Options
Performance evaluation of extrusion detection systems
Author(s)
Καραμούζης, Δημήτριος
Date Issued
2017-07-27
Abstract
Η αύξηση της ανάπτυξης κακόβουλου λογισμικού και επιθέσεων και η συνεχής ανάγκη για προστασία της πληροφορίας οδήγησε την βιομηχανία της πληροφορικής στην ανάπτυξη συστημάτων και λογισμικού , ικανών για την ανίχνευση εισβολών.
Ενώ πρωταρχικός σκοπός των συστημάτων ανίχνευσης εισβολών είναι η προστασία του δικτύου από εξωτερικές επιθέσεις , είναι κοινώς αποδεκτό ότι οι εισβολές δεν πραγματοποιούνται μόνο σε υπηρεσίες που είναι εκτεθειμένες στο διαδίκτυο , αλλά έχουν επεκταθεί και σε επιθέσεις που ξεκινάνε από το εσωτερικό δίκτυο. Τα συστήματα ανίχνευσης εισβολών έρχονται είτε με την μορφή συσκευής είτε με τη μορφή λογισμικού , το οποίο εγκαθίσταται σε υπάρχων λειτουργικό σύστημα.
Το σύστημα ανίχνευσης εισβολών που επιλέχτηκε να εξεταστεί σε αυτήν την μεταπτυχιακή διατριβή είναι το Suricata , έκδοση 3.1.3. Το Suricata εγκαταστάθηκε σε εικονική μηχανή, χρησιμοποιώντας την πλατφόρμα VMware Workstation 12 με λειτουργικό σύστημα Ubuntu Server 16.10.
Με σκοπό την μέτρηση της απόδοσης του Suricata στο εσωτερικό δίκτυο αναπτύχθηκαν 4 διαφορετικά σενάρια σε γλώσσα python, με τα οποία αναπαράχθηκε ένας ικανός αριθμός επιτυχημένων και αποτυχημένων αιτήσεων TCP κίνησης , χρησιμοποιώντας τα πρωτόκολλα HTTP, FTP & MySQL.
Η διατριβή ανέδειξε ότι το Suricata δεν επιβαρύνει την απόδοση του δικτύου ενώ η ανάγκη του σε υπολογιστική ισχύ περιορίστηκε σε χαμηλά έως μέτρια επίπεδα.
Μικρή καθυστέρηση και αυξημένη ανάγκη σε επεξεργαστική ισχύ παρατηρήθηκε μόνο σε περιπτώσεις μεγάλου αριθμού αποτυχημένων αιτήσεων , οι οποίες με την σειρά τους δημιούργησαν και μεγαλύτερο αριθμό εντοπισμένων κινδύνων. Το Suricata λειτούργησε αποτελεσματικά και εντόπισε σημαντικούς κινδύνους όπως επίθεση ωμής βίας , σάρωση εφαρμογής ιστού , παραβίαση εταιρικής πολιτικής κ.α.
Μεγάλος αριθμός κινδύνων που εντοπίστηκαν και καταγράφηκαν από το Suricata , αναφέρονταν στα μηνύματα 3-way TCP handshake και οφείλονταν στην τεχνολογία Receive side scaling των σύγχρονων καρτών δικτύου.
Η εγκατάσταση και παραμετροποίηση ενός συστήματος IDS τύπου Suricata που έρχεται με μορφή λογισμικού δεν είναι εύκολη και απαιτεί εξειδικευμένη γνώση σε επίπεδο δικτύων , λειτουργικών συστημάτων , πρωτοκόλλων και τεχνολογιών.
Το Suricata αποδείχτηκε ικανό στην εποπτεία της κίνησης που υποβλήθηκε , παρόλα αυτά οι πολλές λειτουργίες και παραμέτροι που υποστηρίζει ενδέχεται να αποτελέσουν αντικείμενο μελλοντικών ερευνών.
Ενώ πρωταρχικός σκοπός των συστημάτων ανίχνευσης εισβολών είναι η προστασία του δικτύου από εξωτερικές επιθέσεις , είναι κοινώς αποδεκτό ότι οι εισβολές δεν πραγματοποιούνται μόνο σε υπηρεσίες που είναι εκτεθειμένες στο διαδίκτυο , αλλά έχουν επεκταθεί και σε επιθέσεις που ξεκινάνε από το εσωτερικό δίκτυο. Τα συστήματα ανίχνευσης εισβολών έρχονται είτε με την μορφή συσκευής είτε με τη μορφή λογισμικού , το οποίο εγκαθίσταται σε υπάρχων λειτουργικό σύστημα.
Το σύστημα ανίχνευσης εισβολών που επιλέχτηκε να εξεταστεί σε αυτήν την μεταπτυχιακή διατριβή είναι το Suricata , έκδοση 3.1.3. Το Suricata εγκαταστάθηκε σε εικονική μηχανή, χρησιμοποιώντας την πλατφόρμα VMware Workstation 12 με λειτουργικό σύστημα Ubuntu Server 16.10.
Με σκοπό την μέτρηση της απόδοσης του Suricata στο εσωτερικό δίκτυο αναπτύχθηκαν 4 διαφορετικά σενάρια σε γλώσσα python, με τα οποία αναπαράχθηκε ένας ικανός αριθμός επιτυχημένων και αποτυχημένων αιτήσεων TCP κίνησης , χρησιμοποιώντας τα πρωτόκολλα HTTP, FTP & MySQL.
Η διατριβή ανέδειξε ότι το Suricata δεν επιβαρύνει την απόδοση του δικτύου ενώ η ανάγκη του σε υπολογιστική ισχύ περιορίστηκε σε χαμηλά έως μέτρια επίπεδα.
Μικρή καθυστέρηση και αυξημένη ανάγκη σε επεξεργαστική ισχύ παρατηρήθηκε μόνο σε περιπτώσεις μεγάλου αριθμού αποτυχημένων αιτήσεων , οι οποίες με την σειρά τους δημιούργησαν και μεγαλύτερο αριθμό εντοπισμένων κινδύνων. Το Suricata λειτούργησε αποτελεσματικά και εντόπισε σημαντικούς κινδύνους όπως επίθεση ωμής βίας , σάρωση εφαρμογής ιστού , παραβίαση εταιρικής πολιτικής κ.α.
Μεγάλος αριθμός κινδύνων που εντοπίστηκαν και καταγράφηκαν από το Suricata , αναφέρονταν στα μηνύματα 3-way TCP handshake και οφείλονταν στην τεχνολογία Receive side scaling των σύγχρονων καρτών δικτύου.
Η εγκατάσταση και παραμετροποίηση ενός συστήματος IDS τύπου Suricata που έρχεται με μορφή λογισμικού δεν είναι εύκολη και απαιτεί εξειδικευμένη γνώση σε επίπεδο δικτύων , λειτουργικών συστημάτων , πρωτοκόλλων και τεχνολογιών.
Το Suricata αποδείχτηκε ικανό στην εποπτεία της κίνησης που υποβλήθηκε , παρόλα αυτά οι πολλές λειτουργίες και παραμέτροι που υποστηρίζει ενδέχεται να αποτελέσουν αντικείμενο μελλοντικών ερευνών.
Publisher
Ανοικτό Πανεπιστήμιο Κύπρου
Format
viii, 109 σ. 30 εκ.
File(s)
Loading...
Name
ΠΕΣ-2017-00266.pdf
Size
2.11 MB
Format
Adobe PDF
Checksum
(MD5):625d71f47f9b9a4fac647c1424859796