Poikkeavuuksien havainnointi (palvelinlokeista)

Samankaltaiset tiedostot
Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Tunkeutumisen havaitseminen

Diplomityöseminaari

Poikkeavuuksien havaitseminen WWW-palvelinlokidatasta

Hyökkäysten havainnoinnin tulevaisuus?

Kokemuksia SIEM-järjestelmistä. Vesa Keinänen Senior Network Security Specialist, CISSP Insta DefSec

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Tunkeutumisen havaitseminen

Tiedonlouhinta rakenteisista dokumenteista (seminaarityö)

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

Sovellusohjelmointi Matlab-ympäristössä: Vertaisverkon koneiden klusterointi

Viemäriverkoston tukosten tunnistaminen JV-pumppaamoiden datasta

R intensiivisesti. Erkki Räsänen Ecitec Oy

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Tekoäly tänään , Vadim Kulikov (Helsingin Yliopisto)

Ohjelmistojen virheistä

Salausmenetelmät (ei käsitellä tällä kurssilla)

TUNKEUTUMISEN HAVAITSEMISJÄRJESTELMÄN HYÖDYT JA HAITAT YRITYSYMPÄRISTÖSSÄ

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Laskennallinen data-analyysi II

Kyberturvallisuuden implementointi

Rekisterit tutkimusaineistona: tieteenfilosofis-metodologiset lähtökohdat

1. OHJAAMATON OPPIMINEN JA KLUSTEROINTI

Vesihuolto päivät #vesihuolto2018

JOHDATUS TEKOÄLYYN TEEMU ROOS

Tiedonlouhinnan ja koneoppimisen menetelmät verkkohyökkäysten havaitsemisessa

1. OHJAAMATON OPPIMINEN JA KLUSTEROINTI

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Miten liikkuvan kaluston valvontaa hyödynnetään?

Sanaluokkajäsennystä rinnakkaisilla transduktoreilla

Yritysturvallisuuden perusteet

Tiedon louhinnan teoria (ja käytäntö) OUGF kevätseminaari 2004 Hannu Toivonen

Tekoäly liiketoiminnassa. Tuomas Ritola CEO, selko.io

MATINE tutkimusseminaari

TUNKEUTUMINEN VAHVUUDEKSI

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Ohjelmoinnin perusteet, syksy 2006

Kohdistettujen hyökkäysten torjunta lisää tervettä järkeä!

Tunkeutumisen havaitseminen

TEEMU ROOS (KALVOT MUOKATTU PATRIK HOYERIN LUENTOMATERIAALISTA)

Kuvantamismenetelmät kalojen seurannassa. Pertti Paakkolanvaara Simsonar Oy. Kuva Maanmittaus laitos CC-lisenssi

Tietoturvan haasteet grideille

Tietoturvaloukkausten hallinta

Tietoturvan Perusteet Yksittäisen tietokoneen turva

JOHDATUS TEKOÄLYYN TEEMU ROOS

Vapaaehtoiset palkattomat virkavapaat ja työlomat (5+2)

KServer Etäohjaus Spesifikaatio asiakaspuolen toteutuksille

Lajittelumenetelmät ilmakehän kaukokartoituksen laadun tarkkailussa (valmiin työn esittely)

Laskennallinen data-analyysi II

L a = L l. rv a = Rv l v l = r R v a = v a 1, 5

Neuroverkkojen soveltaminen vakuutusdatojen luokitteluun

Tekoäly tukiäly. Eija Kalliala, Marjatta Ikkala

Insinöörimatematiikka D

Esa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005

Kohdistettujen hyökkäysten havainnointi ja estäminen FINLAND. Jon Estlander Technology Consultant. RSA, the Security Division of EMC FINLAND

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

CNC:N ASETUSAJAN PIENENTÄMINEN

Uusia sovelluksia kalojen havainnointiin Case Montta. Pertti Paakkolanvaara Simsonar Oy. Kuva Maanmittaus laitos 2.2.

Ajalliset muunnokset eksploratiivisen paikkatietoanalyysin työkaluna. Salla Multimäki

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Yritysturvallisuuden perusteet

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Excel PowerPivot

TILIOTE TOSITTEENA. Säästää aikaa ja vaivaa. Taloushallinnon kumppani Copyright TIKON Oy

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

7.4 Sormenjälkitekniikka

Digitaaliset Kiinteistöpalvelut. Oulu, Energiaseminaari Teemu Hausen

Ti Tietoturvan Perusteet

JOHDATUS TEKOÄLYYN TEEMU ROOS

ANOMALIAPOHJAINEN NIDS-JÄRJESTELMÄ

Tunkeilijan havaitsemisjärjestelmän testaus

JOHDATUS TEKOÄLYYN TEEMU ROOS

Ruokinta-automaattidatan analyysi

Harjoitustoiminta - Kyberturvallisuuden selkäranka? Mikko Tuomi, CISSP asiantuntija, JAMK / JYVSECTEC

VALVO JA VARAUDU PAHIMPAAN

Käytännön näkökulmia Zonationin hyödyntämiseen

OpenSSL Heartbleed-haavoittuvuus

Makrojen mystinen maailma lyhyt oppimäärä

KEINOÄLY PROJEKTIKOKEMUKS IA

LAS- ja ilmakuva-aineistojen käsittely ArcGIS:ssä

Written by Administrator Monday, 05 September :14 - Last Updated Thursday, 23 February :36

Gustin: Disaster and Recovery Planning: A Guide for Facility Managers T esitelmä

Suoritustavat: Laboratoriotöitä 2.-3.periodi. Luennot 2h, Laboratorityöt 4h, itsenäinen työskentely 124 h. Yhteensä 130 h.

Laskennallinen data-analyysi II

Asialista. CLT131: Tekstityökalut 2011, kahdeksas luento. Merkistöistä ja kalvostoista. Asialista. Tommi A Pirinen

Tutkimus web-palveluista (1996)

Kolmannen vuoden työssäoppiminen (10 ov)

Numeeriset menetelmät

Rajoittamattomat kieliopit (Unrestricted Grammars)

IT-palvelujen ka yttö sa a nnö t

Digitalisaatio ja kyberpuolustus

Osastonjohtaja Heidi Niemimuukko

TUNKEUTUMISEN ESTO- JA HAVAINNOINTIJÄR- JESTELMIEN SOVELTUVUUS VERKKOPALVELUI- DEN SUOJAAMISEEN

Rekisteri- ja tietosuojaseloste. Yksityiset perhepäivähoitajat

Sonera Desktop Security Asennusohje 2005

Tekoäly muuttaa arvoketjuja

Transkriptio:

Poikkeavuuksien havainnointi (palvelinlokeista) TIES326 Tietoturva 2.11.2011 Antti Juvonen

Sisältö IDS-järjestelmistä Datan kerääminen ja esiprosessointi Analysointi Esimerkki Lokidatan rakenne Esikäsittely, piirteiden löytäminen Datan analysointi ja visualisointi

Intrusion Detection System (IDS) = Tunkeilijan havaitsemisjärjestelmä Aikoinaan ylläpitäjien manuaalista työtä Havaitsee hyökkäysyrityksiä tietoverkossa Voi olla koneessa tai verkossa Esim. SNORT Sääntöpohjainen vs. Poikkeavuuksien etsintä

IDS-järjestelmien jaottelu

Sääntöpohjaiset järjestelmät = Misuse detection taas: SNORT Järjestelmän toimintaa verrataan olemassaoleviin sääntöihin Säännöt ovat käytännössä lista tunnetuista hyökkäyksistä Toimii tarkasti, vähän vääriä hälytyksiä, helppo toteuttaa Ei havaitse uusia tuntemattomia hyökkäyksiä

= Anomaly detection Poikkeavuuksien havaitsemisjärjestelmät - Idea esitelty 1980-luvulla - Mallinnetaan normaalia liikennettä - Verrataan verkon liikennettä luotuun malliin - Havaitaan poikkeavuudet - Pystytään (periaatteessa) havaitsemaan uudet haavoittuvuudet - Ei vaadi manuaalista sääntöjen päivittämistä - Saattaa antaa enemmän vääriä hälytyksiä - Hälytysten tyyppiä ei tiedetä heti

Intrusion Prevention System (IPS) - Melkein kuin IDS - Lisäksi sisältää jotain aktiivista toimintaa > Esim. tietyn yhteyden katkominen tai pakettien pudottaminen > CRC-virheiden korjaaminen - Toiminnan tarkoituksena estää hyökkäys tai pienentää aiheutuvaa vahinkoa - Väärin toimiessaan aiheuttaa itse haittaa verkon toiminnalle

Hybridijärjestelmät Yhdistetty sääntöpohjaisuus ja poikkeavuuksien havaitseminen Esim. havaituista poikkeavuuksista tehdään SNORTsäännöt

Vaiheet 1. Datan kerääminen 2. Esiprosessointi 3. Analysointi 4. Tulosten tulkitseminen 5. Toimenpiteet

Vaiheet 1. Datan kerääminen 2. Esiprosessointi 3. Analysointi 4. Tulosten tulkitseminen 5. Toimenpiteet

Esiprosessointi Datan muuntaminen numeeriseen muotoon Skaalaus Turhien lokirivien poistaminen...

Lyhyesti 1. Datan kerääminen 2. Esiprosessointi 3. Analysointi 4. Tulosten tulkitseminen 5. Toimenpiteet

Datan analysointi Ulottuvuuksien vähentäminen Klusterointi Poikkeavuuksien löytäminen Luokittelu...

Datan analysointi (2) Voidaan käyttää esim: Neuroverkot Tukivektorikoneet Itseorganisoituva kartta (SOM) Pääkomponenttianalyysi Monia muita algoritmeja tarpeen mukaan Käytännössä tiedonlouhintaa

Lyhyesti 1. Datan kerääminen 2. Esiprosessointi 3. Analysointi 4. Tulosten tulkitseminen 5. Toimenpiteet

Tulosten tulkitseminen ja toimenpiteet Datamatriisin yhdistäminen alkuperäiseen verkkoliikenteeseen Ovatko poikkeamat oikeasti poikkeavia? Kuka ne on aiheuttanut? Onko haavoittuvuus? Mitä toimenpiteitä? Esim. haavoittuvuuden paikkaaminen.

Analysoinnin vaiheet 1 Palvelinloki Poikkeavat rivit Noudetaan alkuperäisestä lokitiedostosta 5 Poikkeavat rivit Turhien staattisten rivien poistaminen, lokien muuntaminen numeeriseen muotoon 2 3 Esiprosessointi Luokittelualgoritmi jakaa datan normaaliin ja poikkeavaan 4 6 Analysointi UI Datamatriisi 1,0,0,1,0,0 0,0,0,1,0,0 0,2,3,0,0,0

Palvelinlokirivi 130.234.49.2 - - [11/Jan/2011:15:53:01 +0300] "GET /scripts/resurssi?par1=value1&par=value2 HTTP/1.1" 200 2680 "http://www.jyu.fi/a.html" "Mozilla/5.0 (SymbianOS/9.2;...)"

N-grammianalyysi 'anomalia', 'analyysi' 2-grammit: 'an','no','om','ma','al','li','ia' 'an','na','al','ly','yy','ys','si' an no om ma al li ia na ly yy ys si 1 1 1 1 1 1 1 0 0 0 0 0 1 0 0 0 1 0 0 1 1 1 1 1

Analysoinnin vaiheet 1 Palvelinloki Poikkeavat rivit Noudetaan alkuperäisestä lokitiedostosta 5 Poikkeavat rivit Turhien staattisten rivien poistaminen, lokien muuntaminen numeeriseen muotoon 2 3 Esiprosessointi Luokittelualgoritmi jakaa datan normaaliin ja poikkeavaan 4 6 Analysointi UI Datamatriisi 1,0,0,1,0,0 0,0,0,1,0,0 0,2,3,0,0,0

Analysointi

Analysoinnin vaiheet 1 Palvelinloki Poikkeavat rivit Noudetaan alkuperäisestä lokitiedostosta 5 Poikkeavat rivit Turhien staattisten rivien poistaminen, lokien muuntaminen numeeriseen muotoon 2 3 Esiprosessointi Luokittelualgoritmi jakaa datan normaaliin ja poikkeavaan 4 6 Analysointi UI Datamatriisi 1,0,0,1,0,0 0,0,0,1,0,0 0,2,3,0,0,0