Improving the results of intrusion detection systems

Abstract

Τα συστήματα ανίχνευσης παρεισφρήσεων ανιχνεύουν με επιτυχία πιθανές εισβολές, αλλά τα σετ συναγερμών που παράγουν χαρακτηρίζονται από σημαντικά προβλήματα. Ο όγκος των παραγόμενων συναγερμών κάνει δύσκολη την διαχείρισή τους, ενώ ένα μεγάλο ποσοστό τους είναι ψευδές. Το σχέδιο του εισβολέα δεν είναι εύκολο να εξαχθεί, καθώς οι συναγερμοί αντιστοιχούν σε χαμηλού επιπέδου πληροφορία και ο αναλυτής πρέπει να καταβάλλει σημαντική προσπάθεια, προκειμένου να παρακολουθεί επιτυχώς την κατάσταση ασφαλείας του συστήματος υπό προστασία.Στην παρούσα διατριβή παρουσιάζεται ένα σύστημα επεξεργασίας συναγερμών, με στόχο την βελτίωση των αποτελεσμάτων των συστημάτων ανίχνευσης παρεισφρήσεων. Μετά από την επεξεργασία των συναγερμών πολλαπλών αισθητήρων ανίχνευσης παρεισφρήσεων, το σύστημα παράγει μία ζωντανή γραφική αναπαράσταση των γεγονότων που έχουν ανιχνευθεί. Έτσι ο αναλυτής ενημερώνεται εγκαίρως σχετικά με τα γεγονότα αυτά και είναι σε θέση να τα εξετάσει περαιτέρω, όποτε αυτό κρίνεται αναγκαίο, και τελικά να αντιδράσει κατάλληλα. Το σύστημα αποτελείται από διαχειριστές αισθητήρων που είναι υπεύθυνοι για τις ροές συναγερμών που προέρχονται από τους αισθητήρες ανίχνευσης παρεισφρήσεων. Υπολογίζουν μια εκτίμηση ορθότητας για κάθε συναγερμό και ενοποιούν αυτούς που ταυτίζονται. Οι έξοδοι τους, οδηγούνται σε ένα κεντρικό υποσύστημα ομαδοποίησης. Αυτό συγχωνεύει τις πολλαπλές ροές συναγερμών σε μία ενιαία και ομαδοποιεί τους σχετικούς συναγερμούς. Προαιρετικά το υποσύστημα αυτό εκτιμά παραμέτρους σχετικά με γεγονότα που δεν έχουν γίνει αντιληπτά από τους αισθητήρες ανίχνευσης. Τέλος, ένα υποσύστημα οπτικοποίησης παράγει μία τρισδιάστατη γραφική παράσταση των ομάδων που παρήχθησαν, προκειμένου να παρέχει στον αναλυτή μία συνοπτική εικόνα των γεγονότων ασφαλείας.Παράλληλα με το προτεινόμενο σύστημα, παρουσιάζεται και μία εναλλακτική μέθοδος αναγνώρισης ψευδών συναγερμών. Βασίζεται στην μεθοδολογία των fuzzy inference systems και αξιολογεί αποτελεσματικά την εγκυρότητα των συναγερμών, με σκοπό την απόρριψη όσων είναι ψευδείς. Τέλος, παρουσιάζεται μια πλατφόρμα για τη διεξαγωγή πειραμάτων σχετικά με την επεξεργασία συναγερμών. Η πλατφόρμα αυτή παρέχει στους χρήστες έτοιμα υποσυστήματα σχετικά με τυπικές επαναλαμβανόμενες λειτουργίες, ενώ τους δίνει και τη δυνατότητα να επαναχρησιμοποιούν υποσυστήματα που έχουν αναπτυχθεί στο παρελθόν από τους ίδιους ή από άλλους.