Show simple item record

Anomaly detection of host roles in computer networks



dc.contributor.advisorGarcía Sebastián
dc.contributor.authorKasimov Yury
dc.date.accessioned2018-06-09T08:08:07Z
dc.date.available2018-06-09T08:08:07Z
dc.date.issued2018-06-05
dc.identifierKOS-695599632305
dc.identifier.urihttp://hdl.handle.net/10467/76378
dc.description.abstractDetekce infekcí malwarem je jedním z nejnáročnějších úkolů v oblasti moderní počítačové bezpečnosti. V posledních letech byla jako první detekční přístup běžná detekce anomálií, následně doplněná o výsledky z dalších klasifikátorů. Metody detekce anomálií jsou obvykle navrženy tak, aby modelovaly normální chování a poté hledaly odchylky od tohoto modelu. Nicméně techniky detekce anomálií mohou trpět různými problémy, včetně chybejících anotací pro ověření a velký počet falešně pozitivních detekcí. Tato práce navrhuje a popisuje novou metodu založenou na profilech pro zjištění anomálních změn v chování uživatelů v síti. Profily popisují chování uživatelů z různých pohledů pomocí různých příznaků. Každý profil je složen z informací o tom, co uživatel udělal v určitém časovém období. Příznaky extrahované v profilu pokrývají širokou škálu akcí uživatelů a snaží se analyzovat různé akce. Ve srovnání s jinými detektory anomálií na základě příznaků nabízejí naše profily pohled na chování uživatelů na vyšší úrovni. Předpokládáme, že je možné hledat anomálie využívající příznaky vyšší úrovně a současně produkovat méně falešně pozitivních detekcí a při tom efektivně nalézat skutečné útoky. Také problém získání skutečně označených dat pro trénování algoritmů detekce anomálií byl řešen v této práci. Navrhli jsme a vytvořili nové datasety, které obsahují skutečné normální akce uživatele, zatímco uživatel je napaden skutečným malwarem. Tyto datasety byly použity k trénování a vyhodnocení algoritmů pro detekci anomálií. Mezi zkoumanými algoritmy byly například Local Outlier Factor a One-Class SVM. Výsledky ukazují, že navržený algoritmus založený na profilu pro detekci anomálií způsobuje velmi málo falešně pozitivních chyb a poměrně vysokou míru skutečnou pozitivní detekcí. Dvěma hlavními příspěvky této práci jsou nový přístup založený na profilu pro detekci anomálií v sítích a dále datasety obsahující kombinaci skutečného malwaru a skutečného provozu uživatelů. Tyto datasety jsou dostupné ke stažení. Budoucí práce bude zaměřena na uplatnění navrženého přístupu k ochraně zařízení Internet of Things.cze
dc.description.abstractDetecting malware infections is one of the most challenging tasks in modern computer security. A very common approach in the last years has been to run an anomaly detection algorithm as a first detection approach and then complement the results with another classification algorithm. An anomaly detection method is usually designed to model normal traffic and then to find deviations from that model. However, anomaly detection techniques may suffer from different problems, including no labels for verification and a large number of false positives. This thesis proposes and describes a new profile-based method to detect anomalous changes in user network behaviors. The profiles describe the behavior of users from different perspectives in the network by using multiple features. Each profile encapsulates what the user did in a period of time. The features extracted inside the profile cover a wide range of actions from the user, trying to analyze different actions. Compared to other feature-based anomaly detectors, our profiles offer a more high-level view of the behavior of a user. We hypothesize that it is possible to look for anomalies using high-level features and at the same time produce less false positive while being effective at finding real attacks. The problem of obtaining real labeled data to train our anomaly detection algorithm was also addressed in this work. We designed and created new datasets that contain real normal actions of a human user, while the user is infected with real malware. These datasets were used to train and evaluate our anomaly detection algorithms. The algorithms studied were such as Local Outlier Factor and One-Class SVM. Results show that the proposed profile-based algorithm for anomaly detection produces very few false positive errors and reasonably high true positive detections. There are two main contributions in this thesis. First is the novel profile-based approach for anomaly detection in networks. Second, the datasets which contain the mix of real malware traffic and real user traffic. These datasets are available for download. The focus of the future work will be applying the proposed approach to the protection of Internet of Things devices.eng
dc.language.isoENG
dc.publisherČeské vysoké učení technické v Praze. Vypočetní a informační centrum.cze
dc.publisherCzech Technical University in Prague. Computing and Information Centre.eng
dc.rightsA university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmleng
dc.rightsVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.htmlcze
dc.subjectdetekce anomalie,profily,profilovani uzivatelu,malware,datasetycze
dc.subjectanomalie detection,profiles,user-profiling,malware,datasetseng
dc.titleDetekce anomálních rolí hostů v počítačových sítíchcze
dc.titleAnomaly detection of host roles in computer networkseng
dc.typediplomová prácecze
dc.typemaster thesiseng
dc.contributor.refereeGrill Martin
theses.degree.disciplineUmělá inteligencecze
theses.degree.grantorkatedra počítačůcze
theses.degree.programmeOtevřená informatikacze


Files in this item





This item appears in the following Collection(s)

Show simple item record