 Orice calculator sau retea de calculatoare este

vulnerabila la atacuri.

 Anual mii de noi vulnerabilitati sunt raportate

catre CERT (Computer Emergency Response
Team).
 CERT –RO CENTRUL NAȚIONAL DE RĂSPUNS LA
INCIDENTE DE SECURITATE CIBERNETICĂ

 Se pot reduce vulnerabilitatile prin folosirea de

“bune practici” la dezvoltarea aplicatiilor
software, dar nu ne putem astepta la asigurarea
unei securitati complete a unui sistem.
 Odata cu dezvoltarea tehnologiei calculatoarelor
acestea au devenit unelte foarte importante in
mana celor care se ocupa cu frauda.
 Odata cu folosirea pe scara larga a internetului
atacurile catre sistemele informationale au
devenit din ce in ce mai complexe si mai
numeroase.
 Conform www. scmagazine.com,
 in 2013
 nr de host-uri - 1 miliard
 nr de utilizatori - 2,8 miliarde.
 Exista multe retele si organizatii criminale
care comit fraude utilizand calculatoarele,
prin atacul asupra altor calculatoare si
sisteme informatice, din domeniu privat sau
public,
◦ de la furtul identitatii persoanelor si folosirea
informatiilor financiare,
◦ la atacul asupra unor sisteme strategice de aparare
si securitate nationale
 Daca la inceputuri,
 strategia urmarita in securitatea informatiei
era cea de protectie a sistemelor de calcul,

 astazi se bazeaza pe folosirea si dezvoltarea

de IDS-uri (intrusion detection system) –
sisteme de detectare a intruziunilor.
 Data mining = extragere de informatii din
baze de date f. mari
 Tehnicile de data mining au fost aplicate cu
succes in multe domenii inclusiv securitate IT.

 Data mining in securitatea informatiei se

concentreaza pe detectarea intruziunilor.

 Tehnicile data mining implicate in procesul
de detectare a intruziunilor se impart in doua
categorii:
◦ cele folosite in detectarea utilizării
inadecvate (“misuse detection”) și
◦ cele folosite pentru detectarea anomaliilor
(“anomaly detection”).
 Fiecare exemplu din colectia de date este etichetat ca
„normal” sau „intruziune”, dupa care, folosind o multime
de training, se construieste un model de clasificator
care este apoi folosit pentru identificarea ca „normal”
sau „intruziune” a altor exemple, care nu fac parte din
multimea de training.
 Un astfel de model este foarte bun pentru detectarea
atacurilor cunoscute dar nu poate detecta atacuri de tip
nou, pentru ca nu este antrenat sa o faca.
 Din acest motiv rata alarmelor false (adica a detectarii
unei actiuni semnalizata ca si atac dar care este, de
fapt, o utilizare legitima a retelei) este mica, in schimb
nu pot detecta atacuri complet noi.
 Pe de alta parte, detectarea anomaliilor
presupune construirea unor modele de
comportare normala astfel incat orice abatere
de la normal sa fie vazuta ca intruziune.
 Desi aceste tehnici pot detecta atacuri
complet noi, experienta arata ca rata
alarmelor false este destul de mare.
 Principalul motiv pentru care tehnicile de data
mining sunt folosite pentru detectarea
intruziunilor este acela ca acestea ajuta la
prelucrarea automata a bazelor de date foarte
mari.
 Tehnicile data mining sunt folosite pentru:
◦ detectarea de noi vulnerabilitati si intruziuni
◦ descoperirea de modele noi de atacuri
◦ luarea unor decizii in managementul intruziunilor.
 Pentru aplicarea tehnicilor data mining in
detectarea intruziunilor, datele trebuie
preprocesate intai si transformate intr-un format
convenabil acestor tehnici.
 Etapa de preprocesare a datelor.
Datele care trebuie monitorizate sunt prelucrate
si convertite la un format care sa poata permite
aplicarea tehnicilor de data mining.
 Etapa de modelare data mining.
Pe baza datelor preprocesate se construieste un
model folosindu-se tehnicile de data mining.
 Etapa de aplicare a modelului.
Modelul se aplica datelor si IDS-ul (Intrusion
Detection System) furnizeaza rezultatele:
detectarea intruziunilor, descoperirea de noi
atacuri.
 Clusterizarea
 Clasificarea
 Detectarea valorilor exceptionale (outlier
detection)
 Reguli de asociere