search query: @keyword IDS / total: 11
results-list
reference: 7 / 11
« previous | next »
Author:Pänkälä, Janne
Title:Intrusion detection and prevention in Linux host systems
Hyökkäysten havaitseminen ja estäminen Linux-järjestelmissä
Publication type:Master's thesis
Publication year:2010
Pages:x + 62      Language:   eng
Department/School:Elektroniikan, tietoliikenteen ja automaation tiedekunta
Degree programme:Tietotekniikan tutkinto-ohjelma
Main subject:Ohjelmistotekniikka   (T-106)
Supervisor:Soisalon-Soininen, Eljas
Instructor:
OEVS:
Electronic archive copy is available via Aalto Thesis Database.
Instructions
close

Reading digital theses in the closed network of the Aalto University Harald Herlin Learning Centre

In the closed network of Learning Centre you can read digital and digitized theses not available in the open network.

The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/

You can read theses on the Learning Centre customer computers, which are available on all floors.

Logging on to the customer computers

  • Aalto University staff members log on to the customer computer using the Aalto username and password.
  • Other customers log on using a shared username and password.

Opening a thesis

  • On the desktop of the customer computers, you will find an icon titled:

    Aalto Thesis Database

  • Click on the icon to search for and open the thesis you are looking for from Aaltodoc database. You can find the thesis file by clicking the link on the OEV or OEVS field.

Reading the thesis

  • You can either print the thesis or read it on the customer computer screen.
  • You cannot save the thesis file on a flash drive or email it.
  • You cannot copy text or images from the file.
  • You cannot edit the file.

Printing the thesis

  • You can print the thesis for your personal study or research use.
  • Aalto University students and staff members may print black-and-white prints on the PrintingPoint devices when using the computer with personal Aalto username and password. Color printing is possible using the printer u90203-psc3, which is located near the customer service. Color printing is subject to a charge to Aalto University students and staff members.
  • Other customers can use the printer u90203-psc3. All printing is subject to a charge to non-University members.
Location:P1 Ark Aalto  1319   | Archive
Keywords:intrusion detection
IDS
intrusion prevention
IPS
computer security
Linux
hyökkäysten havaitseminen
hyökkäysten torjunta
tietoturva
Abstract (eng): Computers have become more commonplace in every level of society, and attacks directed towards them are on the rise.
Gaining remote control of a computer has also opened new ways to benefit financially.
If you can control one or more machines on the Internet, you can fairly easily access confidential information stored on those computers.
At the same time, already compromised hosts can be used as a vehicle to infect other vulnerable systems, and so effectively increase the amount of hijacked machines - this is also commonly referred to as a botnet.

Behaviour of malware has changed over time.
In the past a virus was typically written primarily to spread, and in some cases delete information or render the machine unusable on a certain date.
The trend has now moved towards stealth malware, where the purpose is not to inflict any damage to the owner of the computer, but actually aim for a situation where the malware exist in the machine without any user noticing that someone is able to control the machine remotely.
The motivation behind intrusions is almost always money.
By obtaining users credentials to a bank or a web shop, without anyone noticing it, goods can be purchased under the identity of another person.
If access to a corporate network is gained, the confidential financial or research information found therein, can be used: to blackmail the company, use insider information to trade on the stock exchange or simply sell it onwards.

This thesis will describe attacks directed to Linux systems from the viewpoint of a local user, and discuss how intrusions can be detected and prevented either proactively, in real-time or as soon as possible after an intrusion has occurred.

First we consider a few different security models that are used in computers currently, and point out a few flaws in them.
These flaws make it difficult to build a secure system.
Next some known attack methods that are used in intrusion scenarios are described on a general level.
We then concentrate on intrusion detection and different prevention methods.
Finally we introduce an implementation that aims to enhance security in a Linux system.

The conclusions of the thesis are twofold.
A secure system requires mandatory access control and having intrusion detection system as an integral part of the system beneficial.
Abstract (fin): Tietokoneiden yleistyessä yhteiskunnan jokaisella alueella ovat myös hyökkäykset niitä kohtaan kasvaneet huomattavasti, kun niiden hallinnasta on voinut alkaa hyötymään taloudellisesti.
Jos pystyy saamaan hallintaansa yhden tai useamman koneen internetistä voi päästä käsiksi ihmisten tai organisaatioiden luottamuksellisiin tietoihin.
Samalla voi ohjata koneet etsimään lisää haavoittuvia koneita ja kasvattaa siten tehostetusti käskytettävien koneiden määrää.

Vielä joitain vuosia sitten virukset oli enimmäkseen kirjoitettu ensisijaisesti leviämään ja sen jälkeen tietyn ajan kuluttua tuhoamaan koneelta tietoja, tai saamaan koneen pysyvästi tilaan jossa sitä ei enää pystynyt käyttämään.
Nykyään yhä harvemmat haittaohjelmat pyrkivät siihen, että käyttäjää ei suoranaisesti vahingoiteta tuhoamalla tietoja.
Päämääränä on, ettei käyttäjä edes huomaa koneensa olevan jonkun toisen hallittavissa verkon ylitse.
Valtaosissa tunkeutumisyrityksissä on motivaationa raha.
Mikäli kykenee saamaan selville ihmisten tunnukset verkkopankkiin tai verkkokauppoihin ilman että sitä huomataan, voi tilata tavaraa toisen laskuun.
Päästessä sisään yritysten verkkoihin voi pyrkiä hyötymään yritysten taloudellisista tai tutkimuksellisista tiedoista, sijoittamalla varmoihin kohteisiin pörssissä tai myymällä tutkimustietoja eteenpäin.

Tässä lopputyössä esitellään Linux -järjestelmiin kohdentuvia hyökkäyksiä paikallisen käyttäjän näkökulmasta sekä sitä miten niitä voidaan havaita ja torjua joko ennalta, reaaliajassa tai mahdollisimman nopeasti hyökkäyksen onnistuttua.

Aluksi käsitellään muutamia erilaisia turvallisuusmalleja joita tietokoneissa on nykyään käytössä sekä tuodaan esille joidenkin mallien selviä suunnittelupuutteita.
Puutteet johtavat siihen että tietyille tietoturvamalleille perustuvien käyttöjärjestelmien päälle on mahdotonta rakentaa turvallista järjestelmää.
Seuraavaksi kuvataan yleisellä tasolla eräitä tunnettuja tapoja joita käytetään hyökkäyksiin joiden päämääränä on saada tietokone ulkopuolisen hallintaan.
Tämän jälkeen keskitytään hyökkäysten havainnointiin ja erilaisiin reaaliaikaisiin torjuntamenetelmiin.
Lopuksi esitellään eräs toteutus joka pyrkii Linux -järjestelmän tietoturvan parantamiseen.

Lopputyössä päädytään seuraaviin päätelmiin.
Turvatun järjestelmän toteuttamiseen vaaditaan määrätty pääsynhallinta ja hyökkäysten havaitsemisjärjestelmä osana systeemiä tukee sitä.
ED:2010-07-21
INSSI record number: 40040
+ add basket
« previous | next »
INSSI