Ανίχνευση Επιθέσεων Με Την Μέθοδο Της Εντροπίας

Abstract

Το βασικό πρόβλημα του πεδίου της ασφάλειας των δικτύων υπολογιστών είναι η έγκαιρη ανίχνευση και αντιμετώπιση επιθέσεων σε ένα δίκτυο. Στην σύγχρονη εποχή οι κυβερνοεπιθέσεις αποτελούν όλο και πιο συχνό φαινόμενο με αποτέλεσμα να θέτουν σε κίνδυνο την ασφάλεια της πληροφορίας. Η έγκαιρη ανίχνευση των επιθέσεων κρίνεται ιδιαίτερης σημασίας. Στα πλαίσια αυτής της εργασίας θα εξετάσουμε την ανίχνευση τέτοιων επιθέσεων και πιο συγκεκριμένα των κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDOS). Το ερώτημα που εξετάζει η παρούσα έρευνα είναι κατά πόσον είναι εφικτή η ανίχνευση επιθέσεων άρνησης υπηρεσίας με την στατιστικομαθηματική μέθοδο της εντροπίας. Πιο συγκεκριμένα, με ποια παραμετροποίηση της, δηλαδή με ποια από τα χαρακτηριστικά (features) πακέτων ή ροών, που συλλέγονται κατά την παρακολούθηση της κίνησης εντός ενός δικτύου, επιτυγχάνεται αποδοτικότερη ανίχνευση των επιθέσεων DDOS. Ως αποδοτική ανίχνευση θεωρείται η ανίχνευση που καταρχάς εντοπίζει επιτυχώς την επίθεση και εν συνεχεία παρουσιάζει όσο το δυνατόν λιγότερες λανθασμένες ενδείξεις (false positives, false negatives). Η εφαρμογή της μεθόδου της εντροπίας υλοποιείται σε δείγματα δεδομένων που περιέχουν «ομαλή» κίνηση και «ανώμαλη» κίνηση άρνησης υπηρεσίας. Τέλος, επιχειρείται ο προσδιορισμός ενός δείκτη διάκρισης της κίνησης (classifier) στις παραπάνω δύο κατηγορίες.