Vyhledávání podobností v síťových bezpečnostních hlášeních

Thumbnail Image

Files

final-thesis.pdf (2.67 MB)
 Posudek-Vedouci prace-23210_v.pdf (85.89 KB)
 Posudek-Oponent prace-23210_o.pdf (88.08 KB)
 review_129347.html (1.46 KB)

Date

Authors

Štoffa, Imrich

Advisor

Referee

Mark

B

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta informačních technologií

ORCID

Abstract

Systémy pre monitorovanie sietí zachytávajú veľké množstvo anomálií a podozrivých aktivít IP adries. Z týchto informácií, bezpečnostných udalostí, je len malé množstvo natoľko dôležitých, že si vyžadujú pozornosť administrátora. Majorita udalostí teda ostáva nespracovaná. Výsledky experimentov naznačujú, že analýzou týchto dát môžu byť odhalené koordinované skupiny IP adries a informácie o špecifických koreláciách udalostí. Metóda pre získavanie týchto znalosti zlepší prehľad administrátorov o dianí na sieti a je odpoveďou na narastajúce požiadavky na extrakciu užitočných informácií pri monitorovaní sietí. Nová metóda pre vyhľadávanie skupín IP, ktoré vykazujú vysokú mieru podobností komunikácie, bola implementovaná. Zakladá sa na korelácií sekvencií, ktoré reprezentujú vzory príchodu udalostí v čase. Metóda je testovaná na reálnych dátach z platformy pre zdieľanie, ktorá akumuluje 2.2 milióna udalostí denne. Výsledky ukázali, že metóda zachytila ozajstné koordinované skupiny IP adries.
Network monitoring systems generate a high number of alerts reporting on anomalies and suspicious activity of IP addresses. From a huge number of alerts, only a small fraction is high priority and relevant from human evaluation. The rest is likely to be neglected. Assume that by analyzing large sums of these low priority alerts we can discover valuable information, namely, coordinated IP addresses and type of alerts likely to be correlated. This knowledge improves situational awareness in the field of network monitoring and reflects the requirement of security analysts. They need to have at their disposal proper tools for retrieving contextual information about events on the network, to make informed decisions. To validate the assumption new method is introduced to discover groups of coordinated IP addresses that exhibit temporal correlation in the arrival pattern of their events. The method is evaluated on real-world data from a sharing platform that accumulates 2.2 million alerts per day. The results show, that method indeed detected truly correlated groups of IP addresses.

Description

Keywords

bezpečnostné udalosti , korelácia , IP adresy , klastrovanie , zhlukovanie , monitorovanie siete , strojové učenie , rozpoznávanie vzorov , kolektívne anomálie , detekcia botnetov. , Alerts , correlation , IP address , sequence clustering , situational awareness , machine learning , pattern recognition , collective anomaly , botnet detection.

Citation

ŠTOFFA, I. Vyhledávání podobností v síťových bezpečnostních hlášeních [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2020.

Document type

Document version

Date of access to the full text

Language of document

sk

Study field

Počítačová grafika a multimédia

Comittee

prof. Ing. Adam Herout, Ph.D. (předseda) prof. Dr. Ing. Pavel Zemčík, dr. h. c. (místopředseda) Ing. David Bařina, Ph.D. (člen) doc. Ing. Vítězslav Beran, Ph.D. (člen) Ing. František Grézl, Ph.D. (člen) Ing. Zbyněk Křivka, Ph.D. (člen)

Date of acceptance

2020-07-14

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B. Otázky u obhajoby: Na jaké problémy jste narazil při vyhodnocování výsledků shlukovacích algoritmů?

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/192527

Collections

2020

Endorsement

Review

Supplemented By

Referenced By

Citace PRO