Využití technik strojového učení pro detekci útoků v prostředí Active Directory
Security monitoring of Active Directory environment based on Machine Learning techniques
dc.contributor.advisor | Buchovecká Simona | |
dc.contributor.author | Lukáš Kotlaba | |
dc.date.accessioned | 2021-06-03T22:52:53Z | |
dc.date.available | 2021-06-03T22:52:53Z | |
dc.date.issued | 2021-06-03 | |
dc.identifier | KOS-1065782138705 | |
dc.identifier.uri | http://hdl.handle.net/10467/94549 | |
dc.description.abstract | Active Directory je nástrojem centralizované administrace a správy identit v mnoha organizacích. Zajištění jeho zabezpečení je nezbytné k ochraně přístupových dat uživatelů, podnikových systémů a citlivých dat před neoprávněným přístupem. Bezpečnostní monitorování prostředí Active Directory se obvykle provádí pomocí detekčních pravidel založených na signaturách. Ty však nejsou vždy účinné a dostatečné, zejména pro útoky, které jsou podobné legitimním aktivitám z hlediska auditních dat. Tato práce aplikuje techniky strojového učení pro detekci dvou takových útočných technik - Password Spraying a Kerberoasting. Algoritmy strojového učení jsou aplikovány s využitím příznaků z auditu událostí systému Windows a vyhodnoceny na datech pocházejících ze skutečného Active Directory prostředí. Nejlepší přístupy jsou implementovány jako detekční pravidla pro praktické použití na platformě Splunk. Navrhované řešení dokázalo zlepšit detekční schopnosti a současně snížit počet falešných poplachů ve srovnání s přístupy založenými na signaturách, a to pro obě zkoumané techniky útoků. | cze |
dc.description.abstract | Active Directory is a central point of administration and identity management in many organizations. Ensuring its security is indispensable to protect user credentials, enterprise systems, and sensitive data from unauthorized access. Security monitoring of Active Directory environments is typically performed using signature-based detection rules. However, those are not always effective and sufficient, especially for attacks similar to legitimate activity from the auditing perspective. This thesis applies machine learning techniques for detecting two such attack techniques - Password Spraying and Kerberoasting. Several machine learning algorithms are utilized based on features from Windows Event Log and evaluated on data originating from a real Active Directory environment. Best approaches are implemented as detection rules for practical use in the Splunk platform. In experimental comparison with signature-based approaches, the proposed solution was able to improve detection capabilities, and at the same time, reduce the number of false alarms for both considered attack techniques. | eng |
dc.publisher | České vysoké učení technické v Praze. Vypočetní a informační centrum. | cze |
dc.publisher | Czech Technical University in Prague. Computing and Information Centre. | eng |
dc.rights | A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.html | eng |
dc.rights | Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html | cze |
dc.subject | bezpečnostní monitorování | cze |
dc.subject | detekční pravidla | cze |
dc.subject | strojové učení | cze |
dc.subject | detekce anomálií | cze |
dc.subject | Active Directory | cze |
dc.subject | Password Spraying | cze |
dc.subject | Kerberoasting | cze |
dc.subject | Splunk | cze |
dc.subject | security monitoring | eng |
dc.subject | detection rules | eng |
dc.subject | machine learning | eng |
dc.subject | anomaly detection | eng |
dc.subject | Active Directory | eng |
dc.subject | Password Spraying | eng |
dc.subject | Kerberoasting | eng |
dc.subject | Splunk | eng |
dc.title | Využití technik strojového učení pro detekci útoků v prostředí Active Directory | cze |
dc.title | Security monitoring of Active Directory environment based on Machine Learning techniques | eng |
dc.type | diplomová práce | cze |
dc.type | master thesis | eng |
dc.contributor.referee | Dostál Jiří | |
theses.degree.discipline | Počítačová bezpečnost | cze |
theses.degree.grantor | katedra informační bezpečnosti | cze |
theses.degree.programme | Informatika 2010 | cze |
Soubory tohoto záznamu
Tento záznam se objevuje v následujících kolekcích
-
Diplomové práce - 18106 [113]