Ανίχνευση ανωμαλιών

Ανίχνευση ανωμαλιών καλείται η αναγνώριση προτύπων από ένα σύνολο δεδομένων που εμφανίζουν διαφορετική συμπεριφορά από την προσδοκώμενη. Άλλες ονομασίες που συναντούνται στην βιβλιογραφία για τα πρότυπα είναι ακραίες τιμές, ασύμφωνες παρατηρήσεις, εξαιρέσεις, παρεκκλίσεις, ιδιαιτερότητες και προσμίξεις σε διαφορετικούς τομείς εφαρμογών.^[1] Στόχος είναι η υψηλού επιπέδου ανίχνευση πιθανών ανωμαλιών, διατηρώντας όμως χαμηλά ποσοστά λανθασμένης προειδοποίησης. Ως εφαρμογή μπορούμε να αναφέρουμε τον προσδιορισμό απειλής στην έγκριση δανείων ή πιστωτικών καρτών από μια τράπεζα.^[2]

Υπάρχουν τρεις κατηγορίες τεχνικών ανίχνευσης ανωμαλιών.^[1] Η επιβλεπόµενη ανίχνευση ανωμαλιών, όπου οι τεχνικές που έχουν εφαρμοστεί σε αυτήν την κατηγορία, λαμβάνουν την διαθεσιμότητα τόσο ενός συνόλου δεδομένων εκπαίδευσης που έχει χαρακτηριστεί ως κανονικό όσο και ενός χαρακτηρισμένου ως ακραίων τιμών. Σε τέτοιες περιπτώσεις, συνήθως, εφαρμόζονται μοντέλα πρόβλεψης για κανονικές έναντι ανώμαλων τάξεων. Η ημι-επιβλεπόµενη ανίχνευση ανωμαλιών, όπου οι τεχνικές σε αυτή την περίπτωση θεωρούν ότι ένα σύνολο δεδομένων εκπαίδευσης έχει χαρακτηριστεί μόνο κανονικό. Το θετικό αυτής της κατηγορίας είναι ότι εφαρμόζεται σε μεγαλύτερη κλίμακα από την προηγούμενη, για το λόγο ότι δεν απαιτείται επισήμανση για την τάξη ακραίων τιμών. Η συνήθης προσέγγιση σε αυτή την κατηγορία είναι η κατασκευή ενός μοντέλου για το σύνολο ώστε να ανταποκρίνεται στην κανονική συμπεριφορά, και ύστερα η εφαρμογή του για τον προσδιορισμό των ανωμαλιών στα δοκιμαστικά δεδομένα. Τέλος, η μη-επιβλεπόµενη ανίχνευση ανωμαλιών, όπου δεν απαιτούνται δεδομένα εκπαίδευσης, και έτσι είναι οι πιο ευρέως εφαρμόσιμες τεχνικές. Οι τεχνικές σε αυτή τη περίπτωση υποθέτουν ότι τα κανονικά στιγμιότυπα είναι περισσότερα από τις ακραίες τιμές στα δοκιμαστικά δεδομένα. Αν αυτός ο συλλογισμός δεν ισχύει, τότε οι τεχνικές έχουν μεγάλο ποσοστό λανθασμένης εκτίμησης.

Δημοφιλείς τεχνικές

Αρκετές τεχνικές ανίχνευσης ανωμαλιών έχουν προταθεί στην βιβλιογραφία. Από αυτές οι πιο δημοφιλείς είναι:

Μέθοδοι που βασίζονται στην απόσταση (Distance based methods)
Πρώτης-κλάσης Σύστημα διανυσμάτων υποστήριξης (One Class Support Vector Machines)

(η διαφορα του One Class Support Vector Machines σε σχέση με τα συνηθισμένα είναι ότι τα δεδομένα εκπαίδευσης δεν είναι πανομοιότυπα κατανεμημένα με αυτά του ελέγχου.)^[3]

Επαναλαμβανόμενα Νευρωνικά Δίκτυα (Replicator Neural Networks)
Ανίχνευση ακραίων τιμών βασισμένη στην συσταδοποίηση.
Ανίχνευση ανωμαλιών υπό όρους(Conditional Anomaly Detection)^[4]

Εφαρμογή στα δίκτυα

Η ανίχνευση εισβολών παρέχει ασφάλεια στους υπολογιστές και τα δεδομένα του δικτύου, με την προϋπόθεση αυτά να μπορούν ελεύθερα να χρησιμοποιούν τις υπηρεσίες και τις δυνατότητες του δικτύου. Στόχος της ανίχνευσης εισβολής είναι ο άμεσος προσδιορισμός της αναρμόδιας χρήσης, της κακής χρήσης και της κατάχρησης συστημάτων ηλεκτρονικών υπολογιστών τόσο από τους διαχειριστές των συστημάτων αλλά και από εξωτερικούς χρήστες.^[5]^[6] Η πολυπλοκότητα αυτής της εφαρμογής αυξάνεται όσο διευρύνεται το πλήθος των συνδεδεμένων υπολογιστών με αποτέλεσμα να γίνεται ευκολότερη η εισβολή κακόβουλων χρηστών.

Οι σημαντικότερες ταξινομήσεις συστημάτων ανίχνευσης εισβολής είναι η ανίχνευση ανωμαλιών(anomaly detection) και η ανίχνευση κακής χρήσης (misuse detection).^[5] Η λειτουργία της ανίχνευσης ανωμαλιών επικεντρώνεται στην συλλογή πληροφοριών διαμορφώνοντας το προφίλ μίας οντότητας. Η οντότητα αυτή μπορεί να είναι είτε ένας χρήστης ή μία ομάδα χρηστών είτε ένας υπολογιστής(π.χ. ένας εξυπηρετητής) και οι πληροφορίες που συλλέγονται σχετίζονται με την δραστηριότητα του χρήστη, όπως το ποσό των δεδομένων που μεταδίδονται, τις ώρες που συνδέεται καθώς και τα τερματικά με τα οποία συνδέεται, ενώ στην περίπτωση του υπολογιστή συλλέγονται πληροφορίες για την μέση χρήση της κεντρικής μονάδας του επεξεργαστή, τον αριθμό των συνδεδεμένων χρηστών κ.α. Οι ανωμαλίες δικτύου αφορούν αστοχίες και προβλήματα απόδοσης του δικτύου ή προβλήματα που σχετίζονται με την ασφάλειά του.^[7]

Κατά την εφαρμογή, λοιπόν, της ανίχνευσης ανωμαλιών, ελέγχεται η δραστηριότητα σε πραγματικό χρόνο του χρήστη ή του υπολογιστικού συστήματος που θέλουμε να εξετάσουμε και συγκρίνεται με αυτή που είναι αποθηκευμένη στην βάση δεδομένων. Όταν εντοπιστεί μεγάλη απόκλιση από την συνηθισμένη συμπεριφορά, ενεργοποιείται η διαχείριση ασφάλειας του συστήματος προκειμένου να ερευνηθεί.

Πλεονεκτήματα/Μειονεκτήματα

Όπως κάθε τεχνική, έτσι και η ανίχνευση ανωμαλιών έχει θετικά αλλά και αρνητικά σημεία. Κάποια από τα θετικά είναι τα εξής:^[8]

Ευκολία στον εντοπισμό ενός κακόβουλου χρήστη, ο οποίος έχει παραβιάσει προφίλ άλλυ χρήστη.
Λόγω του ότι το σύστημα είναι βασισμένο πάνω σε προσαρμοσμένα προφίλ, είναι δύσκολο στον επιτιθέμενο να ξέρει την δραστηριότητα που πρέπει να ακολουθήσει για να μην εντοπιστεί.
Η παρεμβατική δραστηριότητα δεν βασίζεται σε συγκεκριμένη κυκλοφορία που αντιπροσωπεύει γνωστή δραστηριότητα.Ένα σύστημα ανίχνευσης ανωμαλιών μπορεί να εντοπίσει μία επίθεση την πρώτη φορά που γίνεται. Η παρεμβατική δραστηριότητα ενεργοποιεί τον συναγερμό, επειδή παρεκκλίνει από την κανονική δραστηριότητα, κι όχι επειδή κάποιος επενέβη στο σύστημα για να κοιτάξει ένα συγκεκριμένο ρεύμα στην κυκλοφορία του συστήματος.

Από την άλλη πλευρά η ανίχνευση ανωμαλιών παρουσιάζει και κάποιες αδυναμίες. κάποιες από αυτές είναι οι εξής:^[8]

Το σύστημα πρέπει να είναι ικανό να δημιουργεί τα κατάλληλα προφίλ των χρηστών. Κατά την περίοδο όμως του χαρακτηρισμού των δραστηριοτήτων ως κανονική, το δίκτυο είναι ευάλωτο σε επιθέσεις και επίσης αποτελεί πρόκληση ο χαρακτηρισμός μίας δραστηριότητας ως κανονική.
Άλλο ένα αρνητικό της ανίχνευσης ανωμαλιών είναι η πολυπλοκότητα του συστήματος και η δυσκολία στο να συνδέσεις ένα γεγονός με την πυροδότηση του συναγερμού.
Δεν υπάρχει εγγύηση ότι μία συγκεκριμένη επίθεση, θα ενεργοποιήσει το συναγερμό. Είναι δύσκολο να γνωρίζεις τη μορφή των επιθέσεων που θα ενεργοποιήσουν το συναγερμό.

Παραπομπές

↑ ^1,0 ^1,1 Varun Chandola, Arindam Banerjee, and Vipin Kumar, Anomaly Detection: A Survey, July 2009
↑ Γεράσιμος Ε. Σταυλιώτης., Εξόρυξη Δεδομένων (DATA MINING) και Αναγνώριση προτύπων σε κατηγορικά δεδομένα μέσω συσταδοποίησης, 2009
↑ Ειρήνη Γεωργίου, ΧΡΗΣΗ ΤΩΝ ΜΗΧΑΝΩΝ ΔΙΑΝΥΣΜΑΤΩΝ ΥΠΟΣΤΗΡΙΞΗΣ ΣΤΗΝ ΕΚΤΙΜΗΣΗ ΤΙΜΩΝ ΑΚΙΝΗΤΩΝ,2009
↑ X Song, M Wu, C Jermaine: Conditional Anomaly Detection. In Proceedings IEEE Transactions on Knowledge and Data Engineering 2007
↑ ^5,0 ^5,1 Βασίλης Χ. Χατζηγιαννάκης., Ανίχνευση ανωμαλιών σε δίκτυα μεγάλης κλίμακας με χρήση Ανάλυσης Κυρίων Συνιστωσών,2009
↑ B. Mukherjee, L.T. Heberlein, and K.N. Levitt, “Network intrusion detection”, IEEE Network, Vol. 8, No. 3, pp. 26-41, 1994.
↑ Γεώργιος Ο. Ανδρουλιδάκης., Μελέτη της Επίδρασης Δειγματοληψίας στη Διαδικασία Ανίχνευσης Ανωμαλιών στο Διαδίκτυο, 2009
↑ ^8,0 ^8,1 Earl Carter.,Intrusion Detection Ststems,2009

[parapompi1-1] 1,0 ^1,1 Varun Chandola, Arindam Banerjee, and Vipin Kumar, Anomaly Detection: A Survey, July 2009

[2] Γεράσιμος Ε. Σταυλιώτης., Εξόρυξη Δεδομένων (DATA MINING) και Αναγνώριση προτύπων σε κατηγορικά δεδομένα μέσω συσταδοποίησης, 2009

[parapompi3-3] Ειρήνη Γεωργίου, ΧΡΗΣΗ ΤΩΝ ΜΗΧΑΝΩΝ ΔΙΑΝΥΣΜΑΤΩΝ ΥΠΟΣΤΗΡΙΞΗΣ ΣΤΗΝ ΕΚΤΙΜΗΣΗ ΤΙΜΩΝ ΑΚΙΝΗΤΩΝ,2009

[4] X Song, M Wu, C Jermaine: Conditional Anomaly Detection. In Proceedings IEEE Transactions on Knowledge and Data Engineering 2007

[parapompi2-5] 5,0 ^5,1 Βασίλης Χ. Χατζηγιαννάκης., Ανίχνευση ανωμαλιών σε δίκτυα μεγάλης κλίμακας με χρήση Ανάλυσης Κυρίων Συνιστωσών,2009

[6] B. Mukherjee, L.T. Heberlein, and K.N. Levitt, “Network intrusion detection”, IEEE Network, Vol. 8, No. 3, pp. 26-41, 1994.

[7] Γεώργιος Ο. Ανδρουλιδάκης., Μελέτη της Επίδρασης Δειγματοληψίας στη Διαδικασία Ανίχνευσης Ανωμαλιών στο Διαδίκτυο, 2009

[parapompi4-8] 8,0 ^8,1 Earl Carter.,Intrusion Detection Ststems,2009

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]