Μελέτη έξυπνων μεθοδολογιών που μπορούν να βελτιώσουν τις υπηρεσίες της ασφαλείας των υπολογιστών και να επεκτείνουν τη λειτουργικότητα των SIEM. Η ευφυΐα στα SIEM έγκειται στη χρήση των ευφυών κανόνων, των τεχνολογιών επιχειρησιακής νοημοσύνης, στα πλαίσια ανταλλαγής πληροφοριών σχετικά με τις απειλές, καθώς και στα πρότυπα της μηχανικής μάθησης. Διπλωματική εργασία στο ΠΜΣ Ευφυείς Τεχνολογίες Διαδικτύου, επιβλέπων καθηγητής κ. Χρήστος Ηλιούδης.
This course is about different types of organisms and their taxonomical position . This discusses, how is science of identification, nomenclature and classification developed during the course of time. This course also covers all the essential topics like types of classification and systems of classification in a nut shell. All the information is authentic and will help to understand the subject very well in an easy and interesting way. The innovative approach to this topic is to explain the topics by pictorial diagrams and tables, which is a comparative account of all the respective and related topics. Please feel free to comment and give your suggestions.
This document summarizes key concepts from a chapter on chemistry in biology, including:
- Elements are pure substances that cannot be broken down further, and compounds are formed when elements combine.
- Atoms are made of protons, neutrons, and electrons. Chemical bonds like covalent and ionic bonds form between atoms.
- Water has unique properties like polarity that allow it to dissolve many other substances.
- The four main macromolecules that make up living things are carbohydrates, lipids, proteins, and nucleic acids.
- Chemical reactions involve reactants forming products, and can be exothermic or endothermic. Enzymes act as biological catalysts in reactions.
Earthworms have segmented bodies and belong to the phylum Annelida. They have a clitellum that aids in reproduction through the formation of cocoons. Their digestive system consists of a mouth, pharynx, esophagus, crop, gizzard, and intestine. They have a closed circulatory system with five aortic arches and dorsal and ventral blood vessels. Their nervous system is made up of a ventral nerve cord with ganglia and a nerve collar surrounding the pharynx. Respiration occurs through their moist skin.
1. The document discusses the classification of animals based on their level of organization, symmetry, germ layers, body cavity, segmentation, and presence of a notochord.
2. It describes the key characteristics of 14 animal phyla: Porifera, Coelenterata, Ctenophora, Platyhelminthes, Aschelminthes, Annelida, Arthropoda, Mollusca, Echinodermata, Hemichordata, Chordata, Urochordata, Cephalochordata, and Vertebrata.
3. The phyla are classified and compared based on features such as body plan, tissue/organ level organization, symmetry,
This document discusses the structure and classification of joints in the human body. It begins by defining arthrology as the study of joints, which connect two or more bones. Joints are classified as either synarthroses (immovable joints) or diarthroses (freely movable joints). Diarthroses, also called synovial joints, are further classified based on their plane of movement, number of articulating bones, and shape of the articulating surfaces. Key features of synovial joints include the articular capsule, articular cartilage, synovial fluid, ligaments, and associated structures like menisci and bursae. The document provides detailed descriptions of these structures and their functions.
This course is about different types of organisms and their taxonomical position . This discusses, how is science of identification, nomenclature and classification developed during the course of time. This course also covers all the essential topics like types of classification and systems of classification in a nut shell. All the information is authentic and will help to understand the subject very well in an easy and interesting way. The innovative approach to this topic is to explain the topics by pictorial diagrams and tables, which is a comparative account of all the respective and related topics. Please feel free to comment and give your suggestions.
This document summarizes key concepts from a chapter on chemistry in biology, including:
- Elements are pure substances that cannot be broken down further, and compounds are formed when elements combine.
- Atoms are made of protons, neutrons, and electrons. Chemical bonds like covalent and ionic bonds form between atoms.
- Water has unique properties like polarity that allow it to dissolve many other substances.
- The four main macromolecules that make up living things are carbohydrates, lipids, proteins, and nucleic acids.
- Chemical reactions involve reactants forming products, and can be exothermic or endothermic. Enzymes act as biological catalysts in reactions.
Earthworms have segmented bodies and belong to the phylum Annelida. They have a clitellum that aids in reproduction through the formation of cocoons. Their digestive system consists of a mouth, pharynx, esophagus, crop, gizzard, and intestine. They have a closed circulatory system with five aortic arches and dorsal and ventral blood vessels. Their nervous system is made up of a ventral nerve cord with ganglia and a nerve collar surrounding the pharynx. Respiration occurs through their moist skin.
1. The document discusses the classification of animals based on their level of organization, symmetry, germ layers, body cavity, segmentation, and presence of a notochord.
2. It describes the key characteristics of 14 animal phyla: Porifera, Coelenterata, Ctenophora, Platyhelminthes, Aschelminthes, Annelida, Arthropoda, Mollusca, Echinodermata, Hemichordata, Chordata, Urochordata, Cephalochordata, and Vertebrata.
3. The phyla are classified and compared based on features such as body plan, tissue/organ level organization, symmetry,
This document discusses the structure and classification of joints in the human body. It begins by defining arthrology as the study of joints, which connect two or more bones. Joints are classified as either synarthroses (immovable joints) or diarthroses (freely movable joints). Diarthroses, also called synovial joints, are further classified based on their plane of movement, number of articulating bones, and shape of the articulating surfaces. Key features of synovial joints include the articular capsule, articular cartilage, synovial fluid, ligaments, and associated structures like menisci and bursae. The document provides detailed descriptions of these structures and their functions.
Σχεδίαση και ανάπτυξη μηχανισμού αναγνώρισης επιθέσεων ασφαλείας σε διαδικτυα...ISSEL
Η αυξανόμενη χρήση του διαδικτυακού λογισμικού και η δημοφιλία του λογισμικού-ως-υπηρεσία έχει δημιουργήσει ένα μεγάλο κενό ασφαλείας στα συστήματα που μέχρι πριν από λίγα χρόνια "έτρεχαν" σε κλειστά δίκτυα: η πληροφορία (ευαίσθητη και μη) είναι πλέον διαθέσιμη στο διαδίκτυο. Κατά συνέπεια, η εφαρμογή κατάλληλων τεχνικών ασφάλειας του λογισμικού είναι μονόδρομος για τη θωράκισή της. Ο έλεγχος ασφάλειας πρέπει πλέον να γίνεται σε διάφορα και διαφορετικά επίπεδα, όπως στο επίπεδο δικτύου, στο επίπεδο του λειτουργικού, αλλά και στο επίπεδο της εφαρμογής. Στο πλαίσιο αυτό η παρούσα διπλωματική αποσκοπεί στη σχεδίαση και ανάπτυξη ενός μηχανισμού για την αναγνώριση πιθανών επιθέσεων ασφαλείας με τη χρήση τεχνικών μηχανικής μάθησης. Στόχος είναι η εφαρμογή τεχνικών μηχανικής μάθησης για την αναγνώριση "καλών" και “κακών” προτύπων συμπεριφοράς στο επίπεδο χρήστη (application-level). Ανάλυση θα γίνει σε δυναμικό επίπεδο (κατά τη λειτουργία των εφαρμογών) και θα αναπτυχθεί ένας μηχανισμός λήψης αποφάσεων.
Design and development of a Machine Learning based attack detection system fo...ISSEL
The increasing use of web applications and the popularity of Software-As-A-Service has created room for major vulnerability issues in systems which up until recently were “running” in restricted networks: information (sensitive or not) is now available on the internet. As a consequence, using appropriate software security procedures is the only way to protect it. Security checks must be performed in many and different layers, like the network layer, the OS layer, and also the application layer. In light of this, the objective of this diploma thesis is the design and development of a system that detects possible security attacks using machine learning algorithms. The goal is the use of machine learning algorithms to detect “good” and “bad” behaviors at the application layer. The analysis will be dynamic (at runtime) and a decision mechanism will be developed.
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςTicTac Data Recovery
Στην ομιλία του ICT Pro Security Conference - του συνεδρίου Cyber Security - στις 14/11/2019 η Tictac Data Recovery μιλάει για πρακτικές συμβουλες κυβερνοασφάλειας. Ομιλητές: Παναγιώτης Πιέρρος & Μιχάλης Μίγγος. Υλικό: https://tictac.gr/ict-synedrio-cyber-security-synedrio-kyvernoasfaleias-november/
Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
SNORT IDS Use Case - Συστήματα προσδιορισμού εισβολέων ανοιχτού κώδικαAngelos Alevizopoulos
Snort IDS basic rules and use case about port scanning detection.
Μελέτη περίπτωσης του Snort IDS για την ειδοποίηση ύποπτων δραστηριοτήτων σε δίκτυα. Το παράδειγμα λήψης ειδοποιήσεων σχετικά με την πρακτική σάρωσης θυρών TCP/UDP.
Στρατηγική Κοινωνικής Δικτύωσης για το κατάστημα κοσμημάτων Βελώνης - Social ...Angelos Alevizopoulos
Σχεδιασμός και εφαρμογή τεχνικών προώθησης μέσω Κοινωνικών Μέσων. Παρουσίαση για τις ανάγκες του μαθήματος Κοινωνικής Δικτύωσης του Π.Μ.Σ. Ευφυείς Τεχνολογίες Διαδικτύου. Τμήμα Μηχανικών Πληροφορικής Αλεξάνδρειο ΑΤΕΙ Θεσσαλονίκης - Social Media Strategy from planning to appliance. Presentation in Greek languange for the needs of Social Computing lesson MSc Web Intelligence class. Saturday 16 December 2017 at Department of Computer Engineering Alexander TEI of Thessaloniki.
Weitere ähnliche Inhalte
Ähnlich wie ΕΥΦΥΗ SIEM (Security Information Event Management)
Σχεδίαση και ανάπτυξη μηχανισμού αναγνώρισης επιθέσεων ασφαλείας σε διαδικτυα...ISSEL
Η αυξανόμενη χρήση του διαδικτυακού λογισμικού και η δημοφιλία του λογισμικού-ως-υπηρεσία έχει δημιουργήσει ένα μεγάλο κενό ασφαλείας στα συστήματα που μέχρι πριν από λίγα χρόνια "έτρεχαν" σε κλειστά δίκτυα: η πληροφορία (ευαίσθητη και μη) είναι πλέον διαθέσιμη στο διαδίκτυο. Κατά συνέπεια, η εφαρμογή κατάλληλων τεχνικών ασφάλειας του λογισμικού είναι μονόδρομος για τη θωράκισή της. Ο έλεγχος ασφάλειας πρέπει πλέον να γίνεται σε διάφορα και διαφορετικά επίπεδα, όπως στο επίπεδο δικτύου, στο επίπεδο του λειτουργικού, αλλά και στο επίπεδο της εφαρμογής. Στο πλαίσιο αυτό η παρούσα διπλωματική αποσκοπεί στη σχεδίαση και ανάπτυξη ενός μηχανισμού για την αναγνώριση πιθανών επιθέσεων ασφαλείας με τη χρήση τεχνικών μηχανικής μάθησης. Στόχος είναι η εφαρμογή τεχνικών μηχανικής μάθησης για την αναγνώριση "καλών" και “κακών” προτύπων συμπεριφοράς στο επίπεδο χρήστη (application-level). Ανάλυση θα γίνει σε δυναμικό επίπεδο (κατά τη λειτουργία των εφαρμογών) και θα αναπτυχθεί ένας μηχανισμός λήψης αποφάσεων.
Design and development of a Machine Learning based attack detection system fo...ISSEL
The increasing use of web applications and the popularity of Software-As-A-Service has created room for major vulnerability issues in systems which up until recently were “running” in restricted networks: information (sensitive or not) is now available on the internet. As a consequence, using appropriate software security procedures is the only way to protect it. Security checks must be performed in many and different layers, like the network layer, the OS layer, and also the application layer. In light of this, the objective of this diploma thesis is the design and development of a system that detects possible security attacks using machine learning algorithms. The goal is the use of machine learning algorithms to detect “good” and “bad” behaviors at the application layer. The analysis will be dynamic (at runtime) and a decision mechanism will be developed.
ICT Pro Security : 10 απλοί και κατανοητοί κανόνες προστασίας απο ΚυβερνοαπειλέςTicTac Data Recovery
Στην ομιλία του ICT Pro Security Conference - του συνεδρίου Cyber Security - στις 14/11/2019 η Tictac Data Recovery μιλάει για πρακτικές συμβουλες κυβερνοασφάλειας. Ομιλητές: Παναγιώτης Πιέρρος & Μιχάλης Μίγγος. Υλικό: https://tictac.gr/ict-synedrio-cyber-security-synedrio-kyvernoasfaleias-november/
Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
SNORT IDS Use Case - Συστήματα προσδιορισμού εισβολέων ανοιχτού κώδικαAngelos Alevizopoulos
Snort IDS basic rules and use case about port scanning detection.
Μελέτη περίπτωσης του Snort IDS για την ειδοποίηση ύποπτων δραστηριοτήτων σε δίκτυα. Το παράδειγμα λήψης ειδοποιήσεων σχετικά με την πρακτική σάρωσης θυρών TCP/UDP.
Στρατηγική Κοινωνικής Δικτύωσης για το κατάστημα κοσμημάτων Βελώνης - Social ...Angelos Alevizopoulos
Σχεδιασμός και εφαρμογή τεχνικών προώθησης μέσω Κοινωνικών Μέσων. Παρουσίαση για τις ανάγκες του μαθήματος Κοινωνικής Δικτύωσης του Π.Μ.Σ. Ευφυείς Τεχνολογίες Διαδικτύου. Τμήμα Μηχανικών Πληροφορικής Αλεξάνδρειο ΑΤΕΙ Θεσσαλονίκης - Social Media Strategy from planning to appliance. Presentation in Greek languange for the needs of Social Computing lesson MSc Web Intelligence class. Saturday 16 December 2017 at Department of Computer Engineering Alexander TEI of Thessaloniki.
Tα κοινωνικά μέσα ενημέρωσης ως μια πλατφόρμα επικοινωνίας σε περιβάλλον κρίσ...Angelos Alevizopoulos
Social Media as a Crisis Communication Arena: Digging Into New Communication Spaces - 2017 Proceedings of the 4th European Conference on Social Media (ECSM).
Publishers: Eva Goldgruber, Susanne Sackl-Sharif, Robert Gutounig and Julian Ausserhofer.
Student's presentation for MSc Web Intelligence, Alexandrio ATEI Thessaloniki, Class of Social Computing.
Machine Learning: Regression with Conjugate Gradient and Levenberg Marquardt ...Angelos Alevizopoulos
Machine Learning paper on Multi-layer Perceptron: Regression with Conjugate Gradient and Levenberg Marquardt Algorithms (Presentation in Greek language).
This technical report discusses WiFi Direct technology, which allows devices to directly communicate with each other over WiFi without an Internet connection or wireless access point. It describes how WiFi Direct uses device discovery, role negotiation, and security provisioning to enable devices to form groups and communicate securely. WiFi Direct supports data rates up to 250Mbps and has a coverage range of about 200 meters. It works in the 2.4GHz band and implements power management features to reduce power consumption for portable devices.
Low power consumption and wide area coverage are two important factors that build LPWA technology. SigFox is the operator of a cellular network dedicated to low throughput communication for connected devices. Company’s patented UNB technology achieves a broad scale connection to M2M/IoT devices over large distances. Low bit rate transmissions allows greater autonomy and saving energy at end devices.
2. Σύμφωνα με την ετήσια έρευνα της ομάδας RISK του
παρόχου Verizon για το έτος 2018, καταγράφηκαν
53.000 συμβάντα και 2.216 επιβεβαιωμένες
παραβιάσεις δεδομένων παγκοσμίως.
Συνολικά το 68% του κακόβουλου λογισμικού
(malware) εντοπίζεται μετά από μήνες μόλυνσης
Το 20% των malware εντοπίζεται μετά από μερικές
εβδομάδες
και μόνο το 12% των malware εντοπίζεται άμεσα ή
μετά από κάποιες ημέρες.
ΕΠΙΓΝΩΣΗ ΤΗΣ ΚΑΤΑΣΤΑΣΗΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ
https://bit.ly/2TnsTt0
3. Τα logs περιέχουν χρήσιμες πληροφορίες, όπως:
1. Ποιος μας επιτίθεται;
2. Με ποιούς τρόπους απέκτησαν πρόσβαση στο
σύστημα μας;
Οι επιτυχημένες επιθέσεις σπάνια μοιάζουν με
πραγματικές επιθέσεις. Συνήθως γίνονται αντιληπτές
κατά την μετέπειτα εγκληματολογική έρευνα.
ΑΡΧΕΙΑ ΚΑΤΑΓΡΑΦΗΣ (LOGS)
4. Τα εργαλεία ανίχνευσης εισβολών (Intrusion
Detection Systems - IDS) εντοπίζουν μόνο πακέτα,
πρωτόκολλα και διευθύνσεις IP. Περιορίζονται σε ένα
στατικό τρόπο αναγνώρισης μοτίβων και ενεργειών
γνωστών ως υπογραφές τις επίθεσης (Indicators of
Compromise - IoCs).
Τα προϊόντα προστασίας των άκρων του δικτύου
(Endpoint security) εντοπίζουν μόνο αρχεία, μη
εξουσιοδοτημένους χρήστες και συσκευές.
Τα logs των διάφορων υπηρεσιών εμφανίζουν μόνο
τις συνδέσεις των χρηστών, τις δραστηριότητες των
υπηρεσιών και τις αλλαγές των ρυθμίσεων.
ΜΗΧΑΝΙΣΜΟΙ ΤΗΣ ΑΣΦΑΛΕΙΑΣ
5. Σκεφτείτε τα SIEM ως ένα σύστημα διαχείρισης των
συστημάτων και των μηχανισμών της ασφάλειας.
Συνδέουν τις πληροφορίες που περιέχονται στα
υπάρχοντα συστήματα και επιτρέπουν την ανάλυση
και την διασταύρωση, σε ένα ενιαίο περιβάλλον.
Πλεονεκτήματα:
Ολοκληρωτική άποψη του δικτύου
Έγκαιρη ανίχνευση των περιστατικών ασφαλείας
Μεγάλη ακρίβεια των αποτελεσμάτων
Ελαχιστοποίηση των πιθανών εσφαλμένων
ειδοποιήσεων (false positives )
Η ΚΑΙΝΟΤΟΜΙΑ ΤΩΝ SIEM
6. Τα SIEM διαθέτουν ικανότητες ανάλυσης μεγάλου
όγκου δεδομένων.
Η λειτουργία τους είναι, τόσο χρήσιμη όσο και οι
πληροφορίες που τα τροφοδοτούν.
Ελέγχουν το περιεχόμενο των logs και το συγκρίνουν με
ένα σύνολο κανόνων, για τον εντοπισμό πιθανών
παραβιάσεων των απαιτήσεων συμμόρφωσης, με τους
κανονισμούς της ασφάλειας.
Η κύρια αιτία τοποθέτησης των SIEM είναι για λόγους
εφαρμογής της πολιτικής συμμόρφωσης. Σχετική
έρευνα ανέδειξε ότι το ποσοστό αυτό προσεγγίζει το
80% της χρήσης.
Ο ΡΟΛΟΣ ΤΩΝ SIEM ΣΤΗΝ ΕΠΙΧΕΙΡΗΜΑΤΙΚΗ
ΣΤΡΑΤΗΓΙΚΗ
7. Κάθε ΛΣ και κάθε εφαρμογή καταγράφουν τα logs με
το δικό τους τρόπο, καθιστώντας δύσκολο το χειρισμό.
Τα περισσότερα logs συντάσσονται με τέτοιο τρόπο,
ώστε να μπορούν να διαβαστούν από τον άνθρωπο και
όχι από τους υπολογιστές.
Η ανάλυση των logs είναι εφικτή με τις διαδικασίες
της συλλογής, της κανονικοποίησης και της
συνάθροισης.
Η μονάδα διαχείρισης των logs είναι υπεύθυνη για την
αποθήκευση, την αρχειοθέτηση, την οργάνωση και την
ανάκτηση.
ΣΥΛΛΟΓΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ LOGS
8. Παρακολούθηση πληροφοριών σε προστατευμένο
περιβάλλον
Συλλογή και διαχείριση των logs σε πραγματικό χρόνο
Αναφορές συμμόρφωσης και παρουσίαση
Συσχέτιση συμβάντων (event correlation)
Ανάλυση συμπεριφοράς και αποτροπή απειλών
Διαχείριση της ασφάλειας στα άκρα του δικτύου
Υπηρεσίες εγκληματολογικής αξιολόγησης (forensics)
Υπηρεσίες SaaS (SIEM as a Service)
Υποστήριξη επιχειρησιακών κέντρων ασφάλειας (Security
Operation Centers - SOCs) και ομάδων αντιμετώπισης
περιστατικών στον κυβερνοχώρο (Cyber Incident Response
Teams - CIRTs)
ΠΕΡΙΓΡΑΦΗ ΤΗΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΩΝ SIEM
9. Η συσχέτιση είναι η διαδικασία αντιστοίχισης των
συμβάντων, που προέρχονται από διαφορετικά
συστήματα (κεντρικούς υπολογιστές, συσκευές
δικτύου, μηχανισμούς ασφάλειας).
Επιτρέπει τον προσδιορισμό διαφορετικών
συμβάντων, τα οποία καταγράφονται συνολικά στο
δίκτυο και πιθανόν να αποκαλύψουν την εξέλιξη μιας
επίθεσης.
Επίσης, επιτρέπει την αυτοματοποίηση του
εντοπισμού συμβάντων, με την χρήση κανόνων.
Η ΔΥΝΑΜΗ ΤΗΣ ΣΥΣΧΕΤΙΣΗΣ
10. Η διαφορά της συσχέτισης ειδοποιήσεων μεταξύ:
και
Η ΔΥΝΑΜΗ ΤΗΣ ΣΥΣΧΕΤΙΣΗΣ ΙΙ
11. Τα SIEM πλαισιώνουν τις λειτουργίες των SOCs
παρέχοντας προηγμένες υπηρεσίες ασφάλειας, που
συμβάλλουν στην προληπτική αντιμετώπιση των
απειλών, όπως:
Διαχείριση ευπαθειών (Vulnerabilities management)
Αντιμετώπιση περιστατικών (Incident response)
Υπηρεσίες πληροφοριών σχετικά με τις απειλές
(Cyber Threat Intelligence - CTI)
Προηγμένη ανάλυση μεγάλων όγκων δεδομένων
(SIEM & Big Data Security Analytics )
ΥΠΟΣΤΗΡΙΞΗ SOC(S) ΚΑΙ CIRT(S)
14. ΣΥΓΚΡΙΣΗ ΤΩΝ SIEM ΑΝΟΙΚΤΟΥ ΚΩΔΙΚΑ
Χαρακτηριστικά
προϊόντος
AlienVault
OSSIM
Elastic SIEM OSSEC Wazuh MozDef
Παρακολούθηση
πραγματικού
χρόνου
≈ 200 EPS < 500 EPS < 500 EPS 300M EPS
Περίπτωση
χρήσης
Πειραματικά
και μικρού
μεγέθους
δίκτυα
Πειραματικά
και μικρού
μεγέθους
δίκτυα
Μεγαλύτερα
δίκτυα και
cloud
υπηρεσίες
Μεγάλα δίκτυα
και cloud
υπηρεσίες
Ευφυείς
λειτουργίες
Συσχέτιση
Elastic
Common
Schema
Security
analytics
Machine
Learning, SOAR
Cyber Threat
Intelligence
OTX
Εμπορική
έκδοση
OTX RESTful API
Αναφορές
συμμόρφωσης
GDPR, PCI-DDS,
HIPAA, ISO
27001 κ.α.
Kibana
PCI-DDS, GDPR,
HIPAA κ.α.
Kibana
15. H ανάπτυξη της ευφυΐας είναι ένα αποτέλεσμα
συντονισμένης προσπάθειας και είναι εφικτή με:
Τη χρήση των ευφυών κανόνων,
Τη χρήση τεχνολογιών επιχειρηματικής νοημοσύνης,
Τα συνεργατικά πλαίσια διαμοιρασμού IoCs και τις
υπηρεσίες CTI,
Tα πρότυπα της Μηχανικής Μάθησης.
Η ΕΥΦΥΪΑ ΣΤΑ SIEM
16. Ανίχνευση συμβάντων και σε επίπεδο εφαρμογής.
Υποστηρίζουν τη διαρκή ενημέρωση με νέες
υπογραφές και το διαμοιρασμό έτοιμων κανόνων με
τις κοινότητες CTI, π.χ. MISP (Malware Information
Sharing Platform).
Εργαλείο sigmac - μετατροπή κανόνων Sigma σε
ερωτήματα SIEM και εξαγωγή, σε μορφή κατάλληλη
για εισαγωγή στις υποστηριζόμενες πλατφόρμες.
Εργαλείο sigma2misp – εισαγωγή κανόνων στην
πλατφόρμα MISP.
ΕΥΦΥΕΙΣ ΚΑΝΟΝΕΣ - SIGMA
17. Ανάλυση υπογραφών σε αρχεία και στη μνήμη.
Υποστηρίζει αυτόνομη και συνεργατική λειτουργία:
oIDS (Zeek, aka Bro)
oAV (ClamAV)
Ιδανική χρήση για την αποκάλυψη των απειλών APT
(Advance Persistent Threats).
Κατηγοριοποίηση των διαφορετικών οικογενειών
malware.
ΕΥΦΥΕΙΣ ΚΑΝΟΝΕΣ - YARA
18. rule Example {
meta:
description = "This is an example"
strings:
$my_text_string = "text"
$my_hex_string = { E2 34 A1 C8 23 FB }
$my_regex_string = /md5: [0-9a-fA-F]{32}/
condition:
$my_text_string or $my_hex_string or
$my_regex_string
}
ΠΑΡΑΔΕΙΓΜΑ ΚΑΝΟΝΑ YARA
19. Το εργαλείο yarGen διαθέτει μια τεράστια βάση
δεδομένων, η οποία περιέχει καλόβουλα αλφαριθμητικά
(goodwares) και καλοήθης κώδικες λειτουργίας
(opcodes).
Εξάγει όλα τα ASCII και UNICODE strings από τα αρχεία
που εξετάζει.
Αντικαθιστά τα όμοια goodwares που εμφανίζονται στη
βάση δεδομένων.
Η ταξινόμηση των αλφαριθμητικών πραγματοποιείται με
τη χρήση του ταξινομητή Naive Bayes.
Έπειτα από διαδοχικές συγκρίσεις μεταξύ των αρχείων,
εξάγονται τα αλφαριθμητικά και σχηματίζονται οι απλοί
(Simple rules) και οι υπέρ κανόνες (Super rules)
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA
20. Στατική ανάλυση του malware njRAT και παραγωγή
κανόνα με το εργαλείο yarGen
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA II
21. Εκτέλεση σάρωσης και εντοπισμός του κακόβουλου
λογισμικού, με τη χρήση του παραγόμενου κανόνα
στο εργαλείο Yara
ΑΥΤΟΜΑΤΟΠΟΙΗΜΕΝΗ ΠΑΡΑΓΩΓΗ ΚΑΝΟΝΩΝ
YARA III
22. ΣΥΓΚΡΙΣΗ ΠΑΡΑΓΟΜΕΝΩΝ ΚΑΝΟΝΩΝ ΜΕ ΤΑ
ΕΤΟΙΜΑ ΣΥΝΟΛΑ
Κακόβουλο
λογισμικό
Κοινά αλφαριθμητικά Λειτουργία
njRAT "cmd.exe /c ping 127.0.0.1 & del "" wide Κλήση προγράμματος του ΛΣ
njRAT "Execute ERROR" fullword wide
Αποστολή μηνύματος σφάλματος
κατά την αποσυμπίεση
njRAT "GetVolumeInformation"
Ανάκτηση πληροφοριών σχετικά
με το σύστημα αρχείων
WannaCry "tasksche.exe"
Διεργασία κρυπτογράφησης των
αρχείων του Η/Υ
WannaCry
"GlobalMsWinZonesCacheCounterMutexA"
fullword ascii
Κλήση αντικειμένου mutex για την
αποτροπή εκτέλεσης
περισσότερων του ενός
στιγμιότυπου
WannaCry "icacls . /grant Everyone:F /T /C /Q" fullword ascii
Αλλαγή δικαιωμάτων αρχείων και
φακέλων, τροποποίηση λιστών
ελέγχου πρόσβασης
23. Τα πρότυπα σύνταξης κανόνων επεκτείνουν την
ανίχνευση στα ανώτερα στρώματα του μοντέλου OSI
Ανίχνευση σε πραγματικό χρόνο και επαύξηση του
εύρος κάλυψης με τις υπηρεσίες CTI
Επιτρέπουν το διαμοιρασμό των πληροφοριών μεταξύ
των ερευνητικών ομάδων
Το yarGen παρέχει δυνατότητα παραγωγής πολλαπλών
κανόνων, με σημαντική ακρίβεια
Ωστόσο, καταναλώνει τους πόρους του συστήματος, η
διαχείριση των goodwares και η ακρίβεια των
παραγόμενων strings μπορούν να βελτιωθούν
ΣΥΜΠΕΡΑΣΜΑΤΑ
24. Η διπλωματική μας εργασία παρέχει ένα θεωρητικό
υπόβαθρο στις σύγχρονες τεχνολογίες της ασφάλεια
υπολογιστικών συστημάτων.
Η έρευνα μας θα μπορούσε να επεκταθεί στη μελέτη
των αλγόριθμων, που υλοποιούν οι μέθοδοι
αυτοματοποιημένης παραγωγής κανόνων και στην
ανάπτυξη ενός υπολογιστικού πλαισίου, βασισμένου
στα ενιαία πρότυπα σύνταξης κανόνων.
Η ανάπτυξη ενός εργαλείου αυτοματοποιημένης
παραγωγής των κανόνων Sigma, αποτελεί μια
επιπλέον προγραμματιστική πρόκληση, καθώς μέχρι
στιγμής δεν έχει υλοποιηθεί κάτι αντίστοιχο.
ΜΕΛΛΟΝΤΙΚΕΣ ΕΠΕΚΤΑΣΕΙΣ