haku: @keyword intrusion detection / yhteensä: 14
viite: 8 / 14
| Tekijä: | Harjama, Esko |
| Työn nimi: | Investigation and Evaluation of Systems for Generating Automatic Alerts Using Honeynet Data |
| Julkaisutyyppi: | Diplomityö |
| Julkaisuvuosi: | 2005 |
| Sivut: | (11) + 69 s. + liitt. 17 Kieli: eng |
| Koulu/Laitos/Osasto: | Sähkö- ja tietoliikennetekniikan osasto |
| Oppiaine: | Tietoverkkotekniikka (S-38) |
| Valvoja: | Ott, Jörg ; Urvoy-Keller, Guillaume |
| Ohjaaja: | Kvernevik, Idar |
| OEVS: | Sähköinen arkistokappale on luettavissa Aalto Thesis Databasen kautta.
Ohje Digitaalisten opinnäytteiden lukeminen Aalto-yliopiston Harald Herlin -oppimiskeskuksen suljetussa verkossaOppimiskeskuksen suljetussa verkossa voi lukea sellaisia digitaalisia ja digitoituja opinnäytteitä, joille ei ole saatu julkaisulupaa avoimessa verkossa. Oppimiskeskuksen yhteystiedot ja aukioloajat: https://learningcentre.aalto.fi/fi/harald-herlin-oppimiskeskus/ Opinnäytteitä voi lukea Oppimiskeskuksen asiakaskoneilla, joita löytyy kaikista kerroksista.
Kirjautuminen asiakaskoneille
Opinnäytteen avaaminen
Opinnäytteen lukeminen
Opinnäytteen tulostus
|
| Sijainti: | P1 Ark Aalto 7433 | Arkisto |
| Avainsanat: | Honeypot Honeynet intrusion detection alerting log file monitoring alert correlation |
| Tiivistelmä (fin): | Honeynet-järjestelmät ovat hyödyllisiä työkaluja tietoturvatutkijoille ja tietoverkkojen ylläpitäjille. Yhdessä hyökkäyksenhavaitsemisjärjestelmien, järjestelmälogien ja muun informaation avulla Honeynet-järjestelmiä voidaan käyttää tehokkaasti uuden tiedon hankkimiseksi Internet- hyökkäyksistä. Koska Honeynet-järjestelmien aktiivinen valvonta ei useinkaan ole mahdollista, on tarpeen tutkia parempia tapoja tärkeistä tapahtumista kertovien hälytysten vasteaikojen lyhentämiseksi. Tämän diplomityön tavoitteena oli tutkia ja arvioida järjestelmiä automaattisten hälytysten luomiseksi Honeynet-järjestelmästä saatavien tietojen avulla. Työssä tutkittiin eri työkaluja ja tapoja hälytysten luomiseksi. Parhaana ratkaisuna esivalittujen työkalujen joukosta valittiin ohjelma nimeltä Simple Event Correlator (SEC) luomaan hälytyksiä referenssiympäristössä. Tätä sovellusta voidaan käyttää tehokkaasti eri lähteiden valvontaan lokitiedostojen välityksellä. SEC:n säännöt perustuvat "regular expression" -tekniikkaan, jolla määritellään ehdot hälytysten luomiseksi. Eri tapoja luotujen hälytysten jatkokäsittelyyn on useita, hälytykset voidaan mm. ohjata toiselle sovellukselle tai scriptille edelleen käsiteltäväksi. Myös sähköpostia lähettävää sovellusta voidaan käyttää komentoriviltä, käyttäen SEC:stä lähetettyjä tietoja parametreinä. SEC:n toimintaa tukemaan valittiin sovellus nimeltä Pig Sentry, joka ilmoittaa uusista hälytyksistä sekä nopeasti kasvaneista hälytysluvuista. Valittua järjestelmää testattiin referenssiympäristössä ja testauksen tuloksia arvioitiin. Joukko sääntöjä kehitettiin hälytysten luomiseksi ja näitä sääntöjä parannettiin testitulosten perusteella. Tulosten perusteella järjestelmä täyttää sille asetetut kriteerit ja sitä voidaan käyttää tarkoitukseensa, eli hälytysten luomiseen Honeynet-järjestelmästä saatujen tietojen avulla. Tarkempien ja kattavampien hälytyksiin tarvittavien sääntöjen ja mallien luominen jätettiin jatkotutkimuksen aiheeksi. |
| ED: | 2006-01-19 |
INSSI tietueen numero: 30520
+ lisää koriin
INSSI