Anomaliapohjainen NIDS-järjestelmä: Toiminnan tehostaminen uudelleenklusterointimenetelmällä

Abstract

Tämän tutkimuksen tavoitteena oli esitellä ratkaisu anomaliapohjaisten IDS-järjestelmien ongelmaan. Anomaliapohjainen IDS-järjestelmä tuottaa suuren määrän vääriä positiivisia havaintoja ja tarkoituk-sena oli saada niiden määrä tasolle, joka on realistisesti ihmisen analysoitavaissa.

Havaittujen anomalioiden analysoinnista johtuvaa työmäärää saataisiin vähennettyä suoraan hylkää-mällä niistä tietty osa. Tämä johtaa kuitenkin sattumanvaraisuuteen verkkohyökkäysten tunnistami-sessa. Toinen vaihtoehto oli kehittää tapa, jolla IDS-järjestelmä voisi oppia tunnistamaan oikeat ha-vainnot vääristä ja näin vähentää havaittujen anomalioiden määrää.

Havaittujen anomalioiden määrän vähentäminen toteutiin IDS-järjestelmään tehdyllä uudelleenklus-teroinitimenetelmällä, jossa järjestelmä tutkii havaitsemiaan anomalioita niin kauan, kunnes haluttu lopputulos saavutetaan. Lopuksi testattiin toteutetun uudelleenklusteroinitimenetelmän vaikutusta IDS-järjestelmän kykyyn havaita verkkohyökkäykset.

Toteutetulla uudelleenklusterointimentelmällä saavutettiin hyviä tuloksia väärien ja oikeiden positii-visten havaintojen suhteeseen. Väärien positiivisten määrä väheni suhteessa oikeisiin positiivisiin havaintoihin. Verkkohyökkäyksiä sisältävällä materiaalilla tehdyt testit osoittivat menetelmän teho-kuuden, kun hyökkäysten tunnistustarkkuus kasvoi aikaisemmasta noin 10 % tarkkuudesta aina 47 % asti.

The aim of this thesis was to introduce a solution to the problem of Anomaly-based Network Intru-sion System. The problem is the high false-positive rate of A-NIDS.

Some of the detected anomalies could be rejected and that way the workload of the network admin-istrator could be reduced; however, this way the attack detection rate of the IDS would be random-ized. Therefore, the second option was to develop a method where IDS would learn to distinguish false-positives from true-positives.

A method to reduce the number of false-positives was developed with reclustering. Reclustering-method makes the IDS inspect the detected anomalies until the given amount of anomalies remains. Lastly it was tested how the reclustering would affect the IDS’s ability to detect network attacks.

Good results were achieved to the true-false positive rates with the developed reclustering method. The number of false positive rates decreased in contrast to true positives. The effect on the system’s real capacity to detect network attacks became clear when it was tested with material containing real network attacks. The detection rate rose from 10 % to approximately 47 %.