Descărcați ca PPTX, PDF, TXT sau citiți online pe Scribd
Descărcați ca pptx, pdf sau txt
Sunteți pe pagina 1din 12
Orice calculator sau retea de calculatoare este
vulnerabila la atacuri.
Anual mii de noi vulnerabilitati sunt raportate
catre CERT (Computer Emergency Response Team). CERT –RO CENTRUL NAȚIONAL DE RĂSPUNS LA INCIDENTE DE SECURITATE CIBERNETICĂ
Se pot reduce vulnerabilitatile prin folosirea de
“bune practici” la dezvoltarea aplicatiilor software, dar nu ne putem astepta la asigurarea unei securitati complete a unui sistem. Odata cu dezvoltarea tehnologiei calculatoarelor acestea au devenit unelte foarte importante in mana celor care se ocupa cu frauda. Odata cu folosirea pe scara larga a internetului atacurile catre sistemele informationale au devenit din ce in ce mai complexe si mai numeroase. Conform www. scmagazine.com, in 2013 nr de host-uri - 1 miliard nr de utilizatori - 2,8 miliarde. Exista multe retele si organizatii criminale care comit fraude utilizand calculatoarele, prin atacul asupra altor calculatoare si sisteme informatice, din domeniu privat sau public, ◦ de la furtul identitatii persoanelor si folosirea informatiilor financiare, ◦ la atacul asupra unor sisteme strategice de aparare si securitate nationale Daca la inceputuri, strategia urmarita in securitatea informatiei era cea de protectie a sistemelor de calcul,
astazi se bazeaza pe folosirea si dezvoltarea
de IDS-uri (intrusion detection system) – sisteme de detectare a intruziunilor. Data mining = extragere de informatii din baze de date f. mari Tehnicile de data mining au fost aplicate cu succes in multe domenii inclusiv securitate IT.
Data mining in securitatea informatiei se
concentreaza pe detectarea intruziunilor. Tehnicile data mining implicate in procesul de detectare a intruziunilor se impart in doua categorii: ◦ cele folosite in detectarea utilizării inadecvate (“misuse detection”) și ◦ cele folosite pentru detectarea anomaliilor (“anomaly detection”). Fiecare exemplu din colectia de date este etichetat ca „normal” sau „intruziune”, dupa care, folosind o multime de training, se construieste un model de clasificator care este apoi folosit pentru identificarea ca „normal” sau „intruziune” a altor exemple, care nu fac parte din multimea de training. Un astfel de model este foarte bun pentru detectarea atacurilor cunoscute dar nu poate detecta atacuri de tip nou, pentru ca nu este antrenat sa o faca. Din acest motiv rata alarmelor false (adica a detectarii unei actiuni semnalizata ca si atac dar care este, de fapt, o utilizare legitima a retelei) este mica, in schimb nu pot detecta atacuri complet noi. Pe de alta parte, detectarea anomaliilor presupune construirea unor modele de comportare normala astfel incat orice abatere de la normal sa fie vazuta ca intruziune. Desi aceste tehnici pot detecta atacuri complet noi, experienta arata ca rata alarmelor false este destul de mare. Principalul motiv pentru care tehnicile de data mining sunt folosite pentru detectarea intruziunilor este acela ca acestea ajuta la prelucrarea automata a bazelor de date foarte mari. Tehnicile data mining sunt folosite pentru: ◦ detectarea de noi vulnerabilitati si intruziuni ◦ descoperirea de modele noi de atacuri ◦ luarea unor decizii in managementul intruziunilor. Pentru aplicarea tehnicilor data mining in detectarea intruziunilor, datele trebuie preprocesate intai si transformate intr-un format convenabil acestor tehnici. Etapa de preprocesare a datelor. Datele care trebuie monitorizate sunt prelucrate si convertite la un format care sa poata permite aplicarea tehnicilor de data mining. Etapa de modelare data mining. Pe baza datelor preprocesate se construieste un model folosindu-se tehnicile de data mining. Etapa de aplicare a modelului. Modelul se aplica datelor si IDS-ul (Intrusion Detection System) furnizeaza rezultatele: detectarea intruziunilor, descoperirea de noi atacuri. Clusterizarea Clasificarea Detectarea valorilor exceptionale (outlier detection) Reguli de asociere