Σύνολα δεδομένων για έλεγχο επίδοσης συστημάτων ανίχνευσης παρεισφρήσεων

Abstract

H ασφάλεια και προστασία κρίσιμων δεδομένων αποτελεί μία διαρκή ανησυχία στη σύγχρονη τεχνολογική εποχή. Τα συστήματα ανίχνευσης και καταγραφής εισβολών απαρτίζουν μία μεγάλη ομάδα εργαλείων τα οποία εγκαθιδρύονται με στόχο την καταπολέμηση των απειλών που εμφανίζονται καθημερινά στον ηλεκτρονικό κόσμο. Προκειμένου αυτά τα συστήματα να είναι σε θέση να εντοπίζουν όλο και περισσότερες νέες επιθέσεις αλλά και να αποτελούν ένα ισχυρό μέσο άμυνας έναντι των επιτιθέμενων πρέπει οι άνθρωποι οι οποίοι χειρίζονται αυτά, να τα βελτιώνουν διαρκώς έτσι ώστε να προσαρμόζονται κατάλληλα κάθε φορά σε νέες απειλές και να διευρύνονται οι δυνατότητες ανίχνευσης τους. Για να επιτύχουμε κάτι τέτοιο πρέπει αρχικά να αξιολογήσουμε σύνολα δεδομένων τα οποία παράγονται από τέτοια συστήματα και περιέχουν τα αποτυπώματα κίνησης που καταγράφηκαν από τα συστήματα ανίχνευσης εισβολών. Συνεπώς, έχοντας αυτά ως όπλο, είμαστε σε θέση να τα μελετήσουμε και να δούμε ποιές επιθέσεις μπόρεσε ένα τέτοιο σύστημα να αναγνωρίσει επιτυχώς, ποιές όχι ή και ποιό είδος κίνησης αναγνώρισε λανθασμένα ως κακόβουλη κίνηση. Ακολουθώντας τις παραπάνω παραδοχές, στην παρούσα εργασία πραγματοποιούμε μία περιγραφή και συγκριτική ανάλυση τέτοιων συνόλων δεδομένων που είναι κατά κύριο λόγο δημοσίως διαθέσιμα. Στη συνέχεια, δημιουργήσαμε ένα νέο dataset για μελέτη επίδοσης δικτυακών IDS (Intrusion Detection Systems) το οποίο καλύπτει ένα μεγάλο εύρος σύγχρονων απειλών που εμφανίζονται σήμερα στο διαδίκτυο και το οποίο προσπαθεί να διορθώσει αδυναμίες των προηγούμενων συνόλων τις οποίες επίσης αναφέρουμε. Ακόμα περιγράφουμε λεπτομερώς τη δομή και τον τρόπο με τον οποίο δημιουργήθηκε το dataset αυτό καθώς επίσης αναλύουμε παρεισφρήσεις και κακόβουλες συμπεριφορές οι οποίες καταγράφηκαν. Έπειτα, παρουσιάζουμε ένα λογισμικό προσομοίωσης το οποίο δημιουργήσαμε με στόχο την εικονική αναπαράσταση ενός δικτυακού IDS καθώς και την αυτοματοποιήμενη εξαγωγή datasets από το εκάστοτε σύστημα ανίχνευσης εισβολών. Ο τρέχων προσομοιωτής είναι σε θέση να εκτελεί την πλειοψηφία των διαδικασιών που υλοποιούνται σε αυτά τα συστήματα.