Dissertação

Security Analytics with Mixed Event Sources and Ensembles EVALUATED

A presente tese expõe a complexidade associada à criação de Sistemas de Deteção de Intrusões baseados em dados de rede e de eventos, assim como as limitações dos atuais sistemas de deteção, quer baseados na máquina quer baseados em rede. É apresentada uma nova abordagem sustentada em logs do sistema operativo (SO) Windows e de rede. O principal objetivo é fornecer e testar: um conjunto de processos capazes de detetar intrusões, a utilização de um elevado número de características e o uso de diferentes fontes de dados, quer isoladas quer combinadas para deteção de intrusões. Este conjunto de processos combina algoritmos de aprendizagem automática para a deteção de entidades com comportamentos anormais. Para atingir o objetivo, testaram-se vários algoritmos de aprendizagem automática não-supervisionada quanto à performance quer em tempo quer na sua capacidade de deteção de outliers. O processo é composto por extração de feature, normalização, clustering e clustering ensemble. Após realização de clustering ensemble, os resultados são apresentados a um analista que decidirá a ação a tomar. Foram consideradas cinco abordagens na seleção de features, sendo que três destas abordagens utilizavam apenas dados de netflow e uma utilizava eventos do sistema operativo Windows. A última abordagem consiste na combinação da abordagem dos eventos Windows com a melhor abordagem dos dados de netflow. Para avaliar o sistema desenvolvido foi utilizado um dataset artificial disponível publicamente. Este dataset contém logs de máquinas com o SO Windows e informações de rede. O presente trabalho foi desenvolvido com a colaboração do Exército Português.
Cibersegurança, Aprendizagem Automática, Sistema de Deteção de Intrusões, Análise de Segurança, Logs, Netflow.

Dezembro 5, 2019, 10:0

Documentos da dissertação ainda não disponíveis publicamente

Orientação

ORIENTADOR

Luís Filipe Xavier Cavaco de Mendonça Dias

Academia Militar

Major

ORIENTADOR

Miguel Nuno Dias Alves Pupo Correia

Departamento de Engenharia Informática (DEI)

Professor Associado