Detekce anomálií na službách v počítačové síti
Anomaly detection on computer network services
Typ dokumentu
diplomová prácemaster thesis
Autor
Lukáš Kysilka
Vedoucí práce
Kopp Martin
Oponent práce
Kohout Jan
Studijní program
Aplikované matematicko-stochastické metodyInstituce přidělující hodnost
katedra matematikyPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato práce se zabývá detekcí anomálií v síťovém provozu, konkrétně na síťových službách aplikační vrstvy. Anomálie jsou v této práci definovány jako odlehlé hodnoty v množství síťové komunikace, například náhlý nárůst komunikace v krátkém časovém okně. Útočník může způsobit anomálii v síťovém provozu při neopatrném chování například při pokusu o krádež citlivých dat, prolomení hesla, nebo proniknutí do klíčových institucí. Tato práce se zaměřuje na nalezení vhodné statistické metody pro detekci volumetrických anomálií v síťové komunikaci a následnou implementaci detektoru. K nalezení vhodného statistického modelu byly použity QQ-plot, G-statistika a variační koeficient. Pro lepší adaptabilitu modelu na dynamické chování uživatelů na síti jsme do modelu přidali další parametry jako je vážení a postupné zapomínání dat. Celková funkčnost detektoru byla ověřena sérií experimentů na reálných datech z několika desítek firemních sítí. This thesis deals with anomaly detection in network traffic, specifically on network services of the application layer. In this thesis, anomalies are defined as outlying values in the amount of network traffic, such as a sudden increase in a short time window. An attacker can cause such an anomaly by his actions, for example, while attempting to steal sensitive data, cracking passwords, or penetrating key network locations. This work focuses on finding a suitable statistical method for detecting volumetric anomalies in network communications and implementing a detector based on that method. QQ-plot, G-statistic and variational coefficient were used to find such a statistical model. Additional parameters, such as weighting and gradual data forgetting, were added to make the model more adaptive to dynamic user behaviour. The detector's overall performance was verified by experiments on real data from several dozen corporate networks.
Kolekce
- Diplomové práce - 14101 [140]