Anomaliapohjainen NIDS-järjestelmä: Toiminnan tehostaminen uudelleenklusterointimenetelmällä
Sormunen, Jukka (2013)
Sormunen, Jukka
Jyväskylän ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013061414144
https://urn.fi/URN:NBN:fi:amk-2013061414144
Tiivistelmä
Tämän tutkimuksen tavoitteena oli esitellä ratkaisu anomaliapohjaisten IDS-järjestelmien ongelmaan. Anomaliapohjainen IDS-järjestelmä tuottaa suuren määrän vääriä positiivisia havaintoja ja tarkoituk-sena oli saada niiden määrä tasolle, joka on realistisesti ihmisen analysoitavaissa.
Havaittujen anomalioiden analysoinnista johtuvaa työmäärää saataisiin vähennettyä suoraan hylkää-mällä niistä tietty osa. Tämä johtaa kuitenkin sattumanvaraisuuteen verkkohyökkäysten tunnistami-sessa. Toinen vaihtoehto oli kehittää tapa, jolla IDS-järjestelmä voisi oppia tunnistamaan oikeat ha-vainnot vääristä ja näin vähentää havaittujen anomalioiden määrää.
Havaittujen anomalioiden määrän vähentäminen toteutiin IDS-järjestelmään tehdyllä uudelleenklus-teroinitimenetelmällä, jossa järjestelmä tutkii havaitsemiaan anomalioita niin kauan, kunnes haluttu lopputulos saavutetaan. Lopuksi testattiin toteutetun uudelleenklusteroinitimenetelmän vaikutusta IDS-järjestelmän kykyyn havaita verkkohyökkäykset.
Toteutetulla uudelleenklusterointimentelmällä saavutettiin hyviä tuloksia väärien ja oikeiden positii-visten havaintojen suhteeseen. Väärien positiivisten määrä väheni suhteessa oikeisiin positiivisiin havaintoihin. Verkkohyökkäyksiä sisältävällä materiaalilla tehdyt testit osoittivat menetelmän teho-kuuden, kun hyökkäysten tunnistustarkkuus kasvoi aikaisemmasta noin 10 % tarkkuudesta aina 47 % asti.
Havaittujen anomalioiden analysoinnista johtuvaa työmäärää saataisiin vähennettyä suoraan hylkää-mällä niistä tietty osa. Tämä johtaa kuitenkin sattumanvaraisuuteen verkkohyökkäysten tunnistami-sessa. Toinen vaihtoehto oli kehittää tapa, jolla IDS-järjestelmä voisi oppia tunnistamaan oikeat ha-vainnot vääristä ja näin vähentää havaittujen anomalioiden määrää.
Havaittujen anomalioiden määrän vähentäminen toteutiin IDS-järjestelmään tehdyllä uudelleenklus-teroinitimenetelmällä, jossa järjestelmä tutkii havaitsemiaan anomalioita niin kauan, kunnes haluttu lopputulos saavutetaan. Lopuksi testattiin toteutetun uudelleenklusteroinitimenetelmän vaikutusta IDS-järjestelmän kykyyn havaita verkkohyökkäykset.
Toteutetulla uudelleenklusterointimentelmällä saavutettiin hyviä tuloksia väärien ja oikeiden positii-visten havaintojen suhteeseen. Väärien positiivisten määrä väheni suhteessa oikeisiin positiivisiin havaintoihin. Verkkohyökkäyksiä sisältävällä materiaalilla tehdyt testit osoittivat menetelmän teho-kuuden, kun hyökkäysten tunnistustarkkuus kasvoi aikaisemmasta noin 10 % tarkkuudesta aina 47 % asti.