Using benchmarking to improve IDS configurations

Abstract

NORSK: Benchmarking av Intrusion Detection Systems (IDS) kan være en viktig metode for å finne ut om IDSen fungerer som den skal. Da IDS fungerer som en vaktbikkje mot angrep, skadelig programvare eller andre potensielle trusler fra datanettverkene, er det veldig viktig at IDSen fungerer som den skal. Høye rater av false-positives og falsenegatives kan være en medvirkende årsak til argumentasjon mot å bruke IDS. Falsepositives opptar både tid og resurser fra IT personell når IDSen genererer falske alarmer. False-negatives er enda verre, siden dette er angrep som IDSen ikke klarer å detektere. Slike feilrater gjør det vanskelig å rettferdiggjøre bruken av IDSer. Årsaken til slik slike feilrater, kan ligge i begrensingene til IDS-arkitekturen og i konfigurasjonen. Å konfigurere en IDS slik at den virker som den skal, kan være vanskelig med mindre en er ekspert på området. Benchmarking er en metode for hvordan man skal teste en IDS, og dens funksjonalitet. Benchmarking av IDSer blir stort sett utført av eksperter med en ganske så stiv prislapp. Hvis en ikke har råd til dyrt utstyr og leie av konsulenttjenester, er en overlatt til seg selv. Arbeid innen IDS benchmarking gir ikke noen entydig metode for IT personell og andre amatører med begensede resurser til å teste IDSer. Det er mye programvare og metodikker å velge mellom, men sannsynligheten for å lykkes er ikke stor. Det er mange feller som fører til dårlig eller lite tilstrekkelige resultater. Måten å angripe det på kan da være å finne en benchmarking metodikk som kan brukes medfokus på å teste IDSens konfigurasjon. Ved å teste ulike konfigurasjoner av IDSen, kan vi finne hvilken elementer, eller deler av konfigurasjoen som reduserer feilratene. Ved å bruke eksisterende og gratis programvare med grunnlag i en god metodikk, kan denne oppgaven brukes til å hjelpe IT personell og andre med små tilgjengelige resurser, slik at også denne gruppen kan gjenmnomføre en IDS benchmark selv, eller som hjelp til å vise hva som bør vektlegges i en IDS konfigurasjon. Dette vil forhåpentligvis føre til forbedret konfigurasjon, slik at feil-ratene blir redusert, og IT personellet kan fokusere på andre viktige arbeidsoppgaver.

ENGELSK: Benchmarking Intrusion Detection Systems (IDS) can be an important way of finding out how your IDS performs. As a watchdog against crackers, malicious code and other potential threats from networks, it is important that you as certain as possible that the IDS works as intended. High rates of false-positives and false-negatives may undermine the reasons for using an IDS. False-positives occupies time and resources when the IDS generates false alerts. Even worse, are the false-negatives, which is all the attacks the IDS fails to detect. These high rates can make it difficult to justify the use of an IDS. These error rates may be a consequence of the IDS architecture and how it is configured. It is a known fact that configuring an IDS to work properly is difficult, unless you are an expert in the field. Benchmarking has been for experts only, and the price tag is often high. If one cannot afford expensive equipment and hiring consultant services, one is left alone with own skills and experience. Recent work with IDS benchmarking does not reveal any unified approach for novices with limited resources. There is a jungle of software to choose from and there are many pitfalls. So one approach can be to use a benchmark methodology that can focus on testing the configuration of the IDS. By testing an IDS with different configuration, we can find witch elements in a configuration that are important to reduce the error rates. Using existing and free software based on an adequate methodology, this thesis might be an aid for novices in the work with configuring or benchmark their IDS, with the goal to improve the configuration reducing error-rates and which may lead to improved security response and freeing up resources.