Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen Harri Mäkelä
Aiheet Yleiset asiat ja tutkimuskysymys Johdanto Web-palvelun tietoturvaan Sisällysluettelo Teoria Testausympäristö Mitä seuraavaksi
Yleistä Ohjaajat: Timo Hämäläinen & Antti Juvonen Tehty ~33 %: Kirjoittaminen & testausympäristö aloitettu, materiaalia etsitty Konstruktiivinen tutkimus Aikaisemmat pro gradu -tutkielmat: Poikkeavuuksien havaitseminen WWW-palvelinlokidatasta Web-palvelut ja niihin kohdistuvan poikkeavan tietoliikenteen analyysi käyttäen diffuusiokuvausmenetelmää Aihe varsin tutkittu, joten materiaalia paljon saatavilla. Mikä on oma näkökulma? Motivaatio: Uusi aihepiiri itselle, mahdollisuus kokeilla eri tekniikoita kokeellisessa osiossa
Tutkimuskysymys Web-palvelut ja niihin kohdistuneiden poikkeavuuksien simulointi ja tunnistaminen testiympäristössä Mitä voidaan havaita testiympäristössä (mistä, miksi, millä)? Mitä ei voida havaita? Kuinka luotettavasti poikkeavuudet havaitaan (algoritmi/testiympäristö)? Bonus: Algoritmien soveltuvuus reaaliaikaiseen järjestelmän kehittämiseen Hakusanat: network security, intrusion detection, anomaly detection, zero day attack, log analysis, feature extraction, real time data mining techniques, jne
Johdanto Web-palvelun tietoturvaan Tyypillinen hyökkäys web-palveluun: 1. Hyökkääjä ostaa exploit kitin (Blackhole, Redkit ) 2. Hyökkääjä pystyttää exploit kitille hyökkäyspalvelimen 3. Hyökkääjä ostaa ja säätää varsinaisen hyökkäysohjelman, hyötykuorman (payloadin) 4. Hyökkääjä murtaa nettipalvelimia 5. Hyökkääjä ohjaa murrettujen palvelimien kävijöitä (esim. iframe-injektiolla) exploit kittiin 6. Hyökkääjä seuraa operaation tuloksia exploit kitin analytiikasta Kohdistettu isku eli APT (engl. Advanced Persistent Threat) Hyökkäyksen vaiheet: Tarkkailuvaihe, toimintavaihe, tavoitevaihe, naamiointivaihe Hyökkääjät: Rikolliset, haktivistit, valtiolliset toimijat
Sisällysluettelo tiivistetysti 1. Johdanto 2. Web-palvelun tietoturva 3. Tunkeilijan havaitsemisjärjestelmä (IDS) 3.1 Historia 3.2 Taksonomia 3.3 Mistä anomalioita voidaan havaita 3.3.1 Lokipohjainen järjestelmä 3.3.2 Liikenteen seurantaan perustuva järjestelmä 3.3.3 Käyttöjärjestelmäkutsujen seurantaan perustuva järjestelmä 3.4 Anomalioiden havainnoinnin algoritmit 4. Anomaliapohjaisen järjestelmän haasteet 4.1 Reaaliaikaisuus 4.2 Tutkittavat datat 4.3 Tarkkuus 4.4 Piirteiden erottaminen 5. Testiympäristö poikkeavuuksien havaitsemiseksi 5.1 Aiheeseen liittyvä tutkimus 5.2 Tutkimuksessa käytetyt menetelmät 5.3 Tutkimus 5.4 Johtopäätökset 5.5 Yhteenveto
Teoria (IDS) IDS-järjestelmien jaottelu IDS (Intrusion Detection System) pyrkii tunnistamaan hyökkääjän ja suorittamaan hälytyksen. Yleinen IDS-arkkitehtuuri Algoritmien jaottelu Tyypilliset tilat * Garcia-Teodoro, Pedro, J. Diaz-Verdejo, Gabriel Maciá-Fernández, and Enrique Vázquez. "Anomaly-based network intrusion detection: Techniues, systems and challenges." computers & security 28, no. 1 (2009): 18-28.
Testausympäristö Oracle VM VirtualBox: Asiakas 1..x: - JMeter Hyökkääjä: Hyökkääjä: - Ostinato Ostinato (DoS) Web-Server: - Ubuntu Lokitiedot: - -Tcpdump Django - Apache (http) - MySql - Python / PHP - MySql - Apache Lokeja: - Tcpdump - Apache/http - MySql IDS: - Esikäsittely! - Algoritmi(t) - Havaitsi / ei havainnut?
Mitä seuraavaksi Kirjoittamista yleisesti ja teoriaosaan maustetta, esim.: Anomaly detection ja state-of-the-art tietoturvaratkaisut UTM (Unified Threat Management) Seuraavan sukupolven palomuurit (Next generation firewall) Uusimmat tutkimukset (2012->) Testiympäristön tekemistä Serverille palvelu, verkon rakenne Liikenteen generointi (mikä on hyvää liikennettä, tarvitaanko satunnaisuutta, roskaa) Hyökkäyksien suunnittelu Jonkun algoritmin testaaminen
http://www.youtube.com/watch?v=ytum5bghcpe http://www.youtube.com/watch?v=nhufad15ixq http://www.youtube.com/watch?v=muwnhn0j8ze Kiitos, kysymyksiä?