Upoznao sam se s načinom rada IDS / IPS sustava
Proučavao sam literaturu vezanu za AIDE (Advanced intrusion detection enviroment) sustave
Upoznao sam se sa “Snort-om”, programom za detekciju neovlaštenih upada
Detaljnija analiza načina rada “Anomaly based” i “Signature based” IDS sustava
Daljnje upoznavanje sa software-om za detekciju neovlaštenih upada
Dosadašnji rad
Proučena literatura kako mjeriti sposobnosti IDS sustava. Odabrana metoda temelji se ne teoriji informacije. Kako bi se mogla mjeriti sposobnost IDS sustava potrebno je imati evaluacijski set podataka. U tu svrhu kontaktirao sam Kanadski Institut za računalnu sigurnost koji je osigurao 100GB snimljenog prometa (u pcap formatu - ISCXIDS2012). Promet je sniman svaki dan kroz 24h ukupno 7 dana i sadrži različite vrste napada kao i promet klasificiran kao normalan. Uz svaki snimljeni dan prometa u pcap formatu nalazi se i xml datoteka u kojoj se nalazi detaljni opis svakog paketa, između ostalog i njegova klasifikacija kao normalan promet ili kao neka vrsta napada. Zbog velike količine podataka koju je potrebno analizirati, odlučio sam prvotnu analizu napraviti na drugom evaluacijskom dataset-u. Korišteni dataset je KDD CUP 1999 Data set (DARPA). Prvotnu analizu radim na 10% od ukupnog broja paketa. U KDD CUP99 data set-u svaki paket je klasificiran kao normalan promet ili kao određena vrsta napada. 4 osnovne podjele napada su: dos, probe, r2l i u2r; s 24 različita podtipa u “training” set-u i dodatnih 14 podtipova u “test” setu. Napisao sam program koji klasificira svaki od paketa, izračunava udio svakog tipa i podtipa prometa te izračunava baznu stopu detekcije koja je potrebna za izračun sposobnosti IDS sustava. S obzirom da je promet u pcap formatu, testiranje je moguće napraviti na jednom računalu, odnoso Snort IDS ima mogućnost analiziranja već snimljenog prometa. Problem s kojim sam se susreo jest da Snort pri rekonstrukciji nekih paketa generira veći broj paketa nego što to stvarno je s čime se naručava mjerenje sposobnosti.
Daljnji rad
Dobiti prve testne rezultate i provjeriti njihovu ispravnost.
Napraviti mjerenja nad ISCXIDS2012 datasetom