Процент на откриване на DoS атаки

Резултатите от откритите атаки срещу мейл сървъра са показани на фигура 3.10 Следва да се отбележи, че не е имало атаки срещу NT и поради това не е показана на фигура 3.10. Обобщените резултати са повече или по-малко според очакванията, като по-малките подгрупи от функция са в състояние да откриват атаки по-добре, отколкото при използване на всички функции, или Knuuti функциите. Ако се вземе под внимание, че при използване на по-малко функции за обработка, изискванията са по-малки, отколкото при използването на по-голям набор от информация. От тази гледна точка, резултатите са много добри. Интересното обаче в тези резултати е, че пробните и Dos подгрупите от функции са толкова добри, колкото функциите на пощенския сървър с атаки срещу компютъра Solaris. С Linux компютъра всички подгрупи с изключение на подгрупа DoS се представят еднакво добре.

Процентът на установените нередности, който съответства на действителните атаки (истински положителни резултати) е илюстриран на фигура 3.11. Следва да се вземе предвид, че дори нормалният мрежови трафик съдържа промени, които могат да бъдат открити като неправилно поведение.

От фигура 3.11 може да се види, че при мрежовия трафик на Linux компютъра, локалният метод за откриване на аномалии разкрива повече истински положителни резултати в сравнение с неверни положителни резултати с пробните подгрупи от функции и подгрупи от функции на мейл сървъра. Подмножеството от пробнит функции открива от мрежовия трафик към компютъра NT повече фалшиви положителни резултати, отколкото истински положителни. Linux компютъра с подгрупата от функциите DoS има подобни резултати.
Фигура 3.11 Процент на верни положителни резултати в подмножеството от функции


На фигура 3.12, 3.13 и 3.14 е показан броят на фалшивите положителни резултати в сравнение с броя на истинските положителни резултати, открити от мрежовия трафик, за всеки компютър с подгрупата от функции. При NT и Linux компютрите резултатите са според очакванията, че при използването на повече функции, това също ще доведе до повече неверни положителни резултати.

При Solaris обаче се дават противоположни резултати. С по-малки подгрупи от функция, броят на неверните положителни резултати е много по-голям, отколкото при използване на всички функции или Knuuti функции.те

В заключение е ясно, че е необходимо по-задълбочено изследване на разликите между операционните системи и атаките срещу тях, за да се избере по-подходящия набор от функции. Въпреки, че има големи разлики в резултатите, те все още са повече или по-малко според очакванията. Резултатите могат да бъдат взети като насърчение, че е възможно да се използват по-малки групи от функция за откриване на специфични категории атака с по-малко изисквания за обработка.
Фигура 3.12. Сравнение на броя на неверните и верните положителни резултати, които са били открити от мрежовия трафик при Solaris компютъра



Фигура 3.13. Сравнение на броя на неверни и верни положителни резултати, които са били разкрити от мрежовия трафик при NT компютъра

Alpha
Фигура 3.14. Сравнение на броя на неверни и верни положителни резултати, които са били разкрити от мрежовия трафик при Linux компютъра



ЗАКЛЮЧЕНИЯ

Целта на дипломната работа бе да се намерят подходящи подгрупи от функции за избраните категории атака в рамките на лабораторията за база данни Lincoln. Подгрупите от функции бяха формирани, използвайки предварителните познанията от други изследвания на IDS, атаките и з тяхното въздействие върху мрежовия трафик се анализираха, за да се реши кои функции трябва да се използват за откриването на аномалии.

Резултатите (виж точка 3.6), показват, че е възможно да се използват по-малки подгрупи от функции, за да се открие проникване в наблюдаваните данни. Като се вземат предвид всички фактори, които влияят върху резултатите, резултатът е добър, при процент на откриваемост от 40-60% с повечето подгрупи от функции (вж. Фигура 3.7). Също така, броят на неверните положителни резултати се редуцира при по-малките подгрупи от функции при Linux и NT компютъра. Въпреки че резултатите при Solaris компютъра са напълно противоположни, все още може да се приеме, че резултатите са добър знак, че е възможно да се облекчи натоварването на мрежовия администратор чрез откриване на по-малко неверни положителни резултати.

Въпреки това, както вече беше обсъдено в тока 3.6, допълнителни изследвания са необходими за да се постигнат още по-добри резултати в откриването на аномалии. Ясно е, че в някои случаи резултатите са напълно противоположни на очакваните. За да се разбере причината, са необходими повече изследвания в тази област. Също така, тестването на подгрупи от функции трябва да се извършва с помощта на по-къс времеви прозорец. Ако, например, времевият прозорец бъде пет секунди, теоретично би следвало да е възможно да се открият и по-кратки атаки. Пробните атаки са добър пример за такива кратки атаки .

Освен това, инструментът за откриване на аномалии се използва по подразбиране и чрез използването само на един метод за откриване на аномалии. Тъй като целта на тази дипломна работа е да се направи оценка на изпълнението на различните подгрупи от функция, беше решено, че методът не е от значение от гледна точка на оценката на функцията и по този начин бе използван само един метод. Изглежда обаче, че методът също играе значителна роля в откриването. Например, локалният метод за откриване на аномалии позволява на потребителя да определи броя на клъстерите и праговете, които да бъдат използвани във фазата на откриване. Чрез тестване на различен брой групи за всяка категория атака, могат да се постигнат по-добри резултати.

Анализът на съвременните атаки също е необходим, тъй като атаките стават все по-сложни и все по-трудни за откриване. Отличен пример за това е вирусът Stuxnet, разгледан в точка 1.1.2. Друг критерий при намирането на модерни атаки е да се използва мрежов трафик от живи мрежи. Особено, когато IDS е трябвало да работят в областта на телекомуникационните мрежи, данните трябва да се събират и от такава мрежа.

Alpha

Alpha

1. 
   
   
2. 
   
   
3. 
   
   
4. 
   Alpha
   

1. 
   Lassila, A. Sonera korvaa lopetettavat lankaverkot 3g: http://www.hs.fi/talous/artikkeli/Sonera+korvaa+lopetettavat+lankaverkot+3gll%C3%A4+ja+Digitan+450-verkolla/1135234793887
   
2. 
   Lehto, T. Tietokone.fi. http://www.tietokone.fi/uutiset/2008/sonera_sulkee_19_000_adsl_liittymaa
   
3. 
   3GPP TS 23.401 V10.2.1, 3rd Generation Partnership Project; Technical Specification Group Services and Systems Aspect; General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access (Release 10). 3GPP, 2011. Technical Specification.
   
4. 
   ZTE, Global GSM Incremental Market Analysis. http://wwwen.zte.com.cn/endata/magazine/ztetechnologies/2010/no4
   
5. 
   3GPP TS 23.402 V9.4.0, 3rd Generation Partnership Project; Technical Specification Groups Services and System Aspects; Architecture enhancements for non-3GPP accesses (Release 9). 3GPP, 2010. Technical Specification.
   
6. 
   CERT Coordination Center, Vulnerability Discovery: Bridging the Gap Between Analysis and Engineering. http://www.cert.org/archive/pdf/CERTCC_Vulnerability_Discovery.pdf
   
7. 
   McAfee Labs, McAfee Threats Report: Third Quarter 2010, http://www.mcafee.com/us/threat_center/white_paper.html
   
8. 
   Cisco-1, Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update 2009-2014, http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_paper_c11-520862.html
   
9. 
   Sundaram, A. An introduction to intrusion detection, Crossroads, Volume.2, Issue 4, pp. 3-7, April 1996
   
10. 
    NSA, National Security Agency. Defence in Depth. http://www.nsa.gov/ia/_files/support/defenseindepth.pdf
    
11. 
    Fogla, P., Lee, W. Evading network anomaly detection systems: formal reasoning and practical techniques, Proceedings of the 13th ACM conference on Computer and communications security, pp. 59-68, Alexandria, Virginia, USA, 2006
    
12. 
    Gates, C., Taylor, C., Challenging the anomaly detection paradigm: a provocative discussion. In Proc. of ACM Workshop on New Security Paradigms 2006, Schloss Dagstuhl, Germany, September 2006.
    
13. 
    Denning, D. E., An intrusion-detection model, IEEE Transactions on Software Engineering, Volume 13, Issue 2, pp. 222-232, February 1987
    
14. 
    Javitz, H.S., Valdes, A. The SRI IDES Statistical Anomaly Detector, In Proceedings of the IEEE Symposium on Security and Privacy, pp. 316-326, May 1991
    
15. 
    Chan, P., Mahoney, M., Arshad, M. A Machine Learning Approach to Anomaly Detection, Department of Computer Sciences, Florida Institute of Technology, Melbourne, 2003
    
16. 
    Wang, K., Stolfo, S. J. Anomalous Payload-based Intrusion Detection, Computer Science Department, Columbia University, New York, 2004
    
17. 
    Das, K. Protocol Anomaly Detection for Network-based Intrusion Detection, SANS Institute, GSEC Practical Assignment Version 1.2f, 2001
    
18. 
    Staniford-Chen, S. et al. GrIDS-A graph based intrusion detection system for large networks, Department of Computre Science, University of California, Davis, 1996
    
19. 
    Fontugne, R., Hirotsu, T., Fukuda, K. An image processing approach to traffic anomaly detection, Proceedings of the 4th Asian Conference on Internet Engineering, pp. 17-26, November 2008, Pratunam, Bangkok, Thailand
    
20. 
    Thottan, M., Ji, C. Anomaly Detection in IP Networks. IEEE Trans. Signal Processing (Special issue of Signal Processing in Networking), pp. 2191–2204, August 2003
    
21. 
    Lee, W., Stolfo, S. J. Data Mining Approaches for Intrusion Detection, Proceedings of the 7th USENIX Security Symposium, pp. 26-29, San Antonio, Texas, January 1998
    
22. 
    Anderson, J.P. Computer Security Threat Monitoring and Surveillance. Technical report, Fort Washington, Pennsylvania, April 1980
    
23. 
    Axelsson, S. Intrusion detection systems: a survey and taxonomy. Technical report, Department of Computer Engineering, Chalmers University of Technology, Göteborg, Sweden, March 2000
    
24. 
    Snort, Snort homepage, http://www.snort.org/
    
25. 
    Sourcefire IPS, Sourcefire homepages, http://www.sourcefire.com/content/next-generation-intrusion-prevention-system-ngips
    
26. 
    CERIAS, The center for education and research in information assurance and security. Autonomous Agents for Intrusion Detection (AAFID http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php
    
27. 
    CIDF, Common intrusion detection framework project page. http://gost.isi.edu/cidf/
    
28. 
    Abraham, A., Jain, R., Thomas, J., Han, S.Y. D-SCIDS: Distributed soft computing intrusion detection system, In Journal of Network and Computer Applications, Volume 30, Issue 1, pp. 81-98, January 2007
    
29. 
    SRI International, SRI International project page, http://www.csl.sri.com/projects/
    
30. 
    Spitfire, Open channel foundation project page, http://www.openchannelsoftware.com/projects/Spitfire/
    
31. 
    Massachusetts Institute of Technology (MIT), Lincoln laboratory, Cyber systems and technology. http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html
    
32. 
    Lu, W., Ghorbani, A.A. Network anomaly detection based on wavelet analysis, EURASIP Journal on Advances in Signal Processing, pp.1-16, January 2009
    
33. 
    KDD cup 1999, KDD cup 1999 data distribution page, http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html
    
34. 
    Schulze, H., Mochalski, K. Ipoque internet study 2008-2009. http://www.ipoque.com/userfiles/file/ipoque-Internet-Study-08-09.pdf
    
35. 
    Cisco-2, Cisco IDS Sensor Deployment Considerations http://www.ciscopress.com/articles/article.asp?p=25327
    
36. 
    Miettinen M., Halonen P., Hätönen K. Host-based intrusion detection for advanced mobile devices, AINA ’06: proceedings of the 20th international conference on advanced information networking and applications, Volume 2 (AINA’06). IEEE Computer Society, Washington, DC, pp. 72–76, 2006
    
37. 
    Handley, C. M., Paxon, V. Network intrusion detection: Evasion, traffic normalization, and end-to-end protocol semantics. In Proceedings of the 10th USENIX Security Symposium, Washington, DC, August 2001
    
38. 
    Zainal, A., Maarof, M.A., Shamsuddin, S.M. Features Selection Using Rough-PSO in Anomaly Intrusion Detection, Faculty of Computer Science and Information Systems, Universiti Teknologi Malaysia
    
39. 
    Mukkamala, S., Sung, AH. Feature selection for intrusion detection using neural networks and support vector machines. J Transport Res Board Natl Acad, Transport Res Record No 1822 2003; 33-9.
    
40. 
    Chebrolu, S., Abraham, A., Thomas, JP. Feature Deduction and Ensemble Design of Intrusion Detection Systmes, Journal of Computers and Security. Volume 24, Issue 4, pp. 295-307, 2005
    
41. 
    Al-Sharafat, W.S., Naoum, R. Significant of features selection for detecting network intrusions, Internet Technology and Secured Transactions, 2009. ICITST 2009, Volume, pp.1-6, 9-12 Nov. 2009
    
42. 
    Ben-Gal I. Bayesian Networks, in Ruggeri F., Faltin F. & Kenett R. Encyclopedia of Statistics in Quality & Reliability, Wiley & Sons, 2007
    
43. 
    Breiman, L., Friedman, J. H., Olshen, R. A., Stone, C. J. Classification and regression trees, Monterey, California, 1984
    
44. 
    Jolliffe, I.T. Principal Component Analysis, second edition, Springer-Verlag, New York, 2002
    
45. 
    L 16.6.2004/516 Sähköisen viestinnän tietosuojalaki. (Data protection law). (in finnish)
    
46. 
    Cisco-3, Cisco NetFlow. http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html
    
47. 
    QoSient, Argus - Auditing Network Activity http://www.qosient.com/argus/
    
48. 
    Case, J. et al., A Simple Network Management Protocol. RFC 1098. Network Working Group, IETF, 1989..
    
49. 
    Höglund, A. An anomaly detection system for computer networks, Master’s thesis, Helsinki University of Technology, 1997
    
50. 
    Kent, K., Souppaya, M. Guide to Computer Security Log Management, Recommendations of the National Institute of Standards and Technology (NIST), September 2006
    
51. 
    Lakhina, A., Crovella, M., Diot, C. Mining anomalies using traffic feature distributions, Proceedings of the 2005 conference on Applications, technologies, architectures, and protocols for computer communications, pp. 22-26, Philadelphia, Pennsylvania, USA, August 2005
    
52. 
    Dewaeke, G. et al. Extracting hidden anomalies using sketch and non gaussian multiresolution statistical detection procedures, LSAD '07, 2007. pp. 145-152
    
53. 
    Gorton, D. Extending Intrusion Detection with Alert Correlation and Intrusion Tolerance, Thesis for the Degree of Licentiate of Engineering, Chalmers University of Technology, Göteborg, Sweden 2003
    
54. 
    Knuuti, O. Intrusion detection system comparison in large IP-networks, Master's thesis, Tampere University of Technology, 2009
    
55. 
    Sung, AH., Mukkala, S. The Feature Selection and Intrusion Detection Problems, Proceedings of Advances in Computer Science – ASIAN 2004: Higher-Level Decision Making, 9th Asian Computing Science Conference, Volume 3321, pp. 468-482, 2004
    
56. 
    Kabiri, P., Zargar, G. R. Category-Based Selection of Effective Parameters for Intrusion Detection, International Journal of Computer Science and Network Security (IJCSNS), Volume 9, No. 9, pp. 181-188, 2009
    
57. 
    Lin, Y., Fang, B.-X., Guo, L., Chen, Y. TCM-KNN Algorithm for Supervised Network Intrusion Detection, Intelligence and Security Informatics, In proceedings of Pacific Asia Workshop (PAISI 2007), LNCS 4430, pp. 141-151, Chengdu, China, April 2007
    
58. 
    Lawrence Berkeley National Laboratory, Bro Intrusion Detection System http://bro-ids.org/
    
59. 
    Zargar, G.R., Kabiri, P. Identification of effective network features for probing attack detection, Networked Digital Technologies, 2009. NDT '09. First International Conference on Networked Digital Technologies (NDT 2009), VSB- Technical University of Ostrava, Czech Republic, pp. 405-410, 2009
    
60. 
    Zargar, G. R., Kabiri, P. Identification of Effective Network Features to Detect Smurf Attacks, Proceedings of 2009 Student Conference on Research and Development (SCOReD 2009), pp. 49-52, UPM Serdang, Malaysia, 2009
    
61. 
    Carrascal, A., Couchet, J., Ferreira, E., Manrique, D. Anomaly Detection using prior knowledge: application to TCP/IP traffic, In Artificial Intelligence in Theory and Practice, pp. 139-148, 2006
    
62. 
    Lee, D. C. et al. Fast Traffic Anomalies Detection Using SNMP MIB Correlation Analysis. In proceedings of International Conference on Advanced Communication Cisco-4, Cisco SNMP object navigator. http://tools.cisco.com/Support/SNMP/do/BrowseOID.do?local=en
    
63. 
    Schmidt, A-D. et al. Monitoring smart phones for anomaly detection, Mobile Networks and Applications, Volume 14, Issue.1, pp. 92-106, February 2009
    
64. 
    Huang, Y.-A. et al. Cross-Feature Analysis for Detecting Ad-Hoc Routing Anomalies. Providence RI, In proceedings of The 23rd International Conference on Distributed Computing Systems (ICDCS), 2003
    
65. 
    Huang, Y., Lee, W. A Cooperative Intrusion Detection System for Ad Hoc Networks, In Proceedings of the ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN '03), Fairfax VA, October 2003
    
66. 
    Wang, X., Lin, T.-L., Wong, J. Feature Selection in Intrusion Detection System over Mobile Ad hoc Network, Technical Report, Computer Science Department, Iowa State University, 2005
    
67. 
    Depren, O. et al. An intelligent intrusion detection system (IDS) for anomaly and misuse detection in computer networks. 4, Elsevier, Expert Systems with Applications, Vol. 29, pp. 713-722, November 2005
    
68. 
    CERT Advisory CA-97.28. Teardrop Land. CERT, December 1997
    
69. 
    CERT Advisory CA-96.26. Ping of Death. CERT, December 1996
    
70. 
    Targa3, Targa3 source code. http://mixter.void.ru/targa3.c.
    
71. 
    CERT Advisory CA-98.01. Smurf. CERT, January 1998
    
72. 
    CERT Advisory CA-96.21. TCP SYN flooding and IP spoofing attack. CERT, November 1996
    
73. 
    Jung, J., Krishnamurthy, B., Rabinovich, M. Flash Crowds and Denial of Service Attacks: Characterization and Implications for CDNs and Web Sites. Honolulu, AT&T Labs-Research, 2002
    
74. 
    Etutorials.org, TCP Port Scanning. http://etutorials.org/Networking/network+security+assessment/Chapter+4.+IP+Network+Scanning/4.2+TCP+Port+Scanning/
    
75. 
    CERT Advisory CA-95.06. Security Administrator Tool for Analyzing Networks (SATAN). CERT, April, 1995
    
76. 
    Maselli, G., Deri, L., Suin, S. Design and Implementation of an Anomaly Detection System: an Empirical Approach. In proceedings of Terena Networking Conference, 2003
    
77. 
    Kumpulainen, P., Hätönen, K. Anomaly Detection Algorithm Test Bench for Mobile Network Management, In proceedings of MathWorks Matlab User Conference Nordic, Stockholm, November, 2008
    
78. 
    Kohonen, T. The Self-Organizing Map, Proc. IEEE, Volume 78, No. 9, pp. 1464-1480, 1990
    
79. 
    MacQueen, J. B. Some Methods for classification and Analysis of Multivariate Observations, Proceedings of 5-th Berkeley Symposium on Mathematical Statistics and Probability, pp. 281-297, Berkeley, University of California Press,1967
    
80. 
    Kumpulainen, P., Hätönen, K. Local Anomaly Detection for Network System Log Monitoring, Proceedings of the 10th International Conference on Engineering Applications of Neural Networks, pp. 34-44, 2007
    
81. 
    Kumpulainen, P., Hätönen, K. Local anomaly detection for mobile network monitoring, Information Sciences, Elsevier. Volume 178, Issue (No.) 20, pp. 3840-3859, 15 October 2008
    

Процент на разкриване на избраните атаки

Брой на верни и неверни позитивни резултати