search query: @keyword intrusion detection / total: 14
reference: 8 / 14
Author: | Harjama, Esko |
Title: | Investigation and Evaluation of Systems for Generating Automatic Alerts Using Honeynet Data |
Publication type: | Master's thesis |
Publication year: | 2005 |
Pages: | (11) + 69 s. + liitt. 17 Language: eng |
Department/School: | Sähkö- ja tietoliikennetekniikan osasto |
Main subject: | Tietoverkkotekniikka (S-38) |
Supervisor: | Ott, Jörg ; Urvoy-Keller, Guillaume |
Instructor: | Kvernevik, Idar |
OEVS: | Electronic archive copy is available via Aalto Thesis Database.
Instructions Reading digital theses in the closed network of the Aalto University Harald Herlin Learning CentreIn the closed network of Learning Centre you can read digital and digitized theses not available in the open network. The Learning Centre contact details and opening hours: https://learningcentre.aalto.fi/en/harald-herlin-learning-centre/ You can read theses on the Learning Centre customer computers, which are available on all floors.
Logging on to the customer computers
Opening a thesis
Reading the thesis
Printing the thesis
|
Location: | P1 Ark Aalto 7433 | Archive |
Keywords: | Honeypot Honeynet intrusion detection alerting log file monitoring alert correlation |
Abstract (fin): | Honeynet-järjestelmät ovat hyödyllisiä työkaluja tietoturvatutkijoille ja tietoverkkojen ylläpitäjille. Yhdessä hyökkäyksenhavaitsemisjärjestelmien, järjestelmälogien ja muun informaation avulla Honeynet-järjestelmiä voidaan käyttää tehokkaasti uuden tiedon hankkimiseksi Internet- hyökkäyksistä. Koska Honeynet-järjestelmien aktiivinen valvonta ei useinkaan ole mahdollista, on tarpeen tutkia parempia tapoja tärkeistä tapahtumista kertovien hälytysten vasteaikojen lyhentämiseksi. Tämän diplomityön tavoitteena oli tutkia ja arvioida järjestelmiä automaattisten hälytysten luomiseksi Honeynet-järjestelmästä saatavien tietojen avulla. Työssä tutkittiin eri työkaluja ja tapoja hälytysten luomiseksi. Parhaana ratkaisuna esivalittujen työkalujen joukosta valittiin ohjelma nimeltä Simple Event Correlator (SEC) luomaan hälytyksiä referenssiympäristössä. Tätä sovellusta voidaan käyttää tehokkaasti eri lähteiden valvontaan lokitiedostojen välityksellä. SEC:n säännöt perustuvat "regular expression" -tekniikkaan, jolla määritellään ehdot hälytysten luomiseksi. Eri tapoja luotujen hälytysten jatkokäsittelyyn on useita, hälytykset voidaan mm. ohjata toiselle sovellukselle tai scriptille edelleen käsiteltäväksi. Myös sähköpostia lähettävää sovellusta voidaan käyttää komentoriviltä, käyttäen SEC:stä lähetettyjä tietoja parametreinä. SEC:n toimintaa tukemaan valittiin sovellus nimeltä Pig Sentry, joka ilmoittaa uusista hälytyksistä sekä nopeasti kasvaneista hälytysluvuista. Valittua järjestelmää testattiin referenssiympäristössä ja testauksen tuloksia arvioitiin. Joukko sääntöjä kehitettiin hälytysten luomiseksi ja näitä sääntöjä parannettiin testitulosten perusteella. Tulosten perusteella järjestelmä täyttää sille asetetut kriteerit ja sitä voidaan käyttää tarkoitukseensa, eli hälytysten luomiseen Honeynet-järjestelmästä saatujen tietojen avulla. Tarkempien ja kattavampien hälytyksiin tarvittavien sääntöjen ja mallien luominen jätettiin jatkotutkimuksen aiheeksi. |
ED: | 2006-01-19 |
INSSI record number: 30520
+ add basket
INSSI