Frühwirt, P. (2013). Defence side reconnaissance: preliminary surveying of an attacker’s profile [Diploma Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/159717
IT Security; Intrusion detection; Machine learning
en
Abstract:
Die steigende Komplexität von Systemen und die dadurch resultierende Vergrößerung des Angriffsvektors macht es Angreifern leichter, in Systeme einzudringen. Als Verteidiger ist man oft dazu gezwungen, die Lage vorab schnell einschätzen und eine passende Verteidigungsstrategie entwickeln zu müssen. Die bekannteste Möglichkeit zur Absicherung der eigenen Netzwerke sind Intrusion Detection Systeme (IDS). IDS erkennen Angriffe anhand von vordefinierten, statischen Signaturen oder anhand von Verhalten von Benutzern. Bestehende System haben oft das Problem, dass sie auf Grund von Signaturen relativ unflexibel sind und dadurch von Angreifern leicht umgangen werden können. Diese Arbeit befasst sich mit den theoretischen Konzepten der Erkennung von Angreifern und erweitert bestehende Modelle durch Machine Learning Mechanismen. Durch Verbesserung und Kombination von statischen Signaturen mit einem Machine Learning Ansatz, konnte eine neue Technik zur Erkennung von Angriffen entwickelt werden, welche die Fehlerzahl bei der Erkennung stark reduziert. Unser Ansatz ermöglicht die Erstellung von Signaturen ohne Expertenkenntnissen durch manuelle Klassifikation von Netzwerkpaketen. Mit Hilfe von Machine Learning Techniken können neue Pakete anhand dieses Models erkannt werden. Gleichzeitig kann das bestehende Modell durch die neuen Pakete weiter verbessern werden.
The increasing complexity of systems and opens new attack vectors and therefor it is easier for attackers to break into systems. As a defender you are often forced to quickly assess the situation and develop an appropriate defense strategy. The most common way to protect their own networks are Intrusion Detection Systems (IDS). IDS detect attacks using predefined, static signatures, or based on the behavior of users. Existing systems are inflexible due to static and often stale signatures and thus can be easily bypassed by attackers. This work deals with the theoretical concepts of detection of attackers and extended existing attack mitigation approaches by machine learning mechanisms. By improving and combining static signatures with a machine learning approach, a new technique of attack detection called "Classification Voting" was developed, which reduces the number of false positive alerts in an production environment. Our approach allows an administrator to create signatures without dedicated domain knowledge by guided manual classification of detected network packets. Due to machine learning techniques, new packets can be further classified based on the generated model. At the same time the existing models of other signatures can be improved by adding new packets.
