Visualizing Intrusion Detection Sjur Ringheim Lid
Prosjektet System for visualisering av nettverksflyt. Bruk av minst mulig data. Brukes for å oppdage mulige angrep i et nettverk. Har utviklet et system for å teste dette.
Problembeskrivelse Stor mengde data i store nettverk. Vanskelig å gå igjennom alt. Mye ekstra trafikk for å samle resultater sentralt. Lite mennesklig interaksjon i oppdagelsen av angrep. Logger ofte mye person informasjon.
Forskningsspørsmål Er det mulig å bruke visualisering av kun IP- adresser og port nummer til å oppdage nettverks angrep? Kan et slikt system forbedre bruken av allerede tilgjengelige mekanismer for oppdaging av angrep?
Visualiserings systemet Utviklet i Java Bruker tcpdump til å fange data. Gjør bruk av små mengder data. Prøver å vise forandringer over tid i et nettverk.
Datasettet Lincoln Laboratory Scenario (DDoS) 1.0 Utviklet for DARPA. Bruker flere angrepsmetoder. Ender i et DDoS angrep.
Resultater Systemet kunne oppdage noen typer angrep. Angrep som brukte få pakker for å bli utført var vanskelig å oppdage.
Konklusjon Visualisering av IP-adresser og port nummer kan brukes for å oppdage noen typer angrep. Systemet strekte ikke til ved angrep som genererte lite støy på nettverket. Visualiserings systemer kan brukes for å forbedre bruken av andre sikkerhets systemer.
Opponent og spørsmål