dc.contributor.author | Tvenge, Morten | |
dc.date.accessioned | 2008-04-02T10:36:30Z | |
dc.date.issued | 2004 | |
dc.identifier.uri | http://hdl.handle.net/11250/143910 | |
dc.description.abstract | NORSK:
Benchmarking av Intrusion Detection Systems (IDS) kan være en viktig metode for å
finne ut om IDSen fungerer som den skal. Da IDS fungerer som en vaktbikkje mot
angrep, skadelig programvare eller andre potensielle trusler fra datanettverkene, er det
veldig viktig at IDSen fungerer som den skal. Høye rater av false-positives og falsenegatives
kan være en medvirkende årsak til argumentasjon mot å bruke IDS. Falsepositives
opptar både tid og resurser fra IT personell når IDSen genererer falske
alarmer. False-negatives er enda verre, siden dette er angrep som IDSen ikke klarer å
detektere. Slike feilrater gjør det vanskelig å rettferdiggjøre bruken av IDSer. Årsaken
til slik slike feilrater, kan ligge i begrensingene til IDS-arkitekturen og i
konfigurasjonen.
Å konfigurere en IDS slik at den virker som den skal, kan være vanskelig med mindre
en er ekspert på området. Benchmarking er en metode for hvordan man skal teste en
IDS, og dens funksjonalitet. Benchmarking av IDSer blir stort sett utført av eksperter
med en ganske så stiv prislapp. Hvis en ikke har råd til dyrt utstyr og leie av
konsulenttjenester, er en overlatt til seg selv. Arbeid innen IDS benchmarking gir ikke
noen entydig metode for IT personell og andre amatører med begensede resurser til å
teste IDSer. Det er mye programvare og metodikker å velge mellom, men
sannsynligheten for å lykkes er ikke stor. Det er mange feller som fører til dårlig eller
lite tilstrekkelige resultater.
Måten å angripe det på kan da være å finne en benchmarking metodikk som kan brukes
medfokus på å teste IDSens konfigurasjon. Ved å teste ulike konfigurasjoner av IDSen,
kan vi finne hvilken elementer, eller deler av konfigurasjoen som reduserer feilratene.
Ved å bruke eksisterende og gratis programvare med grunnlag i en god metodikk, kan
denne oppgaven brukes til å hjelpe IT personell og andre med små tilgjengelige
resurser, slik at også denne gruppen kan gjenmnomføre en IDS benchmark selv, eller
som hjelp til å vise hva som bør vektlegges i en IDS konfigurasjon. Dette vil
forhåpentligvis føre til forbedret konfigurasjon, slik at feil-ratene blir redusert, og IT
personellet kan fokusere på andre viktige arbeidsoppgaver. | no |
dc.description.abstract | ENGELSK:
Benchmarking Intrusion Detection Systems (IDS) can be an important way of finding
out how your IDS performs. As a watchdog against crackers, malicious code and other
potential threats from networks, it is important that you as certain as possible that the
IDS works as intended. High rates of false-positives and false-negatives may undermine
the reasons for using an IDS. False-positives occupies time and resources when the IDS
generates false alerts. Even worse, are the false-negatives, which is all the attacks the
IDS fails to detect. These high rates can make it difficult to justify the use of an IDS.
These error rates may be a consequence of the IDS architecture and how it is
configured.
It is a known fact that configuring an IDS to work properly is difficult, unless you are an
expert in the field. Benchmarking has been for experts only, and the price tag is often
high. If one cannot afford expensive equipment and hiring consultant services, one is
left alone with own skills and experience. Recent work with IDS benchmarking does
not reveal any unified approach for novices with limited resources. There is a jungle of
software to choose from and there are many pitfalls.
So one approach can be to use a benchmark methodology that can focus on testing the
configuration of the IDS. By testing an IDS with different configuration, we can find
witch elements in a configuration that are important to reduce the error rates. Using
existing and free software based on an adequate methodology, this thesis might be an
aid for novices in the work with configuring or benchmark their IDS, with the goal to
improve the configuration reducing error-rates and which may lead to improved security
response and freeing up resources. | en |
dc.format.extent | 816993 bytes | |
dc.format.mimetype | application/pdf | |
dc.language.iso | eng | en |
dc.subject | Intrusion Detection Systems | en |
dc.subject | IDS | en |
dc.subject | benchmarking | en |
dc.subject | datasikkerhet | en |
dc.title | Using benchmarking to improve IDS configurations | en |
dc.type | Master thesis | en |
dc.subject.nsi | VDP::Mathematics and natural science: 400::Information and communication science: 420::Security and vulnerability: 424 | en |