path: root/sem4/sec/t6/opg.md

# Opgave til tema 6

## Opgave 1

> Skriv et 3-siders essay hvor I beskriver og sammenligner forskellige tilgange til at analysere store mængder af netværkstrafik.
> Jeg vil gerne at I dække anomaly-baserede metoder, maskinlæringsbaserede metoder og host-baserede metoder.

### Løsning

Stort set alle morderne organisationer og virksomheder har et intranet til intern
kommunikation.
Dette kræver en minimal infrastruktur da stort set alle enheder kan snakke over
ethernet og TCP/IP.
Men når man forbinder alt på et system ender man med et meget sårbart system, da
alt er forbundet over denne forbindelse.

Derfor er det vigtigt at kan overvåget denne forbindelse for at se at der ikke
sker noget mistænkeligt.
Dette kan være en udfordring da mistænkelig trafik hurtig kan drukne i valid trafik.

En af metoderne til at checke store mængder traffik er Anomaly Detection, hvor
man kigger efter ændringer i adfærd.
Denne metode har to faser, træning og testing.
Først lader man systemet se hvordan trafikken normalt ser ud over en længere
periode.
I testing fasen lader man netværket kigge på ændringer fra træningsfasen.
Dette har den fordel at man ikke behøver at hardkode signature for forskellige
angreb.
Til gengæld kan den lettere give false positives hvis der sker en ændring i den
måde netværket bliver brugt på ( fx: En ny maskine bliver koblet på).

Ved Anomaly Detection kan man bruge forskellige metoder til at finde anamolies.
En simpel metode er ved at sammenligne trafikken med forskellige grænser, men disse kan være svære at sætte.
Dette kan man udvide ved at kigge på det mere statistisk.
Man kan også bruge artificial intelligense som tager inspiration fra vores hjerner til at genkende
mønstre.

Maskin læring eller artificial integlligense kan også stå alene i genkendelse af
mistænkelig trafik.
Her træner man sit netværk med en masse traffik man ved kommer fra viruser og angreb,
så den lærer at genkende det.
Derefter vil den give alarm hvis den ser at der er trafik der følger disse mønstre.

Denne metode er forskellig fra Anomoly Detection ved at den prøver direkte at
genkende angreb og ikke så meget ændringer fra normal adfærd.
Derfor kan man argumentere at den ikke har så mange false positives da den er
ligeglad med at der kommer ekstra normal trafik.

Problemet er at det er svært at finde dataset til at træne sit system med.
Udover dette skal man huske at holde det opdateret med nye angrebs metoder.

I stedet for at kigge på et helt netværk, kan man også flytte synspunktet ned til
den enkle computer.
Her installere man programmer på hver computer til at se om den computer har virus
eller laver mærkelig traffik.
Disse programmer bruger tit signatur detection men kan også udnytte de overstående metoder.

Dette har den fordel at den er installeret på hver enkelt enhed, hvilket betyder
at hver instans skal checke mindre.
Dette er også ulempen da enheder uden virus detection kan unødiggøre resten.
Udover dette har en virus mulighed for at slå virus detection fra, da det kører
på samme maskine.

Her kan man se at hver metode har ulemper og fordele, og det kan derfor tit være
en fordel af bruge flere af metoderne da de så kan supplere hinnanden.

## Opgave 2

> Diskuter de 3 cases, og lav en kort rapport for hver af dem.

### Løsning

Her vil jeg lige skrive hvad jeg synes om hver af dem.

#### Anomaly Detection

Anomaly Detection har en kæmpe forvel over for signatur detection at den kan genkende
trusler den ikke har set endnu.
Til gengæld har den en tendens til at måle falsk positiv, for eksempel hvis man skifter
måden man bruger netværket på.
Derfor er det nødvendigt at man har et menneske til at læse alle alarmer igennem
for at se om man skal gøre noget.

Falske positiver kan også minimeres ved hele tiden at holde systemet opdateret med nuværende brug af netværket.

Hvis et angreb ikke er larmende nok til at aktivere systemet vil der ikke komme nogen alarm.
Derfor vil det nok være et god at kombinere det med signaturbaseret.

#### Maskine læring

Dette har den fordel at man ikke behøver at træne et netværk til den enkle
situation men i stedet til hvert slags angreb.

På den måde minder det meget om signatur baseret, og det tager derfor nogle af
ulemperne med.
For eksempel er det lidt et kapløb med malware udviklere om at lave malware og
træne netværk til at se det.

Ved ikke så meget om signatur baseret detection, men kan forestille mig at det
kræver mindre end maskine læring.
Dette ændrer sig måske lidt når man bruger GPU i stedet.

Maskin læring har den fordel af den kan finde på mere avanceret måder end
man kan udtrykke i regular expressions som bruges i signatur detection.

#### Host baseret

Dette er ikke så meget en anden metode men mere et andet sted at bruge det.

Her fordeler man detection ud på alle de forskellige enheder forbundet til netværket.
Dette giver et meget dybere indsigt i ikke kun netværket men også filer og kørende
processor.
Derfor kan det argumenteres at denne metode kan detektere sovende malware som ikke
sender netværks trafik.

Dette afhænger selvfølgelig af detektion softwaren hvor dybt den kigger.
En dyb søgning vil også være en krævende opgave og vil derfor gøre computeren
mindre effektiv i dens egentlige opgave.

Udover dette kan en malware med root access deaktivere virus programmet og på
den måde gøre løsningen ubrugelig.

#### Konklusion

Tror det giver mening bruge en kombination af følgende metoder, da de supplere
hinnanden rigtig godt.

- Signatur eller maskine learning
    Kigger efter kendt malware der gør ting.
    Dette vil også finde mere skjult hardware.
- Anomaly sammen med en person
    Kigger efter ukendte trusler eller andre mærklige ting.
    Nok en god ide at have en person kigge advarsler igennem
- Host baseret
    Kigger efter malware på de enkle enheder.
    Her kigger den på kørende processor og filer på disk.