Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Αλέξανδρος Αδάμος

83 views

Published on

Σχεδίαση και Ανάπτυξη Μηχανισμού για τη Δυναμική Ανίχνευση Αργών Επιθέσεων σε Συστήματα Ανίχνευσης Εισβολής (IDS)

Published in: Software
  • Be the first to comment

  • Be the first to like this

Αλέξανδρος Αδάμος

  1. 1. Σχεδίαση και ανάπτυξη μηχανισμού για τη δυναμική ανίχνευση αργών επιθέσεων σε Συστήματα Ανίχνευσης και Εισβολής (IDS) Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών Τομέας Ηλεκτρονικής και Υπολογιστών Διπλωματική Εργασία Αδάμος Αλέξανδρος, ΑΕΜ: 6041 Επιβλέπων Καθηγητής: Ανδρέας Λ. Συμεωνίδης Συνεπιβλέπων Υποψήφιος Διδάκτωρας: Γεώργιος Μαμαλάκης
  2. 2.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 2/34
  3. 3. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 3/34
  4. 4. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 4/34
  5. 5. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 5 /34
  6. 6.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 6 /34
  7. 7.  Αναγνώριση επιθέσεων τύπου “Slow HTTP DoS”  Βελτίωση ενός IDS με δημιουργία παράλληλου μηχανισμού  Επιλογή κατάλληλου IDS (Snort IDS)  Ανάλυση της λειτουργίας των επιθέσεων  Ανάπτυξη του Μηχανισμού Ανίχνευσης Αργών Επιθέσεων 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 7 /34
  8. 8.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 8 /34
  9. 9.  Παρακολούθηση του δικτύου & ανάλυση της κίνησης  Ταξινόμηση: 1. Μέθοδος ανίχνευσης anomaly detection & signature-based 2. Προέλευση δεδομένων Host-based IDS & Network-based IDS 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 9 /34
  10. 10.  IDS με υπογραφές-κανόνες  Ανοικτού κώδικα  Ανίχνευση ανωμαλιών με ξεχωριστές μονάδες (Snort preprocessors)  Δυνατότητα επέμβασης με ανάπτυξη παράλληλων μονάδων-προεπεξεργαστών 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 10/34
  11. 11. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 11 /34 libpcap Link-layer OSI model Anomaly detection Signature detection, rule matching Alert & log PacketStream Packet Capture Snort Packet Decoder Preprocessors Detection Engine Output Plugins
  12. 12. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 12 /34 OriginalPacket Packet Decoder Preprocessors Detection Engine Output Plugins Frag3 Stream5 pseudopackets Οι προεπεξεργαστές δημιουργούνε δύο νέα «ψευδο-πακέτα» που επιστρέφουν στη διαδικασία της αποκωδικοποίησης Snort
  13. 13.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 13 /34
  14. 14. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 14 /34
  15. 15.  Άρνηση υπηρεσίας (Denial of Service)  Στοχοποιεί το HTTP πρωτόκολλο  Επίθεση επιπέδου εφαρμογής – Σκοπός η κατάληψη ενός web-server  Χρησιμοποιεί νόμιμα πακέτα (non-filterable attack)  Slowloris (Slow GET), Slowhttptest (Slow Read), HttpDoSTool (Slow POST) 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 15 /34
  16. 16.  Αποστολή μεγάλου αριθμού HTTP αιτήσεων προς τον web-server (θύμα)  Ο web-server δέχεται/ανοίγει τις συνδέσεις  Ο επιτιθέμενος διατηρεί τις συνδέσεις ανοιχτές  Αδυναμία εκκίνησης νέων συνδέσεων προς νόμιμους πελάτες  Λίγα, μικρά σε μέγεθος πακέτα, «αόρατη» επίθεση 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 16 /34
  17. 17.  Αντιμετώπιση των server με patches, κανόνες για το περιεχόμενο των πακέτων  Στατιστική ανάλυση της HTTP πληροφορίας (χρόνος μεταξύ αιτήσεων), συχνότητα HTTP paths  Χρήση νευρωνικού δικτύου για ανίχνευση επίθεσης και εύρεση πηγής 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 17/34
  18. 18.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 18 /34
  19. 19.  Το «παράδειγμα Δυναμικού Προεπεξεργαστή» (Dynamic Preprocessor Example)  Slow Preprocessor  Καταχώρηση στη λειτουργία του Snort IDS  Ειδοποίηση και καταγραφή γεγονότων 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 19 /34
  20. 20.  Βασισμένος στην λογική της Αυτόματης Αναγνώρισης Γεγονότων (Κωνσταντίνος Βαβλιάκης)  Potential Event, Detected Event- ανανέωση των συνόλων για συγκεκριμένο χρονικό παράθυρο  Ορισμός της Εντροπίας Επίθεσης (ΕΕ)  Εκφράζει τη δυναμική των συνδέσεων ενός web- server  Υπολογισμός της ΕΕ για κάθε ΙΡ  Εξαγωγή στατιστικών δικτύου με χρήση πρωτοκόλλου Netflow 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 20 /34
  21. 21.  𝐸𝑛𝑡𝑟𝑜𝑝𝑦𝑖 𝑡 = 𝑎 2 𝐸𝑛𝑡𝑖 𝑡 + 𝑏 2 𝐸𝑛𝑡𝑖 ′ 𝑡 , 𝑎 + 𝑏 = 1  𝐸𝑛𝑡𝑖(𝑡) = 𝑘=0 𝑁𝑖𝑝 )𝐶𝑜𝑛𝑛 𝑘(𝑡 𝑀𝑎𝑥𝑆𝑒𝑟𝑣𝑒𝑟𝐶𝑎𝑝𝑎𝑐𝑖𝑡𝑦  𝐸𝑛𝑡𝑖 ′ 𝑡 = )𝑞1⋅𝐼𝑃𝑁𝐹 𝑖(𝑡)+𝑞2⋅𝐼𝑃𝑁𝐹𝑡𝑜𝑡(𝑡)+𝑞3⋅𝑁𝐹 𝑖(𝑡)+𝑞4⋅𝑁𝐹𝑡𝑜𝑡(𝑡 𝑞1+𝑞2+𝑞3+𝑞4 , 𝑞 𝑚 ∈ 0,1 , 𝑚 ∈ [0,4], 𝑚 ∈ 𝛮  𝐼𝑃𝑁𝐹𝑖(𝑡) = )𝐶𝑜𝑛𝑛 𝑖(𝑡)−𝐶𝑜𝑛𝑛 𝑖(𝑡−𝑡 𝑛 𝑀𝑎𝑥𝑆𝑒𝑟𝑣𝑒𝑟𝐶𝑎𝑝𝑎𝑐𝑖𝑡𝑦 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 21 /34
  22. 22.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 22 /34
  23. 23.  3 εικονικές μηχανές (VirtualBox guests) και 1 ξενιστής(host)  Host- MS Windows 7 Professional  Guest 1- Ubuntu12.04, Apache2 Web-Server (250 συνδέσεις), Snort 2.9.4 (στόχος-θύμα)  Guest 2 & 3- BackTrack 5 r4 (Linux-based) (επιτιθέμενοι) 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 23 /34
  24. 24. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 24 /34
  25. 25. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 25 /34
  26. 26. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 25/34
  27. 27. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 27 /34
  28. 28. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 28 /34
  29. 29. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 29 /34
  30. 30. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 30 /34
  31. 31. 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 31 /34
  32. 32.  Ορισμός Προβλήματος  Σκοπός Διπλωματικής  Συστήματα Ανίχνευσης Εισβολών (IDS) και Snort IDS  Slow HTTP DoS επιθέσεις  Μηχανισμός Ανίχνευσης Αργών Επιθέσεων  Πειράματα-Αποτελέσματα  Συμπεράσματα- Μελλοντικές Επεκτάσεις 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 32 /34
  33. 33.  a>b, η EE αυξάνει  q1,q3>q2,q4, η ΕΕ αυξάνει  𝑡 − 𝑡 𝑛=1 min, απότομες αυξήσεις συνδέσεων, χάνει αργές επιθέσεις (false negatives)  𝑡 − 𝑡 𝑛=5 min, αργές επιθέσεις, η ΕΕ μειώνεται πιο δύσκολα (false positives)  Ομαλοποίηση πριονωτής μορφής της ΕΕ, ένωση κορυφών  Περισσότερα χρονικά παράθυρα  Στατιστικά δικτύου 1/3/2017 Αδάμος Αλέξανδρος ΤΗΜΜΥ - ΑΠΘ 33/34
  34. 34. Σχεδίαση και ανάπτυξη μηχανισμού για τη δυναμική ανίχνευση αργών επιθέσεων σε Συστήματα Ανίχνευσης και Εισβολής (IDS) Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών Τομέας Ηλεκτρονικής και Υπολογιστών

×