Tiedonlouhinnan käyttö tietoturvan tarkkailussa
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
Helsinki University of Technology |
Diplomityö
Checking the digitized thesis and permission for publishing
Instructions for the author
Instructions for the author
Authors
Date
2008
Major/Subject
Tietojenkäsittelyteoria
Mcode
T-119
Degree programme
Language
fi
Pages
iv + 63
Series
Abstract
Tietoturvan valvonta on välttämätön osa tehokasta tietoturvan toteuttamista. Tietoturvan valvontaan on kaksi päätapaa: väärinkäytösten ja poikkeavan käytöksen havainnointi. Ne täydentävät toisiaan. Tämän työn tavoitteena on kehittää poikkeavan käyttäytymisen havainnointimenetelmiä, joiden avulla väärinkäytösten havainnointia saataisiin tarkemmaksi. Väärinkäytösten havainnointi on laskennallisesti tehokasta ja väärät positiiviset luokittelut ovat harvinaisia. Aiemmin tuntemattomia tietoturvan loukkaustapoja väärinkäytösten havainnointi ei kuitenkaan huomaa. Poikkeavan käyttäytymisen havainnoinnilla uudet loukkaustavat voidaan huomata, mutta paljon sallittuakin käytöstä luokitellaan poikkeavaksi. Tilastolliset poikkeavan käyttäytymisen havainnointimenetelmät eivät myöskään esitä tarkkaan, mitkä tarkkailtavan järjestelmän tapahtumat olivat poikkeavia. Tietokoneiden tapahtumaketjulokeista voidaan louhia esimerkiksi A priori -tyyppisellä algoritmilla kattavat rinnakkaiset tapahtumaepisodit. Kattavia episodeja tutkimalla tarkkailtavaa järjestelmää tunteva henkilö voi usein sanoa, mitkä tapahtumaketjut ovat sallittuja ja mitkä eivät. Kielletyiksi arvioiduista episodeista voidaan tehdä sääntöjä väärinkäytösten havainnoinnin tietokantaan ja sallituiksi arvioiduista koota tavanomaisen käyttäytymisen profiili. Episodien kattavuuden kynnysarvon on oltava matala, jotta löytyvät episodit kattaisivat mahdollisimman useita lokirivejä. Tällöin myös episodeja löytyy runsaasti. Episodeissa on paljon päällekkäisyyksiä ja niistä välittyvä järjestelmän kuva on sekava. Tässä työssä esitellään algoritmeja, joilla tuohon sekavuuteen voi saada järjestystä. Ne toimivat poikkeavan käyttäytymisen havainnoinnin periaatteella ja perustuvat episodien keskinäiseen joukko-opilliseen hierarkiaan sekä episodien esiintymisten tilastoihin. Alustavat kokeet työssä kehitetyillä algoritmeilla osoittavat, että ne toimivat oikein ja nostavat lokimassasta esiin mielenkiintoisia tapahtumajonoja ja suhteita eri tapahtumajonojen kesken, joiden keksiminen pelkkiä lokeja selailemalla olisi ollut vaikeaa. Algoritmit vaativat kuitenkin vielä lisää kehittelyä ja kokeilua. Lokitapahtumien tyypitys jäi datan lähteen huonon tuntemuksen vuoksi vaillinaiseksi ja algoritmien toteutuksissa oli virheitä. Algoritmien tuloksiin jäi sen vuoksi häiritsevän paljon hälyä.Description
Supervisor
Niemelä, IlkkaThesis advisor
Kari, Hannu H.Keywords
information security, tietoturva, anomaly detection, poikkeavan käyttäytymisen havainnointi, data mining, tiedonlouhinta, frequent episodes, kattavat episodit