Analysis of Computer System Incidents and Security Level Evaluation

Abstract

The problems of incidents arising in computer networks and the computer system security level evaluation are considered in the thesis. The main research objects are incidents arising in computer networks, intrusion detection systems and network scanning types. The aim of the thesis is the investigation of the incidents in the computer networks and computer system security level evaluation. The following main tasks are solved in the work: classification of attacks and numerical evaluation of the attack severity level evaluation; quantitative evaluation of the computer system security level; investigation of the dependence of the computer system performance and availability on the attacks affecting the system and defense mechanisms used in it; development of the model simulating the computer network horizontal and vertical scanning. The thesis consists of general characteristic of the research, five chapters and general conclusions. General characteristic of the thesis is dedicated to an introduction of the problem and its topicality. The aims and tasks of the work are also formulated; the used methods and novelty of solutions are described; the author‘s publications and structure of the thesis are presented. Chapter 1 covers the analysis of existing publications related to the problems of the thesis. The survey of the intrusion detection systems is presented and methods of the intrusion detection are analyzed. The currently existing techniques of the attack classification are considered. Much attention is paid to the methods of the computer system security level evaluation, computer network scanning techniques and scanning detection methods. At the end of the chapter conclusions are drawn and tasks of the thesis are formulated. In chapter 2 the suggested computer system attack classification and the attack severity numerical evaluation are presented. The statistics of security incidents in three different organization networks is analyzed. The computer system security evaluation by using Mean Time-to-Compromise criteria is presented in chapter 3. In chapter 4 the new Stochastic Activity Network models for the investigation of the computer system performance and availability and network scanning techniques are developed. The results of the investigation of the intrusion detection system Snort 2.8.0 on the chosen hardware and the technique of logging data about intrusions by analyzing different speed network traffic are presented in chapter 5. The results of the thesis were announced at 10 conferences in Lithuania and Poland. Besides, 10 scientific papers were published, two of which are registered in the Thomson ISI Web of Science database, two papers are published in ISI Proceedings, one publication is quoted in Inspec database, two papers are published in reviewed conference proceedings and three papers are published in other conference proceedings.

Disertacijoje nagrinėjamos incidentų kompiuterių tinkluose ir kompiuterių sistemų saugumo lygio įvertinimo problemos. Pagrindiniai tyrimo objektai yra incidentai kompiuterių tinkluose, atakų atpažinimo sistemos ir kompiuterių tinklo žvalgos būdai. Disertacijos tikslas – incidentų kompiuterių tinkluose tyrimas ir kompiuterių sistemų saugumo lygio įvertinimas. Darbe sprendžiami šie pagrindiniai uždaviniai: atakų klasifikavimas ir jų sunkumo lygio skaitinis įvertinimas; kompiuterių sistemos saugumo lygio kiekybinis įvertinimas; kompiuterių sistemos našumo ir pasiekiamumo priklausomybės nuo sistemą veikiančių atakų ir joje naudojamų apsaugos mechanizmų tyrimas; modelio, imituojančio kompiuterių tinklo horizontalią ir vertikalią žvalgą kūrimas. Disertaciją sudaro įvadas, penki skyriai ir bendrosios išvados. Įvadiniame skyriuje nagrinėjamas problemos aktualumas, formuluojamas darbo tikslas bei uždaviniai, aprašomas mokslinis darbo naujumas, pristatomi autoriaus pranešimai ir publikacijos, disertacijos struktūra. Pirmasis skyrius skirtas literatūros apžvalgai. Jame apžvelgiamos atakų atpažinimo sistemos, analizuojami atakų atpažinimo metodai. Nagrinėjami atakų klasifikavimo būdai. Didelis dėmesys skiriamas kompiuterių sistemos saugumo lygio įvertinimo metodams, kompiuterių prievadų žvalgos būdams ir žvalgos atpažinimo metodams. Skyriaus pabaigoje formuluojamos išvados ir konkretizuojami disertacijos uždaviniai. Antrajame skyriuje pateikta sudaryta atakų nukreiptų į kompiuterių sistemą klasifikacija ir atakų sunkumo lygio skaitinis įvertinimas. Analizuojama trijose skirtingų veiklos sferų organizacijose surinkta duomenų apie incidentus statistika. Trečiajame skyriuje pateiktas sistemos saugumo lygio įvertinimo metodas vidutinio laiko iki sukompromitavimo kriterijumi. Ketvirtajame skyriuje pateikti sudaryti stochastinių veiklos tinklų modeliai, skirti kompiuterių sistemos našumui, jos teikiamų paslaugų pasiekiamumui ir kompiuterių tinklo žvalgos būdams tirti. Penktajame skyriuje pateikti eksperimentiniai atakų atpažinimo sistemos Snort 2.8.0 našumo priklausomybės nuo pasirinktos aparatinės įrangos ir duomenų apie atakas registravimo būdo tyrimo rezultatai. Disertacijos tema paskelbta 10 mokslinių straipsnių: du – straipsnių rinkiniuose, įtrauktuose į Thomson ISI Web of Science sąrašą, du – konferencijų medžiagose, referuotose Thomson ISI Proceedings duomenų bazėse, vienas – Inspec duomenų bazėje cituojamame žurnale, du – recenzuojamose tarptautinių konferencijų medžiagose bei trys respublikinių konferencijų medžiagose. Disertacijos tema perskaityta 10 pranešimų Lietuvos bei tarptautinėse konferencijose Lietuvoje ir Lenkijoje.