Improving the results of intrusion detection systems

Abstract

Intrusion detection systems successfully detect intrusions, but the alert-sets they produce suffer from multiple deficiencies. The volume of alerts is difficult to handle, while the percentage of false ones is relatively high. The intruder's attack plan is difficult to be unveiled, as alerts correspond to low level events and the security analyst has to put in a lot of effort, in order to successfully monitor the security status of the protected system.An alerts post-processing system is proposed to improve the results of intrusion detection systems. It transforms the alert-sets produced by multiple intrusion detection sensors to a meaningful live graphical representation, that can timely inform the analyst about occurring events and enable her to further examine these events and react accordingly. The system consists of sensor managers, each one of which is responsible for an intrusion detection sensor's alert flow. They calculate a validity estimation for each alert and aggregate identical alerts. Their outputs are all led to a single clustering subsystem. This merges these flows into a system-wide flow and commits the required clustering between relevant aggregated alerts. It optionally attempts to estimate information about events missed by the intrusion detection sensors. Finally a visualization subsystem produces a three dimensional live graph of existing clusters, in order to provide the analyst with a compact representation of occurring security events.Along with the proposed system, an alternative method for false alerts filtering is discussed. It is based on fuzzy inference systems and efficiently evaluates the validity of alerts, eventually filtering out false ones. Finally a platform for conducting alerts post-processing experiments is presented. It provides users with standard ready to use functionality, while it enables them to reuse theirs or others past components.

Τα συστήματα ανίχνευσης παρεισφρήσεων ανιχνεύουν με επιτυχία πιθανές εισβολές, αλλά τα σετ συναγερμών που παράγουν χαρακτηρίζονται από σημαντικά προβλήματα. Ο όγκος των παραγόμενων συναγερμών κάνει δύσκολη την διαχείρισή τους, ενώ ένα μεγάλο ποσοστό τους είναι ψευδές. Το σχέδιο του εισβολέα δεν είναι εύκολο να εξαχθεί, καθώς οι συναγερμοί αντιστοιχούν σε χαμηλού επιπέδου πληροφορία και ο αναλυτής πρέπει να καταβάλλει σημαντική προσπάθεια, προκειμένου να παρακολουθεί επιτυχώς την κατάσταση ασφαλείας του συστήματος υπό προστασία.Στην παρούσα διατριβή παρουσιάζεται ένα σύστημα επεξεργασίας συναγερμών, με στόχο την βελτίωση των αποτελεσμάτων των συστημάτων ανίχνευσης παρεισφρήσεων. Μετά από την επεξεργασία των συναγερμών πολλαπλών αισθητήρων ανίχνευσης παρεισφρήσεων, το σύστημα παράγει μία ζωντανή γραφική αναπαράσταση των γεγονότων που έχουν ανιχνευθεί. Έτσι ο αναλυτής ενημερώνεται εγκαίρως σχετικά με τα γεγονότα αυτά και είναι σε θέση να τα εξετάσει περαιτέρω, όποτε αυτό κρίνεται αναγκαίο, και τελικά να αντιδράσει κατάλληλα. Το σύστημα αποτελείται από διαχειριστές αισθητήρων που είναι υπεύθυνοι για τις ροές συναγερμών που προέρχονται από τους αισθητήρες ανίχνευσης παρεισφρήσεων. Υπολογίζουν μια εκτίμηση ορθότητας για κάθε συναγερμό και ενοποιούν αυτούς που ταυτίζονται. Οι έξοδοι τους, οδηγούνται σε ένα κεντρικό υποσύστημα ομαδοποίησης. Αυτό συγχωνεύει τις πολλαπλές ροές συναγερμών σε μία ενιαία και ομαδοποιεί τους σχετικούς συναγερμούς. Προαιρετικά το υποσύστημα αυτό εκτιμά παραμέτρους σχετικά με γεγονότα που δεν έχουν γίνει αντιληπτά από τους αισθητήρες ανίχνευσης. Τέλος, ένα υποσύστημα οπτικοποίησης παράγει μία τρισδιάστατη γραφική παράσταση των ομάδων που παρήχθησαν, προκειμένου να παρέχει στον αναλυτή μία συνοπτική εικόνα των γεγονότων ασφαλείας.Παράλληλα με το προτεινόμενο σύστημα, παρουσιάζεται και μία εναλλακτική μέθοδος αναγνώρισης ψευδών συναγερμών. Βασίζεται στην μεθοδολογία των fuzzy inference systems και αξιολογεί αποτελεσματικά την εγκυρότητα των συναγερμών, με σκοπό την απόρριψη όσων είναι ψευδείς. Τέλος, παρουσιάζεται μια πλατφόρμα για τη διεξαγωγή πειραμάτων σχετικά με την επεξεργασία συναγερμών. Η πλατφόρμα αυτή παρέχει στους χρήστες έτοιμα υποσυστήματα σχετικά με τυπικές επαναλαμβανόμενες λειτουργίες, ενώ τους δίνει και τη δυνατότητα να επαναχρησιμοποιούν υποσυστήματα που έχουν αναπτυχθεί στο παρελθόν από τους ίδιους ή από άλλους.