Jag accepterar att kakor lagras på min dator

Läs mer

Detektering av IT-attacker - Intrångsdetekteringssystem och systemadministratörens roll.

Detektering av IT-attacker - Intrångsdetekteringssystem och systemadministratörens roll. Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Teodor Sommestad, Kristoffer Lundholm
Ort: Linköping
Sidor: 40
Utgivningsår: 2012
Publiceringsdatum: 2012-05-15
Rapportnummer: (FOI-R--3419--SE)
Nyckelord IDS, Intrångsdetektering, Intrångsdetekteringssystem, IT-attacker, IT-försvar, Systemadministratör, Experiment
Keywords IDS, Intrusion detection, Intrusion detection system, IT attack, IT, defense, Experiment
Sammanfattning Intrångsdetekteringssystem övervakar datorsystem i syfte att upptäcka attacker som görs mot dem. I driftsatta installationer genereras vanligtvis alarm för misstänkta händelser, och en systemadministratör inspekterar denna alarmlista för att skapa sig en överblick över annalkande hot och pågående attacker. Ett problem med dagens intrångsdetekteringssystem är den stora mängd falsklarm som de genererar. Erfarenheter från praktisk användning av intrångsdetekteringssystem pekar på att systemadministratören har en viktig roll att spela när intrångsdetekteringssystem används. Erfarenheten är att systemadministratören behövs för att filtrera bort falsklarm genom att korrelera olika alarm och tolka dem med hjälp sin expertkunskap. Denna rapport beskriver ett experiment som gjorts under 2011 med syftena att (1) undersöka detektionsförmågan i en intrångsdetekteringslösning som motsvarar industristandard och (2) att analysera systemadministratörens roll i detektionsprocessen. Experimentet bekräftar tidigare forskning som pekat på problem med en stor andel falsklarm. Experimentet visar också att andelen falsklarm kan minskas utan att i större uträckning påverka andelen upptäckta attacker om alarmen filtreras baserat på expertkunskap om det attackerade datornätet, datornät i allmänhet, attacker i allmänhet och hur hotbilden ser ut.
Abstract Intrusion detection systems monitor computer systems in order to detect attacks performed against them. In operational installations they typically produce alarms for suspicions events, and a system administrator inspects these alarms to obtain situational awareness concerning immediate threats and ongoing attacks. An issue with contemporary intrusion detection systems is the large amount of false alarms they produce. Experiences from practical applications of intrusion detection systems point to the important role that the system administrator plays. The experience is that the administrator is needed to filter the alarm-list by correlating alarms and interpret them with the help of his/her expert judgment. This report describes an experiment performed in 2011 with the purposes to (1) investigate the detection rate of "state-of-practice" solutions, and (2) to analyze the role of the system administrator in the detection process. The experiment confirms earlier results in the field concerning a high percentage of false alarms. The experiment also shows that the percentage of false alarms can be decreased without a great impact on the detection rate if the alarm-list is filtered using expertise concerning: the attacked computer network, computer networks in general, attacks in general, and expertise concerning the existing threat environment.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182