Künstliche Intelligenz

Ähnliche Dokumente

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Einkommensaufbau mit FFI:

Aufbau eines IT-Servicekataloges am Fallbeispiel einer Schweizer Bank

Das neue Volume-Flag S (Scannen erforderlich)

Dienstleistungsmanagement Übung 5

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

AS Path-Prepending in the Internet And Its Impact on Routing Decisions

v+s Output Quelle: Schotter, Microeconomics, , S. 412f

Kybernetik Intelligent Agents- Action Selection

Preisliste für The Unscrambler X

WAS IST DER KOMPARATIV: = The comparative

Lehrstuhl für Allgemeine BWL Strategisches und Internationales Management Prof. Dr. Mike Geppert Carl-Zeiß-Str Jena

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall Hochschule Furtwangen

Predictive Modeling Markup Language. Thomas Morandell

Power-Efficient Server Utilization in Compute Clouds

Facts & Figures Aktueller Stand IPv4 und IPv6 im Internet. Stefan Portmann Netcloud AG

BIG ANALYTICS AUF DEM WEG ZU EINER DATENSTRATEGIE. make connections share ideas be inspired. Wolfgang Schwab SAS D

1.1 VoIP - Kein Notruf möglich. 1.2 VoIP - Vorrang von Notrufen

Prediction Market, 28th July 2012 Information and Instructions. Prognosemärkte Lehrstuhl für Betriebswirtschaftslehre insbes.

Geometrie und Bedeutung: Kap 5

Normerfüllung in der Praxis am Beispiel "Tool Qualification" Dr. Anne Kramer, sepp.med gmbh

TalkIT: Internet Communities Tiroler Zukunftsstiftung Donnerstag,

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

Mensch-Maschine-Interaktion 2 Übung 1

Konfigurieren eines HHR Gerät, um es über eine CBX800 an Profibus anzubinden

Präsentation / Presentation

Microsoft SQL Server Überblick über Konfiguration, Administration, Programmierung (German Edition)

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Installation mit Lizenz-Server verbinden

Mitglied der Leibniz-Gemeinschaft

TomTom WEBFLEET Tachograph

Konfiguration eines Lan-to-Lan VPN Tunnels

Context-adaptation based on Ontologies and Spreading Activation

Aus FanLiebe zu Tokio Hotel: von Fans fã¼r Fans und ihre Band

Sepiola Mockups. Overview. Show notes. Primäre Navigation anklicken um zum gewünschten Mockups zu gehen. Backup usage. Overview.

Version/Datum: Dezember-2006

Kybernetik Systemidentifikation

Intrusion Detection and Prevention

Ein- und Zweifamilienhäuser Family homes

Technical Support Information No. 123 Revision 2 June 2008

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

GRIPS - GIS basiertes Risikoanalyse-, Informations- und Planungssystem

Using TerraSAR-X data for mapping of damages in forests caused by the pine sawfly (Dprion pini) Dr. Klaus MARTIN

Wozu dient ein Logikanalysator?

miditech 4merge 4-fach MIDI Merger mit :

Algorithms & Datastructures Midterm Test 1

Die einfachste Diät der Welt: Das Plus-Minus- Prinzip (GU Reihe Einzeltitel)

Algorithms for graph visualization

Produzierendes Gewerbe Industrial production

DIBELS TM. German Translations of Administration Directions

Verbinde die Welten. Von Oracle auf MySQL zugreifen

Anleitung zur Einrichtung von Outbound und Inbound Filtern Für DWR-512 (Stand August 2012)

Programmentwicklung ohne BlueJ

Bes 10 Für ios und Android

PPC und Data Mining. Seminar aus Informatik LV Michael Brugger. Fachbereich der Angewandten Informatik Universität Salzburg. 28.

Vorstellung RWTH Gründerzentrum

Killy Literaturlexikon: Autoren Und Werke Des Deutschsprachigen Kulturraumes 2., Vollstandig Uberarbeitete Auflage (German Edition)

BartPE. Dokumentation. Projektarbeit Network Services. Dozent: Wolf-Fritz Riekert. Belmondo Kovac. Autor: Andreas Dinkelacker, 3.

Exchange ActiveSync wird von ExRCA getestet. Fehler beim Testen von Exchange ActiveSync.

LS Kopplung. = a ij l i l j. W li l j. = b ij s i s j. = c ii l i s i. W li s j J = L + S. L = l i L = L(L + 1) J = J(J + 1) S = s i S = S(S + 1)

Die Handschrift der Werbung »GUMON!« PIXEL GUM ICON GUM. Straight GUM

file:///c:/users/wpzsco/appdata/local/temp/tmp373d.tmp.htm

There are 10 weeks this summer vacation the weeks beginning: June 23, June 30, July 7, July 14, July 21, Jul 28, Aug 4, Aug 11, Aug 18, Aug 25

DAS ERSTE MAL UND IMMER WIEDER. ERWEITERTE SONDERAUSGABE BY LISA MOOS

Contents. Interaction Flow / Process Flow. Structure Maps. Reference Zone. Wireframes / Mock-Up

KIP Druckerstatus Benutzerhandbuch KIP Druckerstatus Installations- und Benutzerhandbuch

UC4 Rapid Automation HP Service Manager Agent Versionshinweise

Produktdifferenzierung und Markteintritte?

Daten haben wir reichlich! The unbelievable Machine Company 1

Die GmbH. Eine europäische Gesellschaftsform mit Geschichte (German Edition)

Handwerk Trades. Arbeitswelten / Working Environments. Green Technology for the Blue Planet Clean Energy from Solar and Windows

Number of Maximal Partial Clones

DevOps - Entwickelst Du noch oder lieferst Du schon?

Software Echtzeitverhalten in den Griff Bekommen

arlanis Software AG SOA Architektonische und technische Grundlagen Andreas Holubek

4.) Geben Sie im Feld Adresse die IP Adresse des TDC Controllers ein. Die Standard Adresse lautet

Wissenschaftliches Denken und Arbeiten

IDS Lizenzierung für IDS und HDR. Primärserver IDS Lizenz HDR Lizenz

HIR Method & Tools for Fit Gap analysis

Big-Data and Data-driven Business KMUs und Big Data Imagine bits of tomorrow 2015

Für AX 4.0, den letzten Hotfix rollup einspielen. Der Hotfix wurde das erste Mal im Hotfix rollup eingeschlossen:

Reform der Verrechnungspreisregularien. 4. Februar 2015

CONTINUOUS LEARNING. Agile Anforderungsanalyse mit Impact Mapping

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

1. Zugriff des Autostarts als Dienst auf eine Freigabe im Netz

Wenn Russland kein Gas mehr liefert

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

LOG AND SECURITY INTELLIGENCE PLATFORM

Extracting Business Rules from PL/SQL-Code

ONLINE LICENCE GENERATOR

Transkript:

Künstliche Intelligenz Data Mining Approaches for Instrusion Detection Espen Jervidalo WS05/06 KI - WS05/06 - Espen Jervidalo 1

Overview Motivation Ziel IDS (Intrusion Detection System) HIDS NIDS Data Mining / RIPPER 2 Ansätze Aktuelle Entwicklungen KI - WS05/06 - Espen Jervidalo 2

Motivation Wachstum der Netzwerke Komplexität Wichtigkeit Probleme bei der Wartung KI - WS05/06 - Espen Jervidalo 3

Ziel Überblick verschaffen Begriffe erklären Einblick in die Anfänge von Data Mining in IDS 2 Ansätze vorstellen Aktuelle Entwicklungen KI - WS05/06 - Espen Jervidalo 4

Intrusion Detection Systems Strategien Misuse Detection Erkennung bekannter Lücken Nicht selbstlernend Anomaly Detection Musterabweichungen erkennen und richtig Klassifizieren Noch unbekannte Schwachstellen sollen gedeckt sein KI - WS05/06 - Espen Jervidalo 5

IDS Ansatz Host Based IDS Programmverhalten überwachen (z.b. Sendmail) Network Based IDS Kommunikation an zentraler Stelle als Ganzes überwachen (z.b. Tcpdump Daten eines Gateways) KI - WS05/06 - Espen Jervidalo 6

Data Mining - IDS Fragen Data Sources (Rohdaten) Preprocessing RIPPER Training Data Testing Data Aktionen Data Mining Prozess KI - WS05/06 - Espen Jervidalo 7

RIPPER A rule learning program Fast effective rule induction. W. W. Cohen, 1995 "People who buy diapers tend to buy beer." KI - WS05/06 - Espen Jervidalo 8

Ansatz I - HIDS Host Based Instrusion Detection System Sendmail System calls Als Grundlage dient die Konsistenz der Systemcalls im Normalbetrieb. Selbstdefinition des Normalbetriebes durch Systemcall Sequenz Basis für die Erkennung von Anomalitäten KI - WS05/06 - Espen Jervidalo 9

HIDS II Grundlage: Konsistenz der normalen SystemCalls KI - WS05/06 - Espen Jervidalo 10

HIDS III Trace 4 2 66 66 4 138 66...5 5 5 4 59 105 104... Attribute: p1 pn Ziel Vorhersage des n-ten / mittleren SystemCalls RIPPER Training Data: Testing Data: Output: 80 % der normalen sendmail Traces Restliche 20 % Alle Intrusion Traces If-then Regeln KI - WS05/06 - Espen Jervidalo 11

HIDS IV RIPPER Regeln (Output) Confidence value of a rule: matched example matched examples unmatched examples If a violation occures (the actual SystemCall is not the same as predicted by the rule) the score of the trace is incremented by 100 times the confidence of the violated rule. KI - WS05/06 - Espen Jervidalo 12

HIDS V The averaged score (by the total number of sequences) of the trace is then used to decide whether an intrusion has occured KI - WS05/06 - Espen Jervidalo 13

HIDS VI - Discussion The experiment showed that the normal behavior of a program can be established and used to detect its anomaly usage More predictive classification models are needed so that the anomaly detector has higher confidence in flagging intrusions. For example by adding more features, rather than just the system calls. Directories and names of the files touched by a program. As the number of features increases from 1 to 3, the classification error decreases dramatically. KI - WS05/06 - Espen Jervidalo 14

Ansatz II - NIDS Network Based Intrusion Detection System Gateway: NIDS KI - WS05/06 - Espen Jervidalo 15

NIDS II Rohdaten: 3 tcpdump Datensätze aus generierten Intrusions 1 tcpdump Datensatz ohne Intrusions In diesem Fall ist Preprocessing nötig KI - WS05/06 - Espen Jervidalo 16

NIDS III - Preprocessing 3-way Handshake statistics of the connection connection termination (both sides receive FINs) KI - WS05/06 - Espen Jervidalo 17

NIDS IV Connection record consists of class label: destination service (port) All the other conenction features are attributes Training Data (80% of normal) Testing Data (remaining data) Misclassification classifier predicts a destination service (according to connectionfeatures) that is different from from the actual. Should be very low for normal connection data and high for intrusion data. Intuition: when intrusions take place, the features of connections to certain services are different from the normal traffic patterns. KI - WS05/06 - Espen Jervidalo 18

NIDS V - Discussion Preprocessing braucht Zeit und ein fundiertes Fachwissen. Kann schlecht automatisiert werden. Viele Testläufe benötigt für eine geeignete Auswahl der Features. KI - WS05/06 - Espen Jervidalo 19

Aktuelle Entwicklungen IDS gehören schon zum Alltag in grösseren Netzwerken SNORT (http://www.snort.org) Defacto standard Opensource IDS Dragon One of the most powerful IDS available KI - WS05/06 - Espen Jervidalo 20

Zukunftsaussichten Honeypots KI - WS05/06 - Espen Jervidalo 21