| dc.contributor.advisor | Αθανασόπουλος, Ηλίας | |
| dc.contributor.author | Καραμούζης, Δημήτριος | |
| dc.contributor.other | Karamouzis, Demetrios | |
| dc.coverage.spatial | Κύπρος | el_GR |
| dc.date.accessioned | 2017-07-27 | |
| dc.date.accessioned | 2017-07-27T09:30:20Z | |
| dc.date.available | 2017-07-27T09:30:20Z | |
| dc.date.copyright | 2017-06 | |
| dc.date.issued | 2017-07-27 | |
| dc.identifier.other | ΠΕΣ/2017/00266 | el_GR |
| dc.identifier.uri | http://hdl.handle.net/11128/2935 | |
| dc.description | Περιέχει βιβλιογραφικές παραπομπές. | el_GR |
| dc.description.abstract | Η αύξηση της ανάπτυξης κακόβουλου λογισμικού και επιθέσεων και η συνεχής ανάγκη για προστασία της πληροφορίας οδήγησε την βιομηχανία της πληροφορικής στην ανάπτυξη συστημάτων και λογισμικού , ικανών για την ανίχνευση εισβολών.
Ενώ πρωταρχικός σκοπός των συστημάτων ανίχνευσης εισβολών είναι η προστασία του δικτύου από εξωτερικές επιθέσεις , είναι κοινώς αποδεκτό ότι οι εισβολές δεν πραγματοποιούνται μόνο σε υπηρεσίες που είναι εκτεθειμένες στο διαδίκτυο , αλλά έχουν επεκταθεί και σε επιθέσεις που ξεκινάνε από το εσωτερικό δίκτυο. Τα συστήματα ανίχνευσης εισβολών έρχονται είτε με την μορφή συσκευής είτε με τη μορφή λογισμικού , το οποίο εγκαθίσταται σε υπάρχων λειτουργικό σύστημα.
Το σύστημα ανίχνευσης εισβολών που επιλέχτηκε να εξεταστεί σε αυτήν την μεταπτυχιακή διατριβή είναι το Suricata , έκδοση 3.1.3. Το Suricata εγκαταστάθηκε σε εικονική μηχανή, χρησιμοποιώντας την πλατφόρμα VMware Workstation 12 με λειτουργικό σύστημα Ubuntu Server 16.10.
Με σκοπό την μέτρηση της απόδοσης του Suricata στο εσωτερικό δίκτυο αναπτύχθηκαν 4 διαφορετικά σενάρια σε γλώσσα python, με τα οποία αναπαράχθηκε ένας ικανός αριθμός επιτυχημένων και αποτυχημένων αιτήσεων TCP κίνησης , χρησιμοποιώντας τα πρωτόκολλα HTTP, FTP & MySQL.
Η διατριβή ανέδειξε ότι το Suricata δεν επιβαρύνει την απόδοση του δικτύου ενώ η ανάγκη του σε υπολογιστική ισχύ περιορίστηκε σε χαμηλά έως μέτρια επίπεδα.
Μικρή καθυστέρηση και αυξημένη ανάγκη σε επεξεργαστική ισχύ παρατηρήθηκε μόνο σε περιπτώσεις μεγάλου αριθμού αποτυχημένων αιτήσεων , οι οποίες με την σειρά τους δημιούργησαν και μεγαλύτερο αριθμό εντοπισμένων κινδύνων. Το Suricata λειτούργησε αποτελεσματικά και εντόπισε σημαντικούς κινδύνους όπως επίθεση ωμής βίας , σάρωση εφαρμογής ιστού , παραβίαση εταιρικής πολιτικής κ.α.
Μεγάλος αριθμός κινδύνων που εντοπίστηκαν και καταγράφηκαν από το Suricata , αναφέρονταν στα μηνύματα 3-way TCP handshake και οφείλονταν στην τεχνολογία Receive side scaling των σύγχρονων καρτών δικτύου.
Η εγκατάσταση και παραμετροποίηση ενός συστήματος IDS τύπου Suricata που έρχεται με μορφή λογισμικού δεν είναι εύκολη και απαιτεί εξειδικευμένη γνώση σε επίπεδο δικτύων , λειτουργικών συστημάτων , πρωτοκόλλων και τεχνολογιών.
Το Suricata αποδείχτηκε ικανό στην εποπτεία της κίνησης που υποβλήθηκε , παρόλα αυτά οι πολλές λειτουργίες και παραμέτροι που υποστηρίζει ενδέχεται να αποτελέσουν αντικείμενο μελλοντικών ερευνών. | el_GR |
| dc.format.extent | viii, 109 σ. 30 εκ. | el_GR |
| dc.language | gr | el_GR |
| dc.language.iso | gr | el_GR |
| dc.rights | info:eu-repo/semantics/closedAccess | el_GR |
| dc.subject | Συστήματα ανίχνευσης και πρόληψης επιθέσεων | el_GR |
| dc.subject | Detection and prevention systems | el_GR |
| dc.title | Performance evaluation of extrusion detection systems | el_GR |
| dc.type | Μεταπτυχιακή Διατριβή | el_GR |
| dc.description.translatedabstract | Increase in developing malicious software , attacks and the constant need for data protection has lead the computer industry to start developing systems and software capable for detecting intrusions.
While the primary goal of intrusion detection systems is to protect the network of attacks coming from the outside , it is widely acceptable that intrusions are not only perfοrmed on services exposed to the Internet , but have also expanded to attacks originating from the internal network. Intrusion detection systems can be either appliances or software that can be installed on an existing operating system.
Intrusion detection system chosen to be examined in this thesis is Suricata version 3.1.3. It is an open-source software capable of monitoring the network traffic while its detection engine is based on signature matching. Suricata was installed on a virtual machine running Ubuntu Server 16.10 as operating system using the VMware Worstation 12 platform.
Aiming to measure Suricata performance on the internal network 4 different scripts were developed using Python, that reproduce a capable amount of successful and unsuccessful requests of TCP traffic using HTTP, FTP and MySQL protocols.
Thesis shown that Suricata does not cause a burden on the networks’ performance
while its need in processing power was limited to low up to medium level.
Small delay and increased need in processing power was observed only in cases of large number of failed requests which alongside created a large number of detected alerts. Suricata operated effectively and detected important alerts like bruteforce attack, web application scan, corporate policy violation etc.
A large number of alerts that were detected and recorded by Suricata , referred to 3-way TCP handshake messages and were caused by RSS technology of modern network adapters.
Ιnstalling and configuring a software IDS system like Suricata is not easy and requires specialized knowledge of networks , operating systems , protocols and technologies.
Suricata proved efficient in monitoring the traffic that was subjected to it , nevertheless the large number of functions and parameters that is supports may be a subject of future researches. | el_GR |
| dc.format.type | pdf | el_GR |
