Využití reputačního skóre a skóre anomálií pro hodnocení událostí v logovacích souborech

Thumbnail Image

Files

final-thesis.pdf (2.89 MB)
 review_154624.html (8.51 KB)

Date

Authors

Zbořil, Jan

Advisor

Referee

Mark

A

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta informačních technologií

ORCID

Abstract

Pro administrátory, bezpečnostní inženýry a síťové experty je nemožné sledovat současné množství dat proudící v počítačových sítích. Komplexní systémy jako IDS nebo IPS jsou navrženy tak, aby kromě své primární funkce také ukládaly síťový provoz. Cílem této práce je automaticky redukovat počet záznamů v lozích generovaných těmito systémy tak, aby obsahovaly pouze nejdůležitější informace. Anomální a reputační skóre představují metriky pro rozhodování tohoto problému - zda je záznam v logu důležitý či nikoliv. Cílem práce je prozkoumat současný stav metod běžně používaných pro tyto účely a navrhnout řešení, jak využít data síťových analyzátorů, jako je Suricata, k detekci anomálií v provozu a ohodnocení reputace síťových uzlů. Je vyvinuto kompletní řešení od zpracování dat, výpočtu skóre, redukce velikosti logů výběrem důležitých záznamů, a interpretace výsledků. Řešení je demonstrováno na reálných datech. Jsou diskutovány možnosti využití výsledků a použitých metod, jejich možné vylepšení a možné rozšíření v budoucích pracech.
The current amount of data flowing through computer networks cannot be monitored by individuals. This data is also being saved by IDS or IPS systems to logs, which grow ever faster. The goal is thus to automatically reduce the amount of such logs, for them to contain only the most valuable information. Rating scores, such as anomaly score or a reputation scores, are valid metrics for determining whether the information (i.e., log event) is valuable or not. The goal of this thesis is to explore the current state of methods used for anomaly detection and reputation scoring. And to propose a solution on how to use data captured in the logs of network analysers like Suricata to detect anomalies in the traffic and score network nodes. A complete solution from data processing, scoring using methods for computation of reputation score and anomaly detection, and result interpretation, is developed and demonstrated on real-world data. A way of reducing the amount of log events by using the calculated scores is demonstrated. A resulting method of combining both scores to automatically rate the log events is demonstrated and explained on examples of the real scored data. Possible future uses of the results are discussed.

Description

Keywords

detekce anomálíí , PCA , Analýza hlavních komponent , reputační skóre , logy síťového provozu , anomaly detection , PCA , Principal Component Analysis , reputation score , network traffic logs

Citation

ZBOŘIL, J. Využití reputačního skóre a skóre anomálií pro hodnocení událostí v logovacích souborech [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2024.

Document type

Document version

Date of access to the full text

Language of document

en

Study field

Počítačové sítě

Comittee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda) doc. Ing. Petr Matoušek, Ph.D., M.A. (člen) doc. RNDr. Milan Češka, Ph.D. (člen) Ing. Martin Hrubý, Ph.D. (člen) Ing. Matěj Grégr, Ph.D. (člen) doc. Ing. Jan Kořenek, Ph.D. (člen)

Date of acceptance

2024-06-14

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/248339

Collections

2024

Endorsement

Review

Supplemented By

Referenced By

Citace PRO