Detekce anomálních rolí hostů v počítačových sítích

Abstract

Detekce infekcí malwarem je jedním z nejnáročnějších úkolů v oblasti moderní počítačové bezpečnosti. V posledních letech byla jako první detekční přístup běžná detekce anomálií, následně doplněná o výsledky z dalších klasifikátorů. Metody detekce anomálií jsou obvykle navrženy tak, aby modelovaly normální chování a poté hledaly odchylky od tohoto modelu. Nicméně techniky detekce anomálií mohou trpět různými problémy, včetně chybejících anotací pro ověření a velký počet falešně pozitivních detekcí. Tato práce navrhuje a popisuje novou metodu založenou na profilech pro zjištění anomálních změn v chování uživatelů v síti. Profily popisují chování uživatelů z různých pohledů pomocí různých příznaků. Každý profil je složen z informací o tom, co uživatel udělal v určitém časovém období. Příznaky extrahované v profilu pokrývají širokou škálu akcí uživatelů a snaží se analyzovat různé akce. Ve srovnání s jinými detektory anomálií na základě příznaků nabízejí naše profily pohled na chování uživatelů na vyšší úrovni. Předpokládáme, že je možné hledat anomálie využívající příznaky vyšší úrovně a současně produkovat méně falešně pozitivních detekcí a při tom efektivně nalézat skutečné útoky. Také problém získání skutečně označených dat pro trénování algoritmů detekce anomálií byl řešen v této práci. Navrhli jsme a vytvořili nové datasety, které obsahují skutečné normální akce uživatele, zatímco uživatel je napaden skutečným malwarem. Tyto datasety byly použity k trénování a vyhodnocení algoritmů pro detekci anomálií. Mezi zkoumanými algoritmy byly například Local Outlier Factor a One-Class SVM. Výsledky ukazují, že navržený algoritmus založený na profilu pro detekci anomálií způsobuje velmi málo falešně pozitivních chyb a poměrně vysokou míru skutečnou pozitivní detekcí. Dvěma hlavními příspěvky této práci jsou nový přístup založený na profilu pro detekci anomálií v sítích a dále datasety obsahující kombinaci skutečného malwaru a skutečného provozu uživatelů. Tyto datasety jsou dostupné ke stažení. Budoucí práce bude zaměřena na uplatnění navrženého přístupu k ochraně zařízení Internet of Things.

Detecting malware infections is one of the most challenging tasks in modern computer security. A very common approach in the last years has been to run an anomaly detection algorithm as a first detection approach and then complement the results with another classification algorithm. An anomaly detection method is usually designed to model normal traffic and then to find deviations from that model. However, anomaly detection techniques may suffer from different problems, including no labels for verification and a large number of false positives. This thesis proposes and describes a new profile-based method to detect anomalous changes in user network behaviors. The profiles describe the behavior of users from different perspectives in the network by using multiple features. Each profile encapsulates what the user did in a period of time. The features extracted inside the profile cover a wide range of actions from the user, trying to analyze different actions. Compared to other feature-based anomaly detectors, our profiles offer a more high-level view of the behavior of a user. We hypothesize that it is possible to look for anomalies using high-level features and at the same time produce less false positive while being effective at finding real attacks. The problem of obtaining real labeled data to train our anomaly detection algorithm was also addressed in this work. We designed and created new datasets that contain real normal actions of a human user, while the user is infected with real malware. These datasets were used to train and evaluate our anomaly detection algorithms. The algorithms studied were such as Local Outlier Factor and One-Class SVM. Results show that the proposed profile-based algorithm for anomaly detection produces very few false positive errors and reasonably high true positive detections. There are two main contributions in this thesis. First is the novel profile-based approach for anomaly detection in networks. Second, the datasets which contain the mix of real malware traffic and real user traffic. These datasets are available for download. The focus of the future work will be applying the proposed approach to the protection of Internet of Things devices.