Professional Documents
Culture Documents
Presentation
Presentation
באבטחת מידע
RIPPER
ניסוי 1
הפתרון
ארכיטקטור
ה
מרכיבים עיקריים בזיהוי
חדירות
מבוא
RIPPER
ניסוי 1
ניסוי 2
הפתרון
ארכיטקטור
ה
מהלך המחקר
מבוא
• מטרת המאמר היא להמליץ על כלים
RIPPER ומתודות לזיהוי חדירות.
• במסגרת המחקר התבצעו מספר
ניסוי 1
ניסוים בשאיפה להגיע לאלגוריתם
ניסוי 2 אופטימאלי לזיהוי חדירות.
• כתוצאת מחקר מוצגת מודל
הפתרון
לארכיטקטורה של מערכת לזיהוי
ארכיטקטור
ה
חדירות ללא הגבלה לסביבת עבודה
RIPPER
מבוא
• לצורך ביצוע הניסוים נעשה שימוש
RIPPER בתכנת – RIPPERתוכנה ליצירת
כללים לקבלת החלטה על פעילות
ניסוי 1 רצויה\לא רצויה של אפליקציה
ניסוי 2 הנחקרת.
• התכנה מבוססת על אלגוריתם IREP
הפתרון
• על בסיס הנתונים הראשוניים
ארכיטקטור
ה שהתקבלו נבנו אלגוריתמים
המשפרים את תוצאותם.
RIPPER
מבוא
2/3של כל
הנתונים
ניסוי sendmail - 1
מבוא • Sendmailתוכנה פשוטה לשליחת דואר –
• נתונים ראשוניים:
RIPPER
ניסוי 1
ניסוי 2
• קיימים נתונים של חדירות ושל פעילות רגילה
הפתרון של התכנה
• על סמך 80%הנתונים נוצרה רשימה של
ארכיטקטור
ה רצפים "נורמאליים"
ניסוי sendmail - 1
מבוא
• שימוש ב RIPPER-וקבלת רשימת
RIPPER
If p1=4 AND p2=6
…
NORMAL
NORMAL
כללים:
ניסוי 1 else ABNORMAL
RIPPER 432234534234123
324523455235423
ניסוי 1
234523455235423
2l+1 234532543452354
234523542345235
...
...
l
הפתרון
If abn.>l
ארכיטקטור Abn. region
ה
ניסוי sendmail - 1
מבוא עוד פתרון: •
RIPPER שימוש רק בנתוני פעילות רגילה לצורך בניית •
כללים )(if p1=n then p2=m
ניסוי 1 נותנים משקל לכל כלל )לפי (RIPPER •
נותנים ציון לכל רצף מספרים )גודלו נקבע •
ניסוי 2 מראש( לפי משקל של הכלל שהופר
מחשבים ציון ממוצע וקובעים קיום חדירה •
הפתרון
ארכיטקטור
ה
ניסוי tcpdump - 2
מבוא
• Tcpdumpתוכנה לאיסוף נתונים–
RIPPER של העברת חבילות בפרוטוקולים
-TCPו UDP
ניסוי 1
• הכללים נבנו על סמך 80%של
ניסוי 2 הנתונים שנאספו וניסוי התבצע על
הפתרון 20%שנותרו ו 3חדירות
ארכיטקטור
• הכללים נבנו בעזרת תוכנה RIPPER
ה
ניסוי tcpdump - 2
מבוא
• תוצאות הניסוי לא העידו על הבדל
RIPPER משמעותי בין חדירות ופעילות
נורמאלית
ניסוי 1
• לכן הוחלט להוסיף פרמטרים
ניסוי 2 נוספים המתארים את פעילות
הפתרון ברשת :זמן ממוצע של התקשרות,
כמות נתונים שהועברו ,מספר טעויות
ארכיטקטור
ה וממוצע התחברויות לשרות מסוים
לפי פרקי זמן שונים
ניסוי tcpdump - 2
מבוא
• לאור תוצאות הניסוי התגלה שחלון
RIPPER הזמן האופטימאלי הוא 30שניות
ניסוי 1 • החיסרון בשיטה זו הוא שלצורך
הטמעתה וקבלת תוצאות אמינות יש
ניסוי 2 צורך בידע רחב בסביבת העבודה
הפתרון וקיים קושי באוטומטיזציה של תהליך
הזיהוי )איזה נתונים לחקור ,זמן(
ארכיטקטור
ה
הפתרון
מבוא • כדי לבחור תכונות הרלוונטיות לבקרה בלי
ידע קודם נשתמש בAssociation Rules-
RIPPER
• דוגמאX=>Y :
ניסוי 1 אחוז הופעות של Xו-(Y Support(X+Y
= Confidence
מבוא הנתונים
ניסוי 1
הפתרון
ארכיטקטור
ה
שאלות?