Felhasználói viselkedés megfigyelése és biztonsági kockázatok felderítése logelemzés segítségével

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

A naplózás a számítógépek működésének kevéssé látható, ámde annál fontosabb szegmense, mellyel az átlagember nem, vagy csak ritkán találkozik, míg a számítógépes hálózatok és infrastruktúra felügyeletét ellátó személyek munkájának szerves része.

Elsősorban a hibásan, vagy egyáltalán nem működő szolgáltatások és programok hibaelhárításakor hagyatkoznak rá, ugyanis a hibák okai gyakran meghatározhatóak a naplóüzenetekből. Emellett fontos szerep hárulhat a naplózásra a hálózat biztonságának szavatolásakor is, ha megfelelő módszerekkel elemezzük a naplófájlokat és tisztában vagyunk a szervezetünk (céges munkahely, iskola, közigazgatási szervezet) működési szabályaival és szokásaival, akkor megelőzhető a kívülről és belülről jövő támadások egy része.

A naplófájlok elemzésére több alkalmazás is rendelkezésre áll, melyek lehetnek általános monitorozás eszközei, de akár a hálózat biztonságának egyik védvonala is. Az elemzés önmagában nem mindig képes kontextusba helyezni a történéseket, ezért célszerű lehet összevetni a naplókat generáló eszköz felhasználójának viselkedésével.

Az alkalmazottak ugyanis munkahelyenként eltérő viselkedési mintákat produkálnak, mely sok cselekedetüket megmagyarázza, vagy pont fordítva, éppen gyanússá teszi. A viselkedési minták definiálása és az időnkénti frissítése pontosabb megfigyelést tesz lehetővé, helyesebb következtetésekre vezet.

A dolgozatban egy tesztkörnyezet képzeletbeli felhasználóinak viselkedési mintáira mutatok egy lehetséges definíciót, majd pedig olyan szituációkat szimulálok, melyek biztonsági kockázatot jelentenek, példát adok arra, hogy hogyan lehet ezeket a naplóelemzés segítségével detektálni. A sikeres detekció után ismertetek néhány lehetséges ellenintézkedést is.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.