‫יישום שיטות כריית מידע‬

‫באבטחת מידע‬

‫קורס "מחסני נתונים"‬

‫מרצה‪ :‬מר דניאלי דוד‬
‫מגישים‪ :‬לאוניד וילנסקי‬
‫מרגריטה ניגמטזיאנוב‬
 ‫מבוא‬
‫הצפנה‬
‫מבוא‬
‫זיהוי חדירות‬

‫‪RIPPER‬‬

‫ניסוי ‪1‬‬

‫ניסוי ‪2‬‬ ‫טיפול בבאגים‬

‫אימות זהות‬

‫הפתרון‬
‫ארכיטקטור‬
‫ה‬
 ‫מרכיבים עיקריים בזיהוי‬
‫חדירות‬
‫מבוא‬

‫‪RIPPER‬‬

‫ניסוי ‪1‬‬

‫ניסוי ‪2‬‬

‫הפתרון‬
‫ארכיטקטור‬
‫ה‬
 ‫מהלך המחקר‬
‫מבוא‬
‫• מטרת המאמר היא להמליץ על כלים‬
‫‪RIPPER‬‬ ‫ומתודות לזיהוי חדירות‪.‬‬
‫• במסגרת המחקר התבצעו מספר‬
‫ניסוי ‪1‬‬
‫ניסוים בשאיפה להגיע לאלגוריתם‬
‫ניסוי ‪2‬‬ ‫אופטימאלי לזיהוי חדירות‪.‬‬
‫• כתוצאת מחקר מוצגת מודל‬
‫הפתרון‬
‫לארכיטקטורה של מערכת לזיהוי‬
‫ארכיטקטור‬
‫ה‬
‫חדירות ללא הגבלה לסביבת עבודה‬
 ‫‪RIPPER‬‬
‫מבוא‬
‫• לצורך ביצוע הניסוים נעשה שימוש‬
‫‪RIPPER‬‬ ‫בתכנת ‪ – RIPPER‬תוכנה ליצירת‬
‫כללים לקבלת החלטה על פעילות‬
‫ניסוי ‪1‬‬ ‫רצויה\לא רצויה של אפליקציה‬
‫ניסוי ‪2‬‬ ‫הנחקרת‪.‬‬
‫• התכנה מבוססת על אלגוריתם ‪IREP‬‬
‫הפתרון‬
‫• על בסיס הנתונים הראשוניים‬
‫ארכיטקטור‬
‫ה‬ ‫שהתקבלו נבנו אלגוריתמים‬
‫המשפרים את תוצאותם‪.‬‬
 ‫‪RIPPER‬‬
‫מבוא‬

‫‪RIPPER‬‬ ‫תנאי תוצאה‬

‫שלבים‪:‬‬
‫‪ 1.‬מושכים כלל‬
‫ניסוי ‪1‬‬ ‫‪ 2.‬מורידים תנאי ברמה‬ ‫‪B‬‬ ‫‪A‬‬
‫הכי נמוכה עד שהיקף‬
‫של הכלל גדל‬
‫ניסוי ‪2‬‬ ‫‪ 3.‬בודקים האם אחוז‬
‫הטעויות קטן מ‪50-‬‬
‫)נבדק על שליש‬
‫הפתרון‬ ‫הנתונים( הכלל נכנס‬
‫לרשימה סופית‬
‫ארכיטקטור‬ ‫‪ 4.‬נמחקים כל הנתונים‬
‫ה‬ ‫שתואמים לכלל‬

‫‪ 2/3‬של כל‬
‫הנתונים‬
 ‫ניסוי ‪sendmail - 1‬‬
‫מבוא‬ ‫• ‪Sendmail‬תוכנה פשוטה לשליחת דואר –‬
‫• נתונים ראשוניים‪:‬‬
‫‪RIPPER‬‬

‫ניסוי ‪1‬‬

‫ניסוי ‪2‬‬
‫• קיימים נתונים של חדירות ושל פעילות רגילה‬
‫הפתרון‬ ‫של התכנה‬
‫• על סמך ‪ 80%‬הנתונים נוצרה רשימה של‬
‫ארכיטקטור‬
‫ה‬ ‫רצפים "נורמאליים"‬
 ‫ניסוי ‪sendmail - 1‬‬
‫מבוא‬
‫• שימוש ב‪ RIPPER-‬וקבלת רשימת‬
‫‪RIPPER‬‬
‫‪If p1=4 AND p2=6‬‬
‫…‬
‫‪NORMAL‬‬
‫‪NORMAL‬‬
‫כללים‪:‬‬
‫ניסוי ‪1‬‬ ‫‪else‬‬ ‫‪ABNORMAL‬‬

‫• החיסרון בשיטה הזאת הוא שאחוז‬

‫ניסוי ‪2‬‬ ‫גדול של רצפים לא תקינים לא מעיד‬
‫הפתרון‬ ‫על חדירה‬
‫ארכיטקטור‬
‫• ריכוז רצפים לא תקינים מעיד על‬
‫ה‬ ‫חדירה ולא טעויות חיזוי‬
 ‫ניסוי ‪sendmail - 1‬‬
‫מבוא‬
‫• הפתרון‪:‬‬
‫‪342545234523454‬‬

‫‪RIPPER‬‬ ‫‪432234534234123‬‬

‫‪324523455235423‬‬

‫ניסוי ‪1‬‬
‫‪234523455235423‬‬
‫‪2l+1‬‬ ‫‪234532543452354‬‬

‫‪234523542345235‬‬

‫ניסוי ‪2‬‬ ‫‪542345234523452‬‬

‫‪...‬‬

‫‪...‬‬
‫‪l‬‬
‫הפתרון‬
‫‪If abn.>l‬‬
‫ארכיטקטור‬ ‫‪Abn. region‬‬
‫ה‬
 ‫ניסוי ‪sendmail - 1‬‬
‫מבוא‬ ‫עוד פתרון‪:‬‬ ‫•‬
‫‪RIPPER‬‬ ‫שימוש רק בנתוני פעילות רגילה לצורך בניית‬ ‫•‬
‫כללים )‪(if p1=n then p2=m‬‬
‫ניסוי ‪1‬‬ ‫נותנים משקל לכל כלל )לפי ‪(RIPPER‬‬ ‫•‬
‫נותנים ציון לכל רצף מספרים )גודלו נקבע‬ ‫•‬
‫ניסוי ‪2‬‬ ‫מראש( לפי משקל של הכלל שהופר‬
‫מחשבים ציון ממוצע וקובעים קיום חדירה‬ ‫•‬
‫הפתרון‬
‫ארכיטקטור‬
‫ה‬
 ‫ניסוי ‪tcpdump - 2‬‬
‫מבוא‬
‫• ‪Tcpdump‬תוכנה לאיסוף נתונים–‬
‫‪RIPPER‬‬ ‫של העברת חבילות בפרוטוקולים‬
‫‪-TCP‬ו ‪UDP‬‬
‫ניסוי ‪1‬‬
‫• הכללים נבנו על סמך ‪ 80%‬של‬
‫ניסוי ‪2‬‬ ‫הנתונים שנאספו וניסוי התבצע על‬
‫הפתרון‬ ‫‪ 20%‬שנותרו ו ‪ 3‬חדירות‬
‫ארכיטקטור‬
‫• הכללים נבנו בעזרת תוכנה ‪RIPPER‬‬
‫ה‬
 ‫ניסוי ‪tcpdump - 2‬‬
‫מבוא‬
‫• תוצאות הניסוי לא העידו על הבדל‬
‫‪RIPPER‬‬ ‫משמעותי בין חדירות ופעילות‬
‫נורמאלית‬
‫ניסוי ‪1‬‬
‫• לכן הוחלט להוסיף פרמטרים‬
‫ניסוי ‪2‬‬ ‫נוספים המתארים את פעילות‬
‫הפתרון‬ ‫ברשת‪ :‬זמן ממוצע של התקשרות‪,‬‬
‫כמות נתונים שהועברו‪ ,‬מספר טעויות‬
‫ארכיטקטור‬
‫ה‬ ‫וממוצע התחברויות לשרות מסוים‬
‫לפי פרקי זמן שונים‬
 ‫ניסוי ‪tcpdump - 2‬‬
‫מבוא‬
‫• לאור תוצאות הניסוי התגלה שחלון‬
‫‪RIPPER‬‬ ‫הזמן האופטימאלי הוא ‪ 30‬שניות‬
‫ניסוי ‪1‬‬ ‫• החיסרון בשיטה זו הוא שלצורך‬
‫הטמעתה וקבלת תוצאות אמינות יש‬
‫ניסוי ‪2‬‬ ‫צורך בידע רחב בסביבת העבודה‬
‫הפתרון‬ ‫וקיים קושי באוטומטיזציה של תהליך‬
‫הזיהוי )איזה נתונים לחקור‪ ,‬זמן(‬
‫ארכיטקטור‬
‫ה‬
 ‫הפתרון‬
‫מבוא‬ ‫• כדי לבחור תכונות הרלוונטיות לבקרה בלי‬
‫ידע קודם נשתמש ב‪Association Rules-‬‬
‫‪RIPPER‬‬
‫• דוגמא‪X=>Y :‬‬
‫ניסוי ‪1‬‬ ‫אחוז הופעות של ‪ X‬ו‪-(Y Support(X+Y‬‬
‫=‬ ‫‪Confidence‬‬

‫ניסוי ‪2‬‬ ‫• על מנת לבנות כללים לרצף פעולות נבנה‬

‫אלגוריתם)‪ (Frequent Episodes Rules‬דומה‬
‫הפתרון‬
‫אך עם התחשבות בזמן‪:‬‬
‫ארכיטקטור‬
‫ה‬
 ‫הפתרון‬
‫מבוא‬
‫• מריצים תוכנית הנבדקת הרבה‬
‫‪RIPPER‬‬ ‫פעמים בתנאים שונים וע"י שימוש ב‬
‫‪ Association Rules-‬וב‪Frequent-‬‬
‫ניסוי ‪1‬‬ ‫‪Episodes Rules‬‬
‫ניסוי ‪2‬‬ ‫• יוצרים מהכללים שהתקבלו רשימה‬
‫עם ציון לכל כלל המייצג מספר‬
‫הפתרון‬
‫הופעתו‬
‫ארכיטקטור‬
‫ה‬ ‫• מורידים כללים נדירים )עם ציון נמוך(‬
 ‫ניסוי עם ‪TCPDUMP‬‬
‫מבוא‬ ‫אלגוריתם ‪ Frequent Episodes Rules‬יושם על‬ ‫•‬
‫נתוני תוכנה ‪ tcpdump‬ללא חדירות וכתוצאה‬
‫‪RIPPER‬‬ ‫התקבל שחלון הזמן האופטימאלי ללמידה ויצירת‬
‫רשימה מלאה של הכללים הוא אכן ‪ 30‬שניות‬
‫ניסוי ‪1‬‬ ‫לאחר מכאן הריצו שני האלגוריתמים על כל‬ ‫•‬
‫הנתונים ועשו השוואה בין שתי רשימות הכללים‬
‫ניסוי ‪2‬‬ ‫)של פעילות נורמאלית וחדירות(‬
‫ניתן לראות מהתוצאות שכללים ייחודיים שנמצאו‬ ‫•‬
‫הפתרון‬ ‫בחדירות מתארים את התנהגות החדירה‬
‫ארכיטקטור‬ ‫לכן ניתן לזהות את החדירה ללא ידע קודם על‬ ‫•‬
‫ה‬ ‫התנהגות היישום )נמצא כלל מתאר פניות רבות‬
‫לזיהוי דרך ‪(FTP‬‬
 ‫ארכיטקטורה מוצעת‬
‫קביעת כללים על בסיס‬

‫מבוא‬ ‫הנתונים‬

‫‪RIPPER‬‬ ‫ניתוח נתונים ע"י אלגוריתמים‬

‫מבוססים על כללים‬

‫ניסוי ‪1‬‬

‫ניסוי ‪2‬‬ ‫קבלת החלטות על סמך‬

‫תוצאות שהתקבלו‬

‫הפתרון‬
‫ארכיטקטור‬
‫ה‬
‫שאלות?‬