Μελέτη Της Επίδρασης Δειγματοληψίας Στη Διαδικασία Ανίχνευσης Ανωμαλιών Στο Διαδίκτυο

Abstract

Στα πλαίσια της παρούσας διδακτορικής διατριβής γίνεται μελέτη της επίδρασης της δειγματοληψίας πάνω στο πεδίο της ανίχνευσης ανωμαλιών στο περιβάλλον του Διαδικτύου. Η ερευνητική προσπάθεια σχετικά με την δειγματοληψία που έχει γίνει μέχρι σήμερα αφορά γενικές διαχειριστικές εφαρμογές σε ένα δίκτυο και εστιάζει κυρίως στη μελέτη διάφορων στατιστικών στοιχείων κίνησης όπως είναι η κατανομή του μεγέθους των ροών πακέτων, του μέσου μήκους ροής, του συνολικού αριθμού ροών, κτλ. σε ένα δείγμα δεδομένων κίνησης δικτύου. Στην παρούσα διατριβή προτείνεται και αναλύεται μια μεθοδολογία δειγματοληψίας κατάλληλη για εφαρμογή στο πεδίο της ανίχνευσης ανωμαλιών στο περιβάλλον του Διαδικτύου. Η ιδέα της συγκεκριμένης δειγματοληπτικής μεθόδου βασίζεται στην παρατήρηση ότι οι περισσότερες από τις ανωμαλίες του δικτύου προκαλούνται από μικρές ροές (με μικρό αριθμό πακέτων). Η προτεινόμενη μέθοδος ονομάζεται «Επιλεκτική Δειγματοληψία» και εστιάζει στην δυναμική και προνομιακή επιλογή των μικρών ροών (σε πακέτα) στις οποίες και παρουσιάζονται ανωμαλίες όπως είναι οι επιθέσεις άρνησης υπηρεσίας (DDoS attacks) και οι αυτοδιαδιδόμενοι ιοί (worm propagation). Επιπρόσθετα, προτείνουμε και αναλύουμε μια μέθοδο δειγματοληψίας δύο σταδίων, συνδυάζοντας κατάλληλα τη δειγματοληψία ροών και πακέτων, και κάνοντας χρήση της «Επιλεκτικής Δειγματοληψίας». Τα αποτελέσματα καταδεικνύουν ότι η προτεινόμενη προσέγγιση βελτιώνει σε μεγάλο βαθμό την αποτελεσματικότητα της ανίχνευσης ανωμαλιών, ενώ συγχρόνως μειώνει τον αριθμό των επιλεγέντων δεδομένων. Στη συνέχεια, γίνεται μελέτη της επίδρασης «Ευφυών Δειγματοληπτικών Μεθόδων» στην ανίχνευση και κατηγοριοποίηση διαφόρων ανωμαλιών δικτύου. Συγκεκριμένα, δείχνουμε πως μέσα από συγκεκριμένες δειγματοληπτικές μεθόδους επιτυγχάνουμε την «μεγέθυνση» των ανωμαλιών, και επομένως την αποτελεσματικότερη ανίχνευσή τους. Με αυτόν τον τρόπο, η δειγματοληψία από μία διαδικασία με απώλειες πληροφοριών από το σύνολο των δεδομένων, μετατρέπεται σε ένα ευεργετικό χαρακτηριστικό γνώρισμα στην περίπτωση της ανίχνευσης ανωμαλιών δικτύου, επιτρέποντας την ανίχνευση ανωμαλιών οι οποίες δεν θα ήταν ανιχνεύσιμες σε άλλη περίπτωση, προσδίδοντας μεγαλύτερη αποτελεσματικότητα στην ανίχνευση και κατηγοριοποίηση των ανωμαλιών δικτύου. Η αξιολόγηση των προτεινόμενων δειγματοληπτικών μεθόδων πραγματοποιείται με την εφαρμογή τους σε διαφορετικές τεχνικές ανίχνευσης ανωμαλιών σε πραγματικά δεδομένα δικτύου που έχουν συλλεχθεί από τη σύνδεση του δικτύου του Εθνικού Μετσόβιου Πολυτεχνείου (ΕΜΠ) με το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας (ΕΔΕΤ).