Läs mer

Test av logganalysverktyget SnIPS

Beställ tryckt exemplar Lägg till i kundvagn
Författare: Teodor Sommestad, Hannes Holm
Ort: Linköping
Sidor: 31
Utgivningsår: 2016
Publiceringsdatum: 2016-11-30
Rapportnummer: FOI-R--4323--SE
Nyckelord: Snort, alarmkorrelation, logganalys, cybersäkerhet, SnIPS, alarmverifiering
Keywords: Snort, alert correlation, log analys, cybersecurity, SnIPS, alert verification
Sammanfattning: Det finns ett stort antal verktyg som ska hjälpa logganalytiker i cyberdomänen att utföra sina uppgifter. Få av dessa har dock testats mot realistisk data och lite är känt om deras effektivitet. Denna rapport beskriver resultatet av ett tekniskt test av verktyget Snort Intrusion Analysis using Proof Strengthening (SnIPS). SnIPS korrelerar larm från den populära säkerhetssensorn Snort för att bedöma om datorer i ett datornätverk har blivit komprometterade. Resultatet visar (1) att de sannolikheter SnIPS producerar för att en dator blivit komprometterad inte är kalibrerade, men korrelerar med faktiska frekvenser, (2) att SnIPS sannolikt skulle stödja logganalytiker i deras analysarbete genom att prioritera händelser och (3) att SnIPS står sig väl jämfört med alternativa tekniker. SnIPS och andra korrelationsverktyg som bygger på samma idé bedöms vara värda att undersöka vidare.
Abstract: A large number of tools aiming to support log analysts in the cyber domain has been proposed. Few of these tools have been tested against realistic data and little is known about their effectiveness. This report describes a technical test of the tool Snort Intrusion Analysis using Proof Strengthening (SnIPS). SnIPS correlates alerts form the popular network security sensor Snort to assess if computers in a computer network have been compromised. The result shows that (1) the values SnIPS produce on the probability that a host has been compromised are uncalibrated, but correlated to frequencies of compromise, (2) that SnIPS probably would support log analysts in their work by prioritizing events, and (3) that SnIPS performs well compared to the alternatives. SnIPS, and techniques based on similar ideas, appears to be worth to investigate further.