Bruk av kunstig intelligens for å oppdage innbrudd i datasystemer / Using Artificial Intelligence methods for Intrusion Detection

Grodås, Ole Morten

January 2012

Med sin store vekst, har internett utviklet seg til et lukrativt domene for organisert kriminalitet. Som andre typer organisert kriminalitet er mesteparten av aktiviteten motivert av økonomisk gevinst. I tillegg til økonomisk motiverte trusselen aktører er noen tilsynelatende drevet av politiske motiver, som nasjonalstaters etterretningsorganisasjoner og cyberterrorister. En viktig del av datakriminalitet er å bryte seg inn i datasystemer og sikre fremtidig kontroll over systemene. Når nettkriminelle har klart å få tilgang til et system installerer de ofte et skjult program for å sikre fremtidige tilgang. Dette programmet kalles en bot og rekrutterer den kompromitterte maskinen inn i et botnet. Flere boter under en felles sentral administrasjon kalles et botnet. Denne oppgaven beskriver utformingen av en botnet detektor og rapporterer resultatene fra testing av detektoren på reelle data fra en organisasjon i Norge. Det foreslåtte systemet er designet rundt et klassisk "misuse detection system". Det tar som input nettverksaktivitetslogg som NetFlow, DNS logg og HTTP logg og søker igjennom denne loggen med et stort signaturrett sett sammen av ulike signatursett som deles fritt på internett. Detektoren er basert på fire hovedkomponenter. 1) En algoritme for å kvantifisere risikoen representert ved en signatur, 2) En algoritme for hvitlisting av dårlige signaturer som vil skape falske positiver, 3) En søkemotor for å søke loggfiler med et stort signatursett, og 4) En algoritme for å identifisere kompromittert datamaskiner ved å aggregere alarm data.All komponentene sett under ett ser ut til å gi en betydelig forbedring i forhold til inntrengningsdeteksjon basert på vanlig signatursøk. En av de viktigste forbedringene er at systemene gjør det mye enklere å håndtere dårlige signaturer som skaper mange falske positiver, forbedring synes å være en kombinasjon av hvitlisting av noen av de dårlige signaturene og at fokuset flyttes fra arbeide med alarmer direkte til å jobbe med aggregert klient risikoer.Systemet er komplementære og synergistiske til noen av de nylig foreslåtte system i forskningslitteraturen som Exposure(Bilge, Kirda, Kruegel, & Balduzzi, 2011) og Notos (Antonakakis, Perdisci, Dagon, Lee, & Feamster, 2010)

ntnudaim:7228

MTDT datateknikk

Komplekse datasystemer