Sơ lược về hệ thống

1. Sơlượcvềhệthống Prediction Sensor 1 Attack Scenario IDMEF Sensor 2 Normalization Aggregation Hyper -alert Correlation Sensor 3 Attack Scenario Visualization

2. Alert Aggregation • Nhómcác alert cótínhchấttươngtựlại. • Các alert tươngtựnhaukhi: • Giốngnhau ở tấtcảcácthuộctínhnhưngchỉkhácthờigian • Cócùngmộtnguyênnhânsinhra (root cause) • Cácphươngphápchính • Phântích root cause • Phântíchđộtươngtựgiữa 2 alert • Dùng rule đểgomcụm alert vàtạo alert đạidiện

3. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

4. Cáckháiniệm[1,2] • Root cause: nguyênnhângâyracảnhbáo • Alert (alarm): cảnhbáo • CódạngtíchĐềcáccủacác domain củacácthuộctính • dom(A1) x dom(A2)…x dom(An) với {A1..An} làcácthuộctính

5. Cáckháiniệm[1,2] • Generalization Hierarchies (câytổngquáthóa)

6. Cáckháiniệm[1,2] • Generalized alarm: alarm tổngquátcủanhững alarm đượctạorabởi root cause • Vídụ:

7. Ý tưởng • Dùng generalization hierarchies làmcăncứđểtổngquáttừngthuộctínhcủa alert • Thayđổiđiềukiệndừngcủagiảithuật Attribute Oriented Induction (AOI)

8. Giảithuật[1,2]

9. Giảithuật

10. Ưu - Nhượcđiểm • Ưuđiểm • Khôngcầnthông qua bước clustering • Nhượcđiểm • Tổngquáthóatấtcảcác alarm => dễdẫnđếnviệc generalized alarm quátổngquát • Khôngchạytrongthờigianthực • Thôngsốnhậnvàolà 1 alert log

11. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

12. Cáccảitiến[3] • Chỉtổngquáthóakhicầnthiết • Mởrộng generalization hierarchies • Thêmđiềukiệnđểtổngquáthóa

13. Cáckháiniệm[3] • Nearest Common Ancestor (NCA): node cha gầnnhấtcủa 2 node con trên generalization hierarchies • Dist(a,b): khoảngcáchgiữa 2 alarm a và b • Dist(a,b) làtổngkhoảngcáchgiữamỗithuộctínhcủa a và b • NOD: khoảngcáchlớnnhấtgiữa 2 alert để 2 alert nàycóthểđược cluster lại (aggregate, generalize)

14. Cáckháiniệm[3] Đốivớithuộctính Source IP NCA(ip1,ip3) = DMZ NCA(ip1,DMZ) = DMZ dist(ip1,ip3)=5 dist(ip1,DMZ)=3

15. Cáckháiniệm[3] Dist(alert_1,alert_2)=6

16. Ý tưởng • Cảitiếngiảithuật root cause analysis • Mởrộng generalization hierarchies đểtínhkhoảngcáchgiữa 2 thuộctính • Gomcụmcác alert dựatrênđiềukiện ( <=NOD) • Tổngquáthóadựatrêncụm

17. Giảithuật[3]

18. Ưu - Nhượcđiểm • Ưuđiểm • Kiểmsoátđượcviệctổngquáthóa • Thông qua NOD • Nhượcđiểm • Khôngchạy real time • Thôngsốnhậpvàolà 1 alert log

19. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

20. Hướngtiếpcậnkhác

21. Ý tưởngcủa Alert Fusion • Sửdụng sliding time window • Alert chứatrong 1 queue • Chỉtổnghợpcác alert trong queue • Alert cũsẽbịxóarakhỏi queue

22. Giảithuật

23. Ưunhượcđiểm • Ưuđiểm • Đơngiản • Chạy real time • Nhượcđiểm • Tínhdiễnđạtkhôngcao

24. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

25. So sánh

26. Đềxuất • Kếthợpưuđiểmcủacácphươngpháp • Chỉxétcácalert trong time window • Khoảngcáchgiữacác alert cótínhtrọngsố

27. Giảithuật

28. Ưunhượcđiểm • Ưuđiểm • Chạy real time • Cótínhdiễnđạt • Nhượcđiểm • Khôngpháthiệnđược delay attack

29. Côngviệccầnlàm • Giảmtínhtổngquátcủa 1 generalize alert • Khôngcầngiảmtínhtổngquát • Sửdụng generalization hierarchy đểgiảmtínhtổngquát

30. Tínhkhảthi • Cókhảnăngkếthợpvớihệthốnghiệntại

31. References • [1]K. Julisch, Clustering intrusion detection alarms to support root cause analysis,ACMTransaction on Information and System Security 6 (2003) 443–471. • [2]K. Julisch, Using root cause analysis to handle intrusion detection alarms, Ph.D. dissertation, University of Dortmund, 2003 • [3]S. O. Al-Mamory and H. Zhang. “Intrusion Detection Alarms Reduction Using Root Cause Analysis and Clustering,” in Computer Communications, vol. 32(2), 2009, pp. 419-430. • [4]F. Valeur, G. Vigna, C. Kruegel, and R. Kemmerer. A comprehensive approach to intrusion detection alert correlation. In Proceedings of IEEE Transactions on Dependable and Secure Computing, 2004. • [5]P. Ning, Y. Cui, and D.S. Reeves, “Constructing Attack Scenarios through Correlation of Intrusion Alerts,” Proc. ACM Conf. Computer and Comm. Security, pp. 245-254, Nov. 2002. • [6]H. Debar and D. Curry. The IDMEF format. Available at: http://www.ietf.org/html.charters/idwg-charter.html, 2004.