Σύγκριση των συστημάτων ανίχνευσης εισβολών Zeek και Suricata με χρήση κακόβουλης κίνησης δικτύου

Abstract

Το διαδίκτυο και οι συν αυτώ τεχνολογίες εξελίσσονται με ραγδαίο ρυθμό. Ο συνολικός αριθμός χρηστών του διαδικτύου εκτιμάται να φτάσει τα 5.3 δις μέχρι το 2023 – από 3.9 δις το 2018 – εμφανίζοντας σύνθετο ετήσιο ρυθμό ανάπτυξης (Compound Annual Growth Rate – CAGR) 6%. Με αναγωγή σε μέγεθος πληθυσμού, οι αριθμοί αυτοί αντιπροσωπεύουν το 66% και το 51% του παγκόσμιου πληθυσμού, αντίστοιχα. (Cisco, 2020, p. 5) Σύμφωνα με στοιχεία από την Cisco Talos Incident Response (Talos IR), το τρίτο τετράμηνο του 2022 τα εκπαιδευτικά ιδρύματα υπήρξαν ο υπ’ αριθμόν ένα στόχος επιθέσεων (Huey, 2022), ενώ το τελευταίο τέταρτο την πρωτοκαθεδρία είχαν οι εταιρείες τηλεπικοινωνιών (Dontje, 2022). Η παρούσα διπλωματική εργασία εντάσσεται στον τομέα της ασφάλειας των πληροφοριακών και επικοινωνιακών συστημάτων. Σκοπός της είναι η συγκριτική μελέτη δύο ευρέως διαδεδομένων συστημάτων ανίχνευσης εισβολών (Intrusion Detection Systems – IDS), εν ονόματι Zeek και Suricata, βασιζόμενοι στα αποτελέσματα που προέκυψαν κατά την αναπαραγωγή κακόβουλης δικτυακής κίνησης, υπό την μορφή pcap αρχείων. Στόχος μας ήταν να συγκρίνουμε τα εν λόγω IDSs, μέσα από εξέταση και καταγραφή της συμπεριφοράς τους, με όσο το δυνατόν περισσότερες περιπτώσεις κακόβουλων λογισμικών, μελετώντας τα αρχεία καταγραφών για ενδείξεις παραβίασης (Indicators of Compromise – IoCs), ως συνεπακόλουθα της επίθεσης.

Internet and related technologies are evolving at a rapid pace. The total number of internet users is estimated to reach 5.3 billion by 2023 – up from 3.9 billion in 2018 – showing a compound annual growth rate (CAGR) of 6%. Adjusted for population size, these numbers represent 66% and 51% of the world's population, respectively. According to data from Cisco Talos Incident Response (Talos IR), in the third quarter of 2022, educational institutions were the number one target of attacks (Huey, 2022), whilst in the last quarter, priority was given to telecommunications companies (Dontje, 2022). But how can we ensure the protection of the information that circulates in a network? How can we safeguard our data, the smooth and uninterrupted operation of our network and consequently the services offered? This thesis joins the domain of information and communication systems security. Its purpose is the comparative study of two widespread Intrusion Detection Systems (IDS), namely Zeek and Suricata, based on the results obtained during the reproduction of malicious network traffic, in the form of pcap files. Our goal was to compare the IDSs in question by examining and recording their behavior with as many cases of malicious software as possible, scrutinizing their log files for indicators of compromise (IoCs), as a consequence of the attack.