Ευφυείς τεχνικές ανάλυσης επιθέσεων και ανώμαλης συμπεριφοράς συστημάτων, με χρήση sensors

Abstract

Η εσωτερική απειλή(insider threat) αποτελεί μια από τις σημαντικότερες απειλές απώλειας δεδομένων / πληροφοριών από ένα εταιρικό δίκτυο. Τα περιστατικά αυξάνονται όλο και περισσότερο στις μέρες μας παρόλο που αρκετά αποκρύπτονται καθαρά για σκοπούς αποφυγής μείωσης της φήμης και αξιοπιστίας της εταιρίας. Η παρούσα μεταπτυχιακή διατριβή κινείται πάνω σε δύο κύριους άξονες. Ο πρώτος αφορά το ποια δεδομένα θα πρέπει να συλλέξουμε από ένα δίκτυο αποτελούμενο από υπολογιστές με λειτουργικό σύστημα Windows και ο δεύτερος άξονας είναι η αξιοπιστία των αποτελεσμάτων που μπορεί να παραχθούν από ένα αλγόριθμο μη-επιτηρούμενης μάθησης ο οποίος τροφοδοτείται από τα δεδομένα που έχουν συλλεγεί. Το λειτουργικό Windows, σύμφωνα με στατιστικές έρευνες [1], [2], [3]κατέχει το μεγαλύτερο ποσοστό μεριδίου της αγοράς υπολογιστών. Επίσης η απουσία πλήθους επιστημονικών ερευνών που αφορούν την ανίχνευση εσωτερικών απειλών σε περιβάλλον Windows αποτελούν τους κυριότερους παράγοντες της επιλογής του συγκεκριμένου λειτουργικού για την παρούσα μεταπτυχιακή διατριβή. Επιπλέον στα πλαίσια της παρούσας μεταπτυχιακής διατριβής αναπτύχθηκε ένα σύστημα ανίχνευσης εσωτερικών απειλών. Το σύστημα κλήθηκε να ανιχνεύσει την ύπαρξή ιών κατηγορίας Trojan, Bot, DoS, DDoS και RAT σε ένα εταιρικό δίκτυο. Τα αποτελέσματα μας δείχνουν ότι το σύστημα μας μπορεί να βοηθήσει σημαντικά στην ανίχνευση εσωτερικών απειλών, ανεβάζοντας ακόμη λίγο το πήχη της ασφάλειας στις εταιρίες.