Μελέτη τεχνικών εξόρυξης δεδομένων και μηχανικής μάθησης για χρήση σε συστήματα ανίχνευσης εισβολών

Abstract

Τα τελευταία χρόνια παρουσιάζεται μια έξαρση στο αριθμό των επιθέσεων στο διαδίκτυο. Εκτός αυτού οι επιθέσεις πλέον είναι καλύτερα οργανωμένες και καταφέρνουν να διαπερνούν τα παραδοσιακά συστήματα προστασίας ενός πληροφοριακού συστήματος. Οι άνθρωποι που κρύβονται πίσω από αυτές τις επιθέσεις είναι πλέον επαγγελματίες με υψηλή κατάρτιση πάνω στο αντικείμενο. Βασικό κίνητρο τους είναι το κέρδος μιας και το ηλεκτρονικό έγκλημα έχει εξελιχθεί σε μια κερδοφόρα επιχείρηση πράγμα που σημαίνει ότι οι επιθέσεις θα εξελίσσονται συνεχώς και οι κυβερνο-εγκληματίες συνεχώς θα αναπτύσσουν νέες επιθέσεις για να διαπεράσουν τις ασπίδες προστασίας των πληροφοριακών συστημάτων. Αυτό έχει εγείρει αρκετές ανησυχίες στους ανθρώπους, τις εταιρίες και την επιστημονική κοινότητα που ασχολείται με την εύρεση νέων μεθόδων και ανάπτυξη νέων συστημάτων τα οποία θα είναι αποτελεσματικά και θα παρέχουν υψηλό επίπεδο ασφάλειας. Ιδιαίτερη προσοχή δίδεται στα συστήματα ανίχνευσης εισβολών (Intrusion Detection Systems-IDS) τα οποία είναι μια από τις βασικότερες ασπίδες άμυνας διότι είναι αυτά που θα πρέπει να ανιχνεύσουν τις απειλές την ώρα που πραγματοποιούνται, δηλαδή σε πραγματικό χρόνο. Τα συστήματα ανίχνευσης εισβολών είναι από τα κρισιμότερα κομμάτια του συνολικού μηχανισμού προστασίας διότι βρίσκεται στην πρώτη γραμμή άμυνας. Αν και τόσο κρίσιμο στοιχείο της όλης υποδομής τα συστήματα ανίχνευσης εισβολών χρησιμοποιούν αρκετά παλιές τεχνολογίες ανίχνευσης και βασίζονται κυρίως στην ανίχνευση εισβολών μέσω υπογραφών (signature based), μια μέθοδος που είναι ξεπερασμένη και πλέον αναποτελεσματική για την ανίχνευση εισβολών τύπου zero-day οι οποίες είναι η νούμερο ένα απειλή για ένα πληροφοριακό σύστημα. Για να αυξηθεί η αποτελεσματικότητα αυτών των συστημάτων οι επιστημονική έρευνα στράφηκε σε νέες μεθόδους και τεχνικές που χρησιμοποιούνται στους τομείς της εξόρυξης δεδομένων, της μηχανικής μάθησης και της ανίχνευσης ανωμαλιών. Αυτό συνέβη γιατί πλέον τα σύγχρονα συστήματα ανίχνευσης εισβολών θα πρέπει να είναι ικανά να διαχειρίζονται και να αναλύουν μεγάλους όγκους δεδομένων με σκοπό την ανίχνευση εισβολών και χωρίς συνεχή ανάδραση και παραμετροποίηση από τον χρήστη. Με λίγα λόγια θα πρέπει τα συστήματα να καταλαβαίνουν και να δρούνε από μόνα τους στις περισσότερες περιπτώσεις και ο χρήστης να εμπλέκεται μόνο για τις κρίσιμες αποφάσεις ή ενέργειες. Σε αυτήν την εργασία θα γίνει μελέτη και αναφορά κάποιων βασικών στοιχείων και μεθόδων όλων των παραπάνω τομέων που αναφέραμε, ιδιαίτερη προσοχή θα δοθεί στις τεχνικές μη επιβλεπόμενης (unsupervised) μηχανικής μάθησης και πιο συγκεκριμένα στην συσταδοποίηση υποχώρων (subspace clustering).