1 Implementacja systemu IDS wykorzystującego algorytmy rozpoznawania obrazówAutor: Maciej Piwowarczyk Prowadzący pracę: dr inż. Anna Jasińska - Suwada Konsultant: mgr inż. Marcin Klamra

2 Cel pracy Implementacja systemu wykrywającego ataki i przypadki niewłaściwego użycia systemu bazodanowego PostgreSQL System musi cechować skuteczność wykrywania intruzji, łatwość zarządzania i wysoka wydajność analizy Wykorzystanie pomysłów zaczerpniętych z algorytmów rozpoznawania obrazów Porównanie systemu z wybranym systemem IDS (Snort)

3 Charakterystyka systemuSystem IDS typu sieciowego Wykrywanie zagrożeń w oparciu o wykrywanie anomalii Tworzenie profilu statycznego definiowanego przez administratora systemu w oparciu o ciąg uczący Profil definiowany dla bazy danych aplikacji, nie dla serwera SQL Możliwość konfiguracji dokładności przeprowadzanej analizy

4 Analiza zapytań SQL Pełna analiza składniowa czterech najpopularniejszych typów zapytań: SELECT, INSERT, UPDATE oraz DELETE Pozostałe komendy SQL są poddawane analizie uproszczonej Wykorzystanie w analizie charakterystycznych cech języka SQL (ignorowanie wielkości liter, ilości białych znaków) Ze względu na standaryzację języka SQL analiza zapytań nie jest ściśle związana ze środowiskiem PostgreSQL Możliwość szybkiego sprawdzenia identyczności zapytań (po uprzednim przekształceniu) dzięki porównaniu skrótów MD5 Wykorzystanie tablicy asocjacyjnej hash_map z biblioteki standardowej

5 Przykład analizy zapytania SELECTSELECT id, firstname, lastname FROM user WHERE name = ‘Klient1’ Limit 1 ; select id, firstname, lastname from user where name=‘Klient1’ limit 1 select id, firstname, lastname from user where name=[:string:] limit [:number:] select firstname, id, lastname from user where name=[:string:] limit [:number:] d198fab968bea35db049cbba2290cd03

6 Wykorzystanie algorytmów rozpoznawania obrazówPodział zapytań SQL na klasy Dla każdej z klas określenie czy dana klasa odpowiada bezpiecznym lub niebezpiecznym komendom Tworzenie wzorców zapytań podobnie jak w metodzie Najbliższej Mody Przy pełnym porównywaniu komend wykorzystanie pomysłu z algorytmu Najbliższego Sąsiada z wykorzystaniem wzorców

7 Wybrany system IDS - SnortJeden z najpopularniejszych systemów IDS System IDS typu sieciowego Klasyczny system działający w oparciu o sygnatury ataków Duża wydajność analizy pakietów sieciowych Duża ilość dostępnych publicznie sygnatur ataków Dostępnych jest wiele rozszerzeń dla systemu Snort implementowanych w postaci dodatkowych wtyczek (pluginów)

8 Zestawienie skuteczności wykrywania ataków

9 Zestawienie liczby generowanych fałszywych alarmów

10 Zestawienie czasu analizy 100 tys. komend SQL

11 Podsumowanie Dalsze możliwości rozwoju aplikacjiDostosowanie systemu do współpracy z innymi systemami bazodanowymi Pogłębiona analiza zapytań SQL Dodanie elementów systemu sygnaturowego Rozwój mechanizmów tworzenia raportów i zgłaszania alarmów