Ajankohtaista

Väitös: 15.12.2016 Keinoja havaita hyökkäyksiä verkosta (Kokkonen)

Alkamisaika: torstai 15. joulukuuta 2016, 12.00

Päättymisaika: torstai 15. joulukuuta 2016, 15.00

Paikka: Mattilanniemi, Lea Pulkkisen sali

Tero Kokkonen
Tero Kokkonen

FM Tero Kokkosen tietotekniikan väitöskirjan ”Anomaly-Based Online Intrusion Detection System as a Sensor for Cyber Security Situational Awareness System” tarkastustilaisuus. Vastaväittäjänä professori Jarno Limnéll (Aalto-yliopisto) ja kustoksena professori Timo Hämäläinen (Jyväskylän yliopisto).

Lähes kaikki yksilöt ja organisaatiot ovat riippuvaisia tietoverkoista ja verkotetuista tietojärjestelmistä. Tietojärjestelmien ja verkossa liikkuvan tiedon määrä kasvaa jatkuvasti. Niistä muodostuu monimutkaisia kokonaisuuksia ja riippuvuussuhteita, jotka ovat alttiita hyökkäyksille ja tunkeutumisille.

Väitöskirja käsittelee tietoverkkopohjaisen tunkeutumisen havainnointijärjestelmän kehittämistä. Tunkeutumisen havainnoinnissa hyödynnetään klusteripohjaisia tiedonlouhinta-algoritmeja, joiden avulla verkkoliikenteestä määritellään malli normaalille käyttäytymiselle ja pyritään löytämään poikkeamia tästä määritellystä normaalimallista. Löydetyt poikkeamat havainnoidaan tunkeutumisiksi. Tällä tavalla kyetään havainnoimaan myös ennalta tuntemattomia hyökkäyksiä salatusta verkkoliikenteestä.

Väitöskirjassa käytetään konstruktiivista tutkimusmenetelmää tunkeutumisen havainnointijärjestelmän suunnittelussa ja sen toiminnallisuuksien analysoinnissa. Työn päätulokset on esitetty yhdeksässä kansainvälisessä julkaisussa. Aluksi väitöskirjassa esitellään tunkeutumisen havainnointijärjestelmien kehittämisessä ja testauksessa tarvittavan verkkoliikennetiedon tuottamisjärjestelmä. Tämän jälkeen esitellään vaiheittain eri lähestymistapoja tunkeutumisen havainnointijärjestelmän kehittämiselle.

Aluksi malleissa käytetään generoitua ja tallennettua verkkoliikennetietoa. Mallin kehittyessä, havainnointi tapahtuu lähes reaaliaikaisesti salattua verkkoliikennetietoa käyttäen. Kehitettyjen mallien teoreettinen viitekehys ja suoritetut testitulokset esitellään tapauskohtaisesti. Osana väitöskirjaa esitellään myös testiskenaario, jossa käytetään oikeaa verkkoympäristöä ja järjestelmiä. Väitöskirja esittelee mallin sensorifuusioon perustuvalle kyberturvallisuuden tilannekuvajärjestelmälle. Tämän lisäksi esitellään malli kyberturvallisuuspoikkeamatiedon jakamiselle eri organisaatioiden välillä.

Myös jatkotutkimuskohteet esitellään. Tärkein niistä on algoritmien tehokkuuden kehittäminen suurilla verkkoliikenne- ja käyttäjämäärillä, sekä havaittujen tunkeutumisten visualisointi monimutkaisten järjestelmäkokonaisuuksien yhteydessä. Kehitettyjä malleja voidaan hyödyntää tunkeutumisen havainnointijärjestelmäkehityksessä ja yleisemmin kyberturvallisuuden tilannekuvajärjestelmäkehityksessä.

Tero Kokkonen on kirjoittanut ylioppilaaksi Palokan lukiosta 1995 ja valmistunut filosofian maisteriksi Jyväskylän yliopistosta tammikuussa 2001. Tämän lisäksi hän on valmistunut Jyväskylän ammattikorkeakoulusta ylempi AMK insinööriksi vuonna 2008. Kokkonen on työskennellyt alkuvuodesta 2013 lähtien Jyväskylän ammattikorkeakoulun IT-instituutissa lehtorina ja tätä ennen hän työskenteli vuodesta 2002 vuoteen 2013 Ilmavoimissa hanke-/projektipäällikkönä ja vuodet 2000–2002 ohjelmistosuunnittelijana teollisuudessa.

Julkaisutiedot

Teos on julkaistu sarjassa Jyväskylä Studies in Computing numerona 251, 82 s., Jyväskylä 2016, ISSN 1456-5390; 1456-5390; 251), ISBN 978-951-39-6831-1 (nid.), ISBN 978-951-39-6832-8 (PDF) Väitöskirjaa myyvät yliopistokauppa Soppi, puh. 040 805 3825 tai myynti@library.jyu.fi ja yliopiston verkkokauppa

Lisätietoja

Tero Kokkonen, tero.t.kokkonen@student.jyu.fi
tiedottaja Anitta Kananen tiedotus@jyu.fi, puh. +358 40 805 4142

Abstract

Almost all the organisations and even individuals rely on complex structures of data networks and networked computer systems. That complex data ensemble, the cyber domain, provides great opportunities, but at the same time it offers many possible attack vectors that can be abused for cyber vandalism, cyber crime, cyber espionage or cyber terrorism. Those threats produce requirements for cyber security situational awareness and intrusion detection capability. This dissertation concentrates on research and development of anomaly-based network intrusion detection system as a sensor for a situational awareness system. In this dissertation, several models of intrusion detection systems are developed using clustering-based data-mining algorithms for creating a model of normal user behaviour and finding similarities and dissimilarities compared to that model. That information can be used as a sensor feed in a situational awareness system in cyber security. A model of cyber security situational awareness system with multisensor fusion capability is presented in this thesis. Also a model for exchanging the information of cyber security situational awareness is generated. The constructed intrusion detection system schemes are tested with different scenarios even in online mode with real user data.

 

Keywords: Anomaly Detection, Clustering, Cyber Security, Early Warning, Information Sharing, Intrusion Detection System, Network Security, Situational Awareness


kuuluu seuraaviin kategorioihin: ,