаки .
Освен това, инструментът за откриване на аномалии се използва по подразбиране и чрез използването само на един метод за откриване на аномалии. Тъй като целта на тази дипломна работа е да се направи оценка на изпълнението на различните подгрупи от функция, беше решено, че методът не е от значение от гледна точка на оценката на функцията и по този начин бе използван само един метод. Изглежда обаче, че методът също играе значителна роля в откриването. Например, локалният метод за откриване на аномалии позволява на потребителя да определи броя на клъстерите и праговете, които да бъдат използвани във фазата на откриване. Чрез тестване на различен брой групи за всяка категория атака, могат да се постигнат по-добри резултати.
Анализът на съвременните атаки също е необходим, тъй като атаките стават все по-сложни и все по-трудни за откриване. Отличен пример за това е вирусът Stuxnet, разгледан в точка 1.1.2. Друг критерий при намирането на модерни атаки е да се използва мрежов трафик от живи мрежи. Особено, когато IDS е трябвало да работят в областта на телекомуникационните мрежи, данните трябва да се събират и от такава мрежа.
Alpha
Alpha
Alpha
Alpha
-
-
-
-
Alpha
Alpha
Използвана литература:
-
Lassila, A. Sonera korvaa lopetettavat lankaverkot 3g: http://www.hs.fi/talous/artikkeli/Sonera+korvaa+lopetettavat+lankaverkot+3gll%C3%A4+ja+Digitan+450-verkolla/1135234793887
-
Lehto, T. Tietokone.fi. http://www.tietokone.fi/uutiset/2008/sonera_sulkee_19_000_adsl_liittymaa
-
3GPP TS 23.401 V10.2.1, 3rd Generation Partnership Project; Technical Specification Group Services and Systems Aspect; General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access (Release 10). 3GPP, 2011. Technical Specification.
-
ZTE, Global GSM Incremental Market Analysis. http://wwwen.zte.com.cn/endata/magazine/ztetechnologies/2010/no4
-
3GPP TS 23.402 V9.4.0, 3rd Generation Partnership Project; Technical Specification Groups Services and System Aspects; Architecture enhancements for non-3GPP accesses (Release 9). 3GPP, 2010. Technical Specification.
-
CERT Coordination Center, Vulnerability Discovery: Bridging the Gap Between Analysis and Engineering. http://www.cert.org/archive/pdf/CERTCC_Vulnerability_Discovery.pdf
-
McAfee Labs, McAfee Threats Report: Third Quarter 2010, http://www.mcafee.com/us/threat_center/white_paper.html
-
Cisco-1, Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update 2009-2014, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11-520862.html
-
Sundaram, A. An introduction to intrusion detection, Crossroads, Volume.2, Issue 4, pp. 3-7, April 1996
-
NSA, National Security Agency. Defence in Depth. http://www.nsa.gov/ia/_files/support/defenseindepth.pdf
-
Fogla, P., Lee, W. Evading network anomaly detection systems: formal reasoning and practical techniques, Proceedings of the 13th ACM conference on Computer and communications security, pp. 59-68, Alexandria, Virginia, USA, 2006
-
Gates, C., Taylor, C., Challenging the anomaly detection paradigm: a provocative discussion. In Proc. of ACM Workshop on New Security Paradigms 2006, Schloss Dagstuhl, Germany, September 2006.
-
Denning, D. E., An intrusion-detection model, IEEE Transactions on Software Engineering, Volume 13, Issue 2, pp. 222-232, February 1987
-
Javitz, H.S., Valdes, A. The SRI IDES Statistical Anomaly Detector, In Proceedings of the IEEE Symposium on Security and Privacy, pp. 316-326, May 1991
-
Chan, P., Mahoney, M., Arshad, M. A Machine Learning Approach to Anomaly Detection, Department of Computer Sciences, Florida Institute of Technology, Melbourne, 2003
-
Wang, K., Stolfo, S. J. Anomalous Payload-based Intrusion Detection, Computer Science Department, Columbia University, New York, 2004
-
Das, K. Protocol Anomaly Detection for Network-based Intrusion Detection, SANS Institute, GSEC Practical Assignment Version 1.2f, 2001
-
Staniford-Chen, S. et al. GrIDS-A graph based intrusion detection system for large networks, Department of Computre Science, University of California, Davis, 1996
-
Fontugne, R., Hirotsu, T., Fukuda, K. An image processing approach to traffic anomaly detection, Proceedings of the 4th Asian Conference on Internet Engineering, pp. 17-26, November 2008, Pratunam, Bangkok, Thailand
-
Thottan, M., Ji, C. Anomaly Detection in IP Networks. IEEE Trans. Signal Processing (Special issue of Signal Processing in Networking), pp. 2191–2204, August 2003
-
Lee, W., Stolfo, S. J. Data Mining Approaches for Intrusion Detection, Proceedings of the 7th USENIX Security Symposium, pp. 26-29, San Antonio, Texas, January 1998
-
Anderson, J.P. Computer Security Threat Monitoring and Surveillance. Technical report, Fort Washington, Pennsylvania, April 1980
-
Axelsson, S. Intrusion detection systems: a survey and taxonomy. Technical report, Department of Computer Engineering, Chalmers University of Technology, Göteborg, Sweden, March 2000
-
Snort, Snort homepage, http://www.snort.org/
-
Sourcefire IPS, Sourcefire homepages, http://www.sourcefire.com/content/next-generation-intrusion-prevention-system-ngips
-
CERIAS, The center for education and research in information assurance and security. Autonomous Agents for Intrusion Detection (AAFID http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php
-
CIDF, Common intrusion detection framework project page. http://gost.isi.edu/cidf/
-
Abraham, A., Jain, R., Thomas, J., Han, S.Y. D-SCIDS: Distributed soft computing intrusion detection system, In Journal of Network and Computer Applications, Volume 30, Issue 1, pp. 81-98, January 2007
-
SRI International, SRI International project page, http://www.csl.sri.com/projects/
-
Spitfire, Open channel foundation project page, http://www.openchannelsoftware.com/projects/Spitfire/
-
Massachusetts Institute of Technology (MIT), Lincoln laboratory, Cyber systems and technology. http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html
-
Lu, W., Ghorbani, A.A. Network anomaly detection based on wavelet analysis, EURASIP Journal on Advances in Signal Processing, pp.1-16, January 2009
-
KDD cup 1999, KDD cup 1999 data distribution page, http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
-
Schulze, H., Mochalski, K. Ipoque internet study 2008-2009. http://www.ipoque.com/userfiles/file/ipoque-Internet-Study-08-09.pdf
-
Cisco-2, Cisco IDS Sensor Deployment Considerations http://www.ciscopress.com/articles/article.asp?p=25327
-
Miettinen M., Halonen P., Hätönen K. Host-based intrusion detection for advanced mobile devices, AINA ’06: proceedings of the 20th international conference on advanced information networking and applications, Volume 2 (AINA’06). IEEE Computer Society, Washington, DC, pp. 72–76, 2006
-
Handley, C. M., Paxon, V. Network intrusion detection: Evasion, traffic normalization, and end-to-end protocol semantics. In Proceedings of the 10th USENIX Security Symposium, Washington, DC, August 2001
-
Zainal, A., Maarof, M.A., Shamsuddin, S.M. Features Selection Using Rough-PSO in Anomaly Intrusion Detection, Faculty of Computer Science and Information Systems, Universiti Teknologi Malaysia
-
Mukkamala, S., Sung, AH. Feature selection for intrusion detection using neural networks and support vector machines. J Transport Res Board Natl Acad, Transport Res Record No 1822 2003; 33-9.
-
Chebrolu, S., Abraham, A., Thomas, JP. Feature Deduction and Ensemble Design of Intrusion Detection Systmes, Journal of Computers and Security. Volume 24, Issue 4, pp. 295-307, 2005
-
Al-Sharafat, W.S., Naoum, R. Significant of features selection for detecting network intrusions, Internet Technology and Secured Transactions, 2009. ICITST 2009, Volume, pp.1-6, 9-12 Nov. 2009
-
Ben-Gal I. Bayesian Networks, in Ruggeri F., Faltin F. & Kenett R. Encyclopedia of Statistics in Quality & Reliability, Wiley & Sons, 2007
-
Breiman, L., Friedman, J. H., Olshen, R. A., Stone, C. J. Classification and regression trees, Monterey, California, 1984
-
Jolliffe, I.T. Principal Component Analysis, second edition, Springer-Verlag, New York, 2002
-
L 16.6.2004/516 Sähköisen viestinnän tietosuojalaki. (Data protection law). (in finnish)
-
Cisco-3, Cisco NetFlow. http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html
-
QoSient, Argus - Auditing Network Activity http://www.qosient.com/argus/
-
Case, J. et al., A Simple Network Management Protocol. RFC 1098. Network Working Group, IETF, 1989..
-
Höglund, A. An anomaly detection system for computer networks, Master’s thesis, Helsinki University of Technology, 1997
-
Kent, K., Souppaya, M. Guide to Computer Security Log Management, Recommendations of the National Institute of Standards and Technology (NIST), September 2006
-
Lakhina, A., Crovella, M., Diot, C. Mining anomalies using traffic feature distributions, Proceedings of the 2005 conference on Applications, technologies, architectures, and protocols for computer communications, pp. 22-26, Philadelphia, Pennsylvania, USA, August 2005
-
Dewaeke, G. et al. Extracting hidden anomalies using sketch and non gaussian multiresolution statistical detection procedures, LSAD '07, 2007. pp. 145-152
-
Gorton, D. Extending Intrusion Detection with Alert Correlation and Intrusion Tolerance, Thesis for the Degree of Licentiate of Engineering, Chalmers University of Technology, Göteborg, Sweden 2003
-
Knuuti, O. Intrusion detection system comparison in large IP-networks, Master's thesis, Tampere University of Technology, 2009
-
Sung, AH., Mukkala, S. The Feature Selection and Intrusion Detection Problems, Proceedings of Advances in Computer Science – ASIAN 2004: Higher-Level Decision Making, 9th Asian Computing Science Conference, Volume 3321, pp. 468-482, 2004
-
Kabiri, P., Zargar, G. R. Category-Based Selection of Effective Parameters for Intrusion Detection, International Journal of Computer Science and Network Security (IJCSNS), Volume 9, No. 9, pp. 181-188, 2009
-
Lin, Y., Fang, B.-X., Guo, L., Chen, Y. TCM-KNN Algorithm for Supervised Network Intrusion Detection, Intelligence and Security Informatics, In proceedings of Pacific Asia Workshop (PAISI 2007), LNCS 4430, pp. 141-151, Chengdu, China, April 2007
-
Lawrence Berkeley National Laboratory, Bro Intrusion Detection System http://bro-ids.org/
-
Zargar, G.R., Kabiri, P. Identification of effective network features for probing attack detection, Networked Digital Technologies, 2009. NDT '09. First International Conference on Networked Digital Technologies (NDT 2009), VSB- Technical University of Ostrava, Czech Republic, pp. 405-410, 2009
-
Zargar, G. R., Kabiri, P. Identification of Effective Network Features to Detect Smurf Attacks, Proceedings of 2009 Student Conference on Research and Development (SCOReD 2009), pp. 49-52, UPM Serdang, Malaysia, 2009
-
Carrascal, A., Couchet, J., Ferreira, E., Manrique, D. Anomaly Detection using prior knowledge: application to TCP/IP traffic, In Artificial Intelligence in Theory and Practice, pp. 139-148, 2006
-
Lee, D. C. et al. Fast Traffic Anomalies Detection Using SNMP MIB Correlation Analysis. In proceedings of International Conference on Advanced Communication Cisco-4, Cisco SNMP object navigator. http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en
-
Schmidt, A-D. et al. Monitoring smart phones for anomaly detection, Mobile Networks and Applications, Volume 14, Issue.1, pp. 92-106, February 2009
-
Huang, Y.-A. et al. Cross-Feature Analysis for Detecting Ad-Hoc Routing Anomalies. Providence RI, In proceedings of The 23rd International Conference on Distributed Computing Systems (ICDCS), 2003
-
Huang, Y., Lee, W. A Cooperative Intrusion Detection System for Ad Hoc Networks, In Proceedings of the ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN '03), Fairfax VA, October 2003
-
Wang, X., Lin, T.-L., Wong, J. Feature Selection in Intrusion Detection System over Mobile Ad hoc Network, Technical Report, Computer Science Department, Iowa State University, 2005
-
Depren, O. et al. An intelligent intrusion detection system (IDS) for anomaly and misuse detection in computer networks. 4, Elsevier, Expert Systems with Applications, Vol. 29, pp. 713-722, November 2005
-
CERT Advisory CA-97.28. Teardrop Land. CERT, December 1997
-
CERT Advisory CA-96.26. Ping of Death. CERT, December 1996
-
Targa3, Targa3 source code. http://mixter.void.ru/targa3.c.
-
CERT Advisory CA-98.01. Smurf. CERT, January 1998
-
CERT Advisory CA-96.21. TCP SYN flooding and IP spoofing attack. CERT, November 1996
-
Jung, J., Krishnamurthy, B., Rabinovich, M. Flash Crowds and Denial of Service Attacks: Characterization and Implications for CDNs and Web Sites. Honolulu, AT&T Labs-Research, 2002
-
Etutorials.org, TCP Port Scanning. http://etutorials.org/Networking/network+security+assessment/Chapter+4.+IP+Network+Scanning/4.2+TCP+Port+Scanning/
-
CERT Advisory CA-95.06. Security Administrator Tool for Analyzing Networks (SATAN). CERT, April, 1995
-
Maselli, G., Deri, L., Suin, S. Design and Implementation of an Anomaly Detection System: an Empirical Approach. In proceedings of Terena Networking Conference, 2003
-
Kumpulainen, P., Hätönen, K. Anomaly Detection Algorithm Test Bench for Mobile Network Management, In proceedings of MathWorks Matlab User Conference Nordic, Stockholm, November, 2008
-
Kohonen, T. The Self-Organizing Map, Proc. IEEE, Volume 78, No. 9, pp. 1464-1480, 1990
-
MacQueen, J. B. Some Methods for classification and Analysis of Multivariate Observations, Proceedings of 5-th Berkeley Symposium on Mathematical Statistics and Probability, pp. 281-297, Berkeley, University of California Press,1967
-
Kumpulainen, P., Hätönen, K. Local Anomaly Detection for Network System Log Monitoring, Proceedings of the 10th International Conference on Engineering Applications of Neural Networks, pp. 34-44, 2007
-
Kumpulainen, P., Hätönen, K. Local anomaly detection for mobile network monitoring, Information Sciences, Elsevier. Volume 178, Issue (No.) 20, pp. 3840-3859, 15 October 2008
Приложение 1 Имена на полетата на мрежовия трафик
Приложение 2 Атаки на база данни Lincoln
Приложение 3 Сравнение на изследванията на KDD Cup 99
Приложение 4 TCPDUMP2SOM.SH
Приложение 5 PARSER.PY
Приложение 6 Таблици на подмножеството от функции
Процент на разкриване на избраните атаки
Брой на верни и неверни позитивни резултати
Приложение 7 Термини и абревиатури
Сподели с приятели: |