Vyhledávání podobností v síťových bezpečnostních hlášeních

Loading...
Thumbnail Image
Date
ORCID
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Systémy pre monitorovanie sietí zachytávajú veľké množstvo anomálií a podozrivých aktivít IP adries. Z týchto informácií, bezpečnostných udalostí, je len malé množstvo natoľko dôležitých, že si vyžadujú pozornosť administrátora. Majorita udalostí teda ostáva nespracovaná. Výsledky experimentov naznačujú, že analýzou týchto dát môžu byť odhalené koordinované skupiny IP adries a informácie o špecifických koreláciách udalostí. Metóda pre získavanie týchto znalosti zlepší prehľad administrátorov o dianí na sieti a je odpoveďou na narastajúce požiadavky na extrakciu užitočných informácií pri monitorovaní sietí. Nová metóda pre vyhľadávanie skupín IP, ktoré vykazujú vysokú mieru podobností komunikácie, bola implementovaná. Zakladá sa na korelácií sekvencií, ktoré reprezentujú vzory príchodu udalostí v čase. Metóda je testovaná na reálnych dátach z platformy pre zdieľanie, ktorá akumuluje 2.2 milióna udalostí denne. Výsledky ukázali, že metóda zachytila ozajstné koordinované skupiny IP adries.
Network monitoring systems generate a high number of alerts reporting on anomalies and suspicious activity of IP addresses. From a huge number of alerts, only a small fraction is high priority and relevant from human evaluation. The rest is likely to be neglected. Assume that by analyzing large sums of these low priority alerts we can discover valuable information, namely, coordinated IP addresses and type of alerts likely to be correlated. This knowledge improves situational awareness in the field of network monitoring and reflects the requirement of security analysts. They need to have at their disposal proper tools for retrieving contextual information about events on the network, to make informed decisions. To validate the assumption new method is introduced to discover groups of coordinated IP addresses that exhibit temporal correlation in the arrival pattern of their events. The method is evaluated on real-world data from a sharing platform that accumulates 2.2 million alerts per day. The results show, that method indeed detected truly correlated groups of IP addresses.
Description
Citation
ŠTOFFA, I. Vyhledávání podobností v síťových bezpečnostních hlášeních [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2020.
Document type
Document version
Date of access to the full text
Language of document
sk
Study field
Počítačová grafika a multimédia
Comittee
prof. Ing. Adam Herout, Ph.D. (předseda) prof. Dr. Ing. Pavel Zemčík (místopředseda) Ing. David Bařina, Ph.D. (člen) Ing. Vítězslav Beran, Ph.D. (člen) Ing. František Grézl, Ph.D. (člen) Ing. Zbyněk Křivka, Ph.D. (člen)
Date of acceptance
2020-07-14
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B. Otázky u obhajoby: Na jaké problémy jste narazil při vyhodnocování výsledků shlukovacích algoritmů?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
Collections
Citace PRO