Ανάπτυξη συστήματος μετά επεξεργασίας συνεγερμών

Abstract

Η χρήση των συστημάτων ανίχνευσης εισβολών (Intrusion Detection Systems, IDS) είναι ευρέως διαδεδομένη για την προστασία ενός δικτύου. Παρά την επιτυχία αυτών των τεχνολογιών, κοινό πρόβλημα σχεδόν σε όλες τις κατηγορίες IDSs αποτελεί ο τεράστιος αριθμός των συναγερμών που παράγουν καθώς και το υψηλό ποσοστό των ψευδών συναγερμών. Γενικά τα IDSs παράγουν πάρα πολλές ειδοποιήσεις σε σχέση με το μέγεθος του συστήματος που προστατεύουν. Ένα IDS που χρησιμοποιείται για την προστασία ενός μεσαίου μεγέθους δικτύου παράγει χιλιάδες συναγερμούς κάθε ημέρα, οι οποίοι απαιτούν υπερβολική προσπάθεια από ένα διαχειριστή δικτύου, προκειμένου να αναλυθούν καθώς και να ελεγχθούν. Εκτός αυτού, πολλές από αυτές τις ειδοποιήσεις είναι συνήθως ψευδείς συναγερμοί, πρόκειται για ειδοποιήσεις που δεν έχουν προκληθεί από πραγματικές εισβολές, αλλά μπορεί να είναι το αποτέλεσμα μίας φυσιολογικής λειτουργίας του συστήματος ή το αποτέλεσμα ενός μη σωστού ρυθμισμένου IDS. Στην παρούσα εργασία επιχειρείται να αναπτυχθεί κατάλληλο λογισμικό του οποίου ο στόχος είναι η μετά επεξεργασία των συναγερμών που παράγονται από ένα σύστημα ανίχνευσης εισβολών έτσι ώστε ο αναλυτής ασφαλείας να έχει ένα πιο ποιοτικό σύνολο συναγερμών στη διάθεσή του να επεξεργασθεί.