Detekce anomálií na službách v počítačové síti

Abstract

Tato práce se zabývá detekcí anomálií v síťovém provozu, konkrétně na síťových službách aplikační vrstvy. Anomálie jsou v této práci definovány jako odlehlé hodnoty v množství síťové komunikace, například náhlý nárůst komunikace v krátkém časovém okně. Útočník může způsobit anomálii v síťovém provozu při neopatrném chování například při pokusu o krádež citlivých dat, prolomení hesla, nebo proniknutí do klíčových institucí. Tato práce se zaměřuje na nalezení vhodné statistické metody pro detekci volumetrických anomálií v síťové komunikaci a následnou implementaci detektoru. K nalezení vhodného statistického modelu byly použity QQ-plot, G-statistika a variační koeficient. Pro lepší adaptabilitu modelu na dynamické chování uživatelů na síti jsme do modelu přidali další parametry jako je vážení a postupné zapomínání dat. Celková funkčnost detektoru byla ověřena sérií experimentů na reálných datech z několika desítek firemních sítí.

This thesis deals with anomaly detection in network traffic, specifically on network services of the application layer. In this thesis, anomalies are defined as outlying values in the amount of network traffic, such as a sudden increase in a short time window. An attacker can cause such an anomaly by his actions, for example, while attempting to steal sensitive data, cracking passwords, or penetrating key network locations. This work focuses on finding a suitable statistical method for detecting volumetric anomalies in network communications and implementing a detector based on that method. QQ-plot, G-statistic and variational coefficient were used to find such a statistical model. Additional parameters, such as weighting and gradual data forgetting, were added to make the model more adaptive to dynamic user behaviour. The detector's overall performance was verified by experiments on real data from several dozen corporate networks.