aboutsummaryrefslogtreecommitdiff
path: root/sem4/sec
diff options
context:
space:
mode:
Diffstat (limited to 'sem4/sec')
-rw-r--r--sem4/sec/t6/opg.md70
1 files changed, 68 insertions, 2 deletions
diff --git a/sem4/sec/t6/opg.md b/sem4/sec/t6/opg.md
index e08240b..a26fc15 100644
--- a/sem4/sec/t6/opg.md
+++ b/sem4/sec/t6/opg.md
@@ -44,7 +44,7 @@ Derefter vil den give alarm hvis den ser at der er trafik der følger disse møn
Denne metode er forskellig fra Anomoly Detection ved at den prøver direkte at
genkende angreb og ikke så meget ændringer fra normal adfærd.
Derfor kan man argumentere at den ikke har så mange false positives da den er
-ligeglad med at der kommer extra normal trafik.
+ligeglad med at der kommer ekstra normal trafik.
Problemet er at det er svært at finde dataset til at træne sit system med.
Udover dette skal man huske at holde det opdateret med nye angrebs metoder.
@@ -68,4 +68,70 @@ en fordel af bruge flere af metoderne da de så kan supplere hinnanden.
> Diskuter de 3 cases, og lav en kort rapport for hver af dem.
-Hvordan er det her forskelligt fra opgaven før.
+### Løsning
+
+Her vil jeg lige skrive hvad jeg synes om hver af dem.
+
+#### Anomaly Detection
+
+Anomaly Detection har en kæmpe forvel over for signatur detection at den kan genkende
+trusler den ikke har set endnu.
+Til gengæld har den en tendens til at måle falsk positiv, for eksempel hvis man skifter
+måden man bruger netværket på.
+Derfor er det nødvendigt at man har et menneske til at læse alle alarmer igennem
+for at se om man skal gøre noget.
+
+Falske positiver kan også minimeres ved hele tiden at holde systemet opdateret med nuværende brug af netværket.
+
+Hvis et angreb ikke er larmende nok til at aktivere systemet vil der ikke komme nogen alarm.
+Derfor vil det nok være et god at kombinere det med signaturbaseret.
+
+#### Maskine læring
+
+Dette har den fordel at man ikke behøver at træne et netværk til den enkle
+situation men i stedet til hvert slags angreb.
+
+På den måde minder det meget om signatur baseret, og det tager derfor nogle af
+ulemperne med.
+For eksempel er det lidt et kapløb med malware udviklere om at lave malware og
+træne netværk til at se det.
+
+Ved ikke så meget om signatur baseret detection, men kan forestille mig at det
+kræver mindre end maskine læring.
+Dette ændrer sig måske lidt når man bruger GPU i stedet.
+
+Maskin læring har den fordel af den kan finde på mere avanceret måder end
+man kan udtrykke i regular expressions som bruges i signatur detection.
+
+#### Host baseret
+
+Dette er ikke så meget en anden metode men mere et andet sted at bruge det.
+
+Her fordeler man detection ud på alle de forskellige enheder forbundet til netværket.
+Dette giver et meget dybere indsigt i ikke kun netværket men også filer og kørende
+processor.
+Derfor kan det argumenteres at denne metode kan detektere sovende malware som ikke
+sender netværks trafik.
+
+Dette afhænger selvfølgelig af detektion softwaren hvor dybt den kigger.
+En dyb søgning vil også være en krævende opgave og vil derfor gøre computeren
+mindre effektiv i dens egentlige opgave.
+
+Udover dette kan en malware med root access deaktivere virus programmet og på
+den måde gøre løsningen ubrugelig.
+
+#### Konklusion
+
+Tror det giver mening bruge en kombination af følgende metoder, da de supplere
+hinnanden rigtig godt.
+
+- Signatur eller maskine learning
+ Kigger efter kendt malware der gør ting.
+ Dette vil også finde mere skjult hardware.
+- Anomaly sammen med en person
+ Kigger efter ukendte trusler eller andre mærklige ting.
+ Nok en god ide at have en person kigge advarsler igennem
+- Host baseret
+ Kigger efter malware på de enkle enheder.
+ Her kigger den på kørende processor og filer på disk.
+