Detekce škodlivého síťového chování v šifrovaném provozu
Detection of Malicious Network Behaviour in Encrypted Network Traffic
Typ dokumentu
MAGISTERSKÁ PRÁCEMASTER'S THESIS
Autor
Potoček Pavel
Vedoucí práce
Rehák Martin
Oponent práce
Somol Petr
Studijní obor
Umělá inteligenceStudijní program
Otevřená informatikaInstituce přidělující hodnost
katedra počítačůPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.html.Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html.
Metadata
Zobrazit celý záznamAbstrakt
Počítačové sítě se potýkají s čím dál tím sofistikovamějšími a frekventovanějšími frebezpečnostními hrozbami. S tím jak se šifrování postupně stává normou, systémy pro detekci průniku (Intrusion Detection Systems, IDS) nyní musí efektivně fungovat i nad šifrovanou komunikací. Tato práce se zabývá návrhem metody pro vylepšení efektivity IDS systému Cisco Cognitive Threat Analytics s pomocí sdílení informací ve velkém počtu monitorovaných podnikových sítí. Navrženou metodu experimentálně porovnáme ve čtyřech variantách, včetně varianty využívající nový algoritmus pro normalizaci detektorů anomálií v přítomnosti chybějících dat. Experimenty ukazují, že použitím navržených metod se výrazně zlepší efektivita detekce průniku v sítích se špatnou schopností detekce a mírně se zlepší efektivita v průměrném případě. Dále je demonstrována robustnost nového algoritmu pro normalizaci detektorů anomálií. Tato zlepšení byla naměřena nejen na šifrované, ale i na nešifrované komunikaci. Computer networks are facing threats of ever-increasing frequency and sophistication. With encryption becoming the norm in both legitimate and malicious network traffic, Intrusion Detection Systems (IDS) are now required to work efficiently regardless of encryption. In this thesis, we develop a method designed to improve the efficacy of the Cisco Cognitive Threat Analytics IDS system by sharing intelligence across a large number of enterprise networks. Intelligence sharing provides additional information to the intrusion detection process, which is much needed particularly for analysis of encrypted traffic with inherently low information content. We experimentally evaluate our new method in four variants on real network traffic data, including a variant that employs a novel outlier ensemble normalization algorithm in presence of missing data. We show that our intelligence sharing method greatly improves detection efficacy for networks with bad baseline detection efficacy and slightly improves upon the average case. Robustness of the novel outlier ensemble normalization algorithm is also demonstrated. These improvements were measured on encrypted as well as non-encrypted network traffic.
Kolekce
- Diplomové práce - 13136 [412]