Bedrägerier och intrångsdetektering

Slides:



Advertisements
Liknande presentationer
Idéer för ett bredare entreprenörskap
Advertisements

Kvalitetskontroll av Kopparaccess med bredbandstjänster
Utredningen om män och jämställdhet
Komponenter i GIS Ett Geografiskt Informationssystem skiljer sig i princip inte från vilket annat Informationssystem som helst © Naturgeografiska Institutionen,
Varför är det viktigt att mäta?
~ Den första mobiltelefonen ~
Kopplingen mellan utredning och behandling – vad är det?
Syo PRAO ver. 3.0 Välkommen till presentationen av Syo PRAO Vi kommer att gå igenom de flesta funktionerna i Syo PRAO.
Några moln tillgängliga gratis på Internet
Att söka och förvalta kunskap
Bedömning av professionell kompetens
En introduktion till ’Hård Infrastruktur’
till en presentation av System och lösningar med RFID
Docent Peter Parnes Luleå tekniska universitet Medieteknik 17 februari, 2005 teknik medie Mänsklig kommunikation.
Informationshantering
Tekniken, fördelar och nackdelar Av Elin och Johan Olofsson ht-07
1 Välkommen till dagens e-möte –Säkerställ ljud via Meeting > Audio Setup Wizard –Slå av din mikrofon –Stäng av din kamera –Använd funktionen ”Raise hand”
Seminarium 6 Lösningsförslag 2I-1100 Informationssystem och databasteknik KUNDKONTO TRANS AKTION INSÄTT NING ÖVER FÖRING SPÄRRUTTAG BANKO MAT Datum Sträng.
Sociala medier idag – några synpunkter Peter Höglund.
Offert 2N Virtual PBX (Mobil IP Centrex plattform) eller kundplacerad IP PBX i samma produkt Vid frågor kontakta Mattias Hansson Tel.
Leif Håkansson’s Square Dancer Rotation
Personuppgiftslagen.
Personuppgiftslagen (PuL) och Polisdatalagen (PdL)
Spatiella egenskaper hos trafiken i operatörsnät Anders Gunnar Spatiella egenskaper hos trafiken i operatörsnät Anders Gunnar Swedish Institute of Computer.
Konfiguration Bredband och Router
Objektorienterad tänkande
Säkerhetskulturmätningar hos enheter inom Västra Götalandsregionen
Virus och skräppost
Distribuerade filsystem
En introduktion till Datakommunikation och Säkerhetstänkande
Personuppgiftslagen (PuL) och
Wireless Intrusion Prevention Systems ÖvervakaAnalyseraSpåraBlockeraPreventera WIPS Radiofrekvenser Dygnet runt Trådlös trafik Angripare Även de som inte.
D-Link - Prestanda och tillförlitlighet i nätverk Magnus Cederäng.
Checklista Identitetshanteringssystem för SWAMID 2.0
SWEPOS Kundnöjdhetsundersökning Undersökningen Webenkät under 3 veckor i september 2012 Bruttourval ca huvudutskick och 2 påminnelser Triss-lott.
Robert Gidehag & Jonas Arnberg. Studiens frågeställningar Övergripande: Är den svenska alkoholpolitiken effektiv på 2000-talet?
© Anders Ingeborn, Infosec 2000 Säkerhetsbrister hos svenska företag Falu Elverk 30 augusti 2000.
Bakgrund! Piteå kommun skall lägga om strukturen i det befintliga nätverket. Det kommer att gå från tre system som löper paralellt med varandra till ett.
Lektion 3 Mahmud Al Hakim
Dagens problematik Trygghetslarm.
Systemsäkerhet i ett marint ledningssystem
Marknadsförarens mall för att skapa köpares persona!
IT-säkerhet Gästföreläsning av Christian Ohlsson 2011.
© Anders Ingeborn, Infosec 2000 Penetrationstester Att bryta sig in i andras datorer.
DEN NYA KAMERALAGEN.
En mycket vanlig frågeställning gäller om två storheter har ett samband eller inte, många gånger är det helt klart: y x För en mätserie som denna är det.
Anders Ingeborn Intrångsdetektering Teori och praktik.
Strategisk ekonomistyrning: Föreläsning Professor Fredrik Nilsson Linköping
Bevarande utifrån nya Ladoks perspektiv
Trådlösa Nätverk Caffe Latte Man-in-the-middle Denial of Service.
Statsvetenskap 3, statsvetenskapliga metoder
1.1. TechNet Security Summit 2004 Security Framework ”Introduktion av ”Security in Depth” Marcus Murray.
Nationella Geodatastrategin – Geodatasamverkan - Standarder Gunnar Lysell Lantmäteriet 19 november 2013.
Jonny Karlsson PROCESSPROGRAMMERING Föreläsning 8 ( )‏ Innehåll:  Introduktion till Java EE (Enterprise Edition)  Enterprise Java Beans.
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Ekonomi och användbarhet? Finns det något samband ? Vivian Vimarlund.
Angrepp mot informationssystem Ds 2005:5 Göteborgs Universitet Kristina Ullgren
Om denna presentation: Version Denna PPT-presentation tillsammans med det talspråksmanus du hittar i anteckningssidorna är framtaget för att.
En mobil växel olik alla andra
Möjligheter och konsekvenser Jonas Mellin. Framtiden (allmänt) Framtiden (allmänt) –Teknikhistoriskt perspektiv, en brasklapp –Vad som skymtar i framtiden.
Principer för utredningar av oegentligheter
Avvikelsehantering En säker verksamhet = en säker arbetsmiljö!
Vägledning 5 steg för att följa Dataskyddsförordningen
36 % 56 % Källa: IDC Visste ni….det finns studier som visar att en anställd lägger 36% av sin arbetstid på att leta efter och sammanställa information,
Lagar Astar 2017.
Dataskyddsförordningen
Dataskyddsförordn ing GDPR- ny lag som gäller
PUL till GDPR - Vad gäller, vilket ansvar har man och hur gör man?
Dataskyddsutbildning för avdelningar 2018
GDPR – nyheter och förberedelser
Presentationens avskrift:

Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola Jag ska prata om intrångsdetektering och bedrägeridetektering. Intrusion detection och fraud detection på engelska. Det är det jag har forskat på de senaste åren på Chalmers. Jag tänkte prata lite om hur de fungerar, lite om hur dagens kommersiella system fungerar och vad problemen med dem är. Sedan kommer jag in på vad som händer inom forskningen och hur man försöker lösa problemen.

Introduktion Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier Svårare att mäta för dataintrång kostnad för stöld av hemlig information? kostnad för ”nertid” i systemet? kostnad för dålig publicitet (t.ex. för banker)? Finns kommersiella intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS) Inte särskilt effektiva... Händer intressanta saker inom forskningen ... kolla upp om vad dataintrång kostar... Effektivitet kan mätas på många olika sätt. T.ex. antar missade intrång och antal falska larm. Man kan också titta på om totalkostnaden för att köpa in, finjustera och administrera systemet uppväger de attacker/intrång man hittar. Idag tror jag att totalkostnaden i vissa fall blir högre än nyttan om man inte använder systemet ”smart”

Innehåll Bedrägerier och intrång Hur detekteras intrång och bedrägerier? Kommersiella detekteringssystem Problem och möjligheter Lagar, regler och etik Framtiden

Bedrägerier och intrång

Definition av “fraud” (bedrägeri) ”En medvetet vilseledande eller oriktig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon annan” Definitionen inkluderar “insiders” Fraud kan anses vara ett applikationsspecifikt specialfall av intrång (Vi sysslar med bedrägerier mot tekniska system)

Bedrägerier – historik John Draper, 1972 Visslade till sig gratis-samtal med hjälp av en visselpipa (2600 Hz) från ett flingpaket (Blue boxing) Kevin Poulsen, 1990 Lurade till sig en Porsche 944 S2 genom att ta över alla inkommande telefonlinjer till radiostationen KIIS-FM. (102nd caller) Fortsatte med att ”vinna”… 1 Porsche till, $22.000, två resor till Hawaii… 5 år i fängelse.

Telekom-bedrägerier – historik Fraud i fast telefoni (från tidigt 1970-tal) Clip-on fraud (mycket enkelt och fungerar ännu, kräver dock fysisk access till kablarna vilket begränsar missbruket). Signalling abuse. Fungerar ej längre (i Sverige). Fungerade tidigare pga att signalering och trafik utnyttjade samma nät. Payphone fraud. Manipulerade telefonautomater eller telefonkort. Card fraud. Stulna kreditkortsnummer och PIN används för att ringa via en operatörs växel. CPE (PBX). Kundväxlar där man kan utnyttja vidarekoppling och möjligheter till extern access. Premium rate services (PRS). Missbruk av betalsamtal. T.ex. fejkade betaltjänster som man ringer från stulna telefoner/abonnemang.

Telekom-bedrägerier – historik Fraud i mobil telefoni (1980-tal och 1990-tal) Eavesdropping. NMT-systemet hade ej kryptering. Tumbling. Byte av telefonens serienummer medgav fri access till nätet. Bristfällig accesskontroll i de analoga mobiltelefonisystemen. Cloning. Duplicering och förfalskning av SIM-kort. Gör att någon annan får betala för samtalen. Subscription fraud. Teckning av abonnemang under falskt namn. Call selling. En variant av ”subscription fraud” med ett mer storskaligt syfte. Roaming fraud. Utnyttjande av fördröjningar i kommunikation mellan roaming-partners.

Definition av intrång En samling handlingar som utförs med avsikten att påverka integritet, sekretess eller tillgänglighet för en datorresurs inkluderar förutom attacker med lyckat resultat också attackförberedelse och attackförsök Arbetsdefinition som är lämplig när man pratar om intrångsdetektering eftersom den innefattar allt som man kan tänkas vilja detektera. I andra sammanhang kan man uppfatta ”intrång” som en något som inte innefattar denial-of-service eller ens misslyckade attacker.

Typer av intrång Vanliga typer vanligast är troligtvis ”attacker” som letar efter öppna portar och svagheter port-scanning: nmap svaghets-scanning: satan, saint, nessus buffer overflow, heap overflow, integer overflow och varianter dominerar stort bland attacker som påverkar systemets integritet och sekretess (t.ex. ger administratörs-rättigheter) attacker mot tillgängligheten (denial-of-service) är vanliga och svåra att skydda sig mot buffer overflow har varit en stor del av attackerna i många år. Kanske inte i antal attacker... Probar står nog för 95%? av allt som ett system utsätts för, men det finns många fler varianter av attacker som baseras på buffer overflow Buffer overflow borde man kunna komma ifrån genom att använda andra programspråk eller med bättre programmeringsrutiner. Denial-of-service finns det inget standard-recept mot. Tillgänglighet står ibland i motsatsförhållande till integritet och sekretess, så detta är teoretiskt ett mycket mer svårlöst problem.

Klassificering av intrång Finns ingen klassificering av intrång som är användbar för att avgöra hur de ska detekteras De som finns visar attackmetod, attackmål eller vilka delar av systemet som påverkas T.ex. MIT Lincoln Labs klassificering, som användes för DARPAs IDS-testning: probe remote-to-local user-to-root denial-of-service data attack Har visats att dessa klasser inte motsvarar hur väl en detektor kan detektera attackerna (Killourhy et al. 2004) En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificering Skulle vara väldigt användbart om man kunde utvärdera detekteringssystemens förmåga att upptäcka grupper av attacker baserat på vilken datakälla och detekteringsalgoritm som används Om vi t.ex. vet att alla user2root-attacker kan upptäckas om man loggar vissa bestämda systemanrop, så vet man iallafall vilka system som teoretiskt kan upptäcka attacken utan att behöva testa med experiment

Hur detekteras intrång och bedrägerier?

Komponenter i ett detekteringssystem Målsystem tillstånds- info detekterings- policy åtgärds- sensor- konfig. logdata- lagring sensor analys- motor respons- enhet Samma komponenter för IDS/FDS Olika sorters indata Olika sätt att behandla utdata

Sensorer för intrångsdetektering inloggningar programbeteende (systemanrop) användar- kommandon nätverks-trafik Nätverkstrafik för att detektera ”nätverks”-attacker Systemanrop för att detektera program som beter sig misstänkt Användarkommandon för att upptäcka ”masquerading”, dvs användarkonton som tagits över av angripare Inloggningar för att veta vem som var inne i systemet vid tidpunkten för attacken Vanligt att dela upp IDSer i nätverks-baserade och ”host”-baserade Väldigt lite forskning på vilka attacker som är lämpliga och olämpliga att detektera med olika datakällor. Jag har tittat lite på det och konstaterat att det troligtvis finns många attacker man inte kan detektera med nätverkstrafik (krypterad överföring) och andra attacker som faktiskt inte syns i systemanropsloggar som annars visar ganska väl vad som händer i systemet.

Sensorer för bedrägeridetektering telekom- operatör Samtalsinformation (call records) för att upptäcka misstänkt användarbeteende Kundinformation för att upptäcka kunder som registrerat sig med falsk identitet (subscription fraud) Betalningsinformation för att upptäcka höga kostnader eller avvikelser jämfört med andra informationskällor kund-databas samtals- register Oftast använder man information ”som ändå loggas” för bedrägeridetektering. Trots att många tjänster är datoriserade så används inte de vanliga datorsystemsloggarna. betalnings-information

Detekteringsmetoder Klassificering skilja normala händelser från misstänkta görs genom att man tar reda på hur normalbeteende eller attackbeteende ser ut anomalidetektering – utgå från normalbeteende missbruksdetektering – utgå från attackbeteende inte alltid möjligt att få perfekt detektering, eftersom normala händelser överlappar med attackbeteende statistisk fördelning för normalbeteende statistisk fördelning för attackbeteende parameter- värde ?

Detekteringsmetoder Regelbaserade/ mönstermatchning Expertsystem Tröskelvärden Statistisk analys Bayesianska nät Neurala nät Markov-modeller ... A Commercial B Domestic C Low User User Income D Customer E Propensity F Bad churn to Fraud Debt G Profile H ‘Hot’ I Revenue Change Destinations Loss Regelbaserade system och expertsystem är i princip helt Pr{A} = 0.76 Pr{B} = 0.24 Pr{C} = 0.74 Pr{D|¬A} = 0.27 Pr{D|A} = 0.73   Pr{E|¬A,¬B,x} = 0.01 Pr{E|¬A,B,¬C} = 0.02 Pr{E|¬A,B,C} = 0.04 Pr{E|A,x,x} = 0.03 Pr{F|¬B,x} = 0.00 Pr{F|B,¬C} = 0.01 Pr{F|B,C} = 0.04 Pr{G|¬D,¬E} = 0.03 Pr{G|¬D,E} = 0.72 Pr{G|¬D,E} = 0.84 Pr{G|D,E} = 0.96 Pr{H|¬E} = 0.58 Pr{H|E} = 0.42 Pr{I|¬E,¬F} = 0.02 Pr{I|¬E,F} = 0.98 Pr{I|E,¬F} = 1 Pr{I|E,F} = 1

Vad är skillnaden mellan IDS och FDS? FDS kan ses som ett applikationsspecifikt IDS FDS måste anpassas till varje unik applikation Inga ”standardiserade” applikationer finns! FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemet En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nytta Ett FDS detekterar konsekvensen av ett intrång eller missbruk Ett FDS detekterar missbruk av en tjänsts affärslogik

Kommersiella system

Kommersiella system - FDS Exempel från telekom (rapport från 2000) Sheriff, British Telecom Fraud office, Ericsson Cerebrus, Nortel Networks Compaq FMS, Compaq ... (11 system har undersökts) Indata: CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, plats Bedrägerier: subscription, bad dept, cloning, roaming, clip-on, call sell, prepaid, calling card, ... 11 bedrägerier har undersökts i rapporten

Kommersiella system – FDS (forts.) Metoder: regelbaserad detektering (alla system) användar-profilering (de flesta system) AI/”intelligenta metoder” (några system) ”hot lists” Detektering några få har gett uppgift lyckad detektering: 50%, 90%, 95% falska larm: 50%, 60% Observera att detekteringsresultaten har företagen själva uppgett. Även om det kanske inte direkt är lögn, så har de nog räknat på ett fördelaktigt sätt för dem själva. Falska larm kan räknas på olika sätt: Här: 50 % av alla larm Ofta: 50% av alla ”händelser”, dvs logposter etc.

Kommersiella system - IDS Exempel (från Doidy 2004): Snort – open source, nätverksbaserat Prelude – open source, hybrid LIDS – open source, hostbaserat ISS RealSecure – finns både för nätverk och server CISCO intrusion detection – nätverksbaserat ... Indata: Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo, ... Intrång: det finns inga system som specificerar vilka intrång de klarar och inte klarar?!

Kommersiella system – IDS (forts.) Metoder: regelbaserad detektering (alla system) anomalidetektering (i vissa system som komplement) Detektering: Finns inga ”vetenskapliga” testresultat för kommersiella system svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdata Bästa testet av IDSer är gjort av DARPA: genererade testdata genom simulering av många datorer, användare och attacker testade forskningsprototyperna de har finansierat detekteringsresultat på ca 40-100%, mycket sämre för nya och ”smarta” attacker ca 10 falsklarm per dag (ev. högre på mer realistiska data) Metoder: Snort – signatur/regel-baserat Prelude - signaturbaserat ISS – signaturbaserat CISCO – signatur och anomalibaserat (oklart vad det innebär), kollar på trafik-avvikelser och protokoll-avvikelser LIDS – anomali-baserat? (specification-based?) Jämförelser av kommersiella system tar oftast mest upp användarvänlighet, prestanda i form av hur mycket indata de kan processa och interoperabilitet etc. DARPA (Defence Advanced Research Projects Agency) har ändå fått mycket kritik för att de inte analyserade sina testdata ordentligt. Finns en artikel som visar att det finns problem med data som gör att jämförelser av anomali-baserade system kan bli orättvis.

Intrusion prevention systems Nya ”inne”-grejen Gartner Group-rapport: ”IDS is dead, long live IPS” orsakade en del rabalder Lite oklar terminologi, kan betyda olika saker Ofta avses IDS med automatisk återkoppling konfigurera om brandvägg avbryt TCP-uppkopplingar stäng ner tjänster stoppa systemanrop i realtid

Problem och möjligheter med detekteringssystem Nu kommer jag ta upp de problem som pekas ut som de främsta problemen för folk som använder IDSer

De största praktiska problemen Falska larm Anpassning Detekteringsförmåga Skalbarhet Brist på mätmetoder

Problem 1 Falska larm Många larm Om detekteringen är 95% korrekt och det finns 0.1% bedrägerier i den analyserade informationen så kommer 99% av alla larm att vara falsklarm! Avvägning mellan att täcka in alla attacker och mängden falska larm man kan hantera Tar mycket tid att utreda larm Ingen skillnad mellan larm från attacker som drabbar aktiva/inaktiva IP-adresser eller känsliga/okänsliga system

Möjligheter 1 Korrelering av larm ”Root cause analysis” högre trovärdighet till larm som rapporteras av mer än en källa ”Root cause analysis” hitta orsaken till grupper av larm att rapportera orsaken istället för larmen själva reducerar mängden larm kraftigt (Avhandling, Julisch 2003) Indata med lägre ”brus”-nivå

Problem 2 Anpassning Går inte att köpa ett färdig-anpassat detekteringssystem Ofta unika tjänster Användarnas beteende varierar Kan ta ca två veckor att anpassa ett enkelt nätverksbaserat IDS till ett specifikt system och då får man inaktivera regler som kan vara intressanta

Möjligheter 2 Automatisk justering av IDS vilka regler är intressanta för mitt system? vilka regler ger för mycket falsklarm? (exjobbare kollar på detta) Förbered systemet genom att träna det på syntetiska data färdiganpassat IDS från början kan träna det för intressanta attacker och situationer som inte tidigare har förekommit (Barse, Kvarnström och Jonsson, 2003)

Problem 3 Detekteringsförmåga Generaliseringsproblem kommersiella regelbaserade system upptäcker ofta bara en mycket specifik instans av attacken nya intrång, nya varianter och dolda intrång upptäcks inte Bättre detektering får inte ske på bekostnad av fler falsklarm Generalisering: T.ex. SYN flood-regel i Snort upptäcker att ett visst sekvensnummer på IP-paketet används. Ett attack-script som kallas Shaft använder detta sekvensnummer, men detta är inte alls en viktig del av attacken.

Möjligheter 3 Nya detekteringsmetoder Kombinera metoder Visualisering Hitta mönster och avvikande beteenden Använda den mänskliga hjärnans styrka! Kombinera metoder måste avgöra vilka som täcker in olika områden bäst

Möjligheter 3 (forts.) Kombinera anomali- och missbruks-detekering använd anomalidetektering kompletterad med regler för att identifiera attackerna missbruksdetektering kompletterad med anomalidetektering för att avgöra vilka larm som är relevanta metoder som kan konstruera egna regler baserat på träningsdata där både attacker och normalt beteende finns med (t.ex. RIPPER av Lee et al.) Bättre kvalité på indata logdata kan täcka in attacker bättre än vad som görs idag

Problem 4 Skalbarhet större bandbredd än 10Mbit/s på nätverket ger problem antal regler påverkar prestanda kraftigt problem med att korrelera information från många spridda sensorer

Möjligheter 4 Distribuera nätverkstrafik till flera sensorer ”smart” uppdelning krävs (Kruegel et al. 2002) Applikations-baserade IDSer skydda bara viktiga/känsliga resurser i systemet t.ex. webserver-IDS, mailserver-IDS, ... Minska mängden indata filtrera bort ”onödigt” data vad är onödigt? nya datakällor Kruegel, Valeur, Vigna, Kemmerer, Stateful intrusion detection for high-speed networks, IEEE S&P 2002

Problem 5 Mätmetoder det finns ingen ”innehållsförteckning” på detekteringssystem som talar om vad de klarar och inte klarar enda seriösa IDS-jämförelsen är DARPAs och den har fått mycket kritik DARPA - Defence Advanced Research Projects Agency MIT Lincoln Labs – DARPA intrusion detection evaluation http://www.ll.mit.edu/ideval/ Många publikationer, Richard Lippman är med på de flesta

Möjligheter 5 Gemensamma testdata Metoder för att generera testdata det går inte att jämföra resultat från IDSer som testats på olika data egenskaper hos data påverkar detekteringsresultaten Metoder för att generera testdata syntetiska data (Barse, Kvarnström och Jonsson, 2003) Metoder för att analysera testdata finns inte några enkla lösningar ännu Barse och Jonsson, Synthesizing test data for fraud detection systems, ACSAC2003.

Bättre logdata för detektering Bättre indata ger färre falska larm bättre detektering mindre skalbarhetsproblem Bättre täckning av attacker analysera vilka spår attacker lämnar i logdata och undersök hur användbara spåren är Filtrera bort onödiga data hitta kombinationer av data som täcker in attacker och filtrera bort resten Pågående forskning...

Lagar, regler och etik

Personlig integritet och loggning går inte ihop? Personuppgiftslagen (1998) personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke ... Säkerhet är viktig för att skydda kundernas personliga integritet tekniska åtgärder krävs

PUL och företagets intressen Är IP-adress en personuppgift? oklart, men EU-kommissionen anser det en person kan i vissa fall identifieras Är behandling tillåten? om företagets intresse tydligt överväger kundens intresse av skydd av den personliga integriteten upptäcka/förebygga brott skulle kunna berättiga behandling finns ingen praxis Krävs samtycke? inte om företaget har berättigat intresse oklart om kunderna måste informeras

Forskning För forskning inom bedrägeri- och intrångsdetektering behövs data Oklart om man får dela med sig av logdata från datorsystem/tjänster hur kan man avidentifiera data? Honeypots ”lura” angriparen till att begå brott för att kunna övervaka spridd användning, men oklart om lagligt håller troligtvis inte i rättegång

Framtiden Det här var lite smakprov på vad som händer inom forskningen och status på intrångs- och bedrägeridetekteringen idag. Nu bara några avslutande kommentarer om området.

Framtiden IDS blir som antivirusprogram? Övervakning av datorsystem behövs vi kan inte betrakta dem som en ”svart låda” Datorsystemen sprids alltmer och allt viktigare funktioner i samhället datoriseras