Dissertação

Security Analytics with Mixed Event Sources and Ensembles EVALUATED

A presente tese expõe a complexidade associada à criação de Sistemas de Deteção de Intrusões baseados em dados de rede e de eventos, assim como as limitações dos atuais sistemas de deteção, quer baseados na máquina quer baseados em rede. É apresentada uma nova abordagem sustentada em logs do sistema operativo (SO) Windows e de rede. O principal objetivo é fornecer e testar: um conjunto de processos capazes de detetar intrusões, a utilização de um elevado número de características e o uso de diferentes fontes de dados, quer isoladas quer combinadas para deteção de intrusões. Este conjunto de processos combina algoritmos de aprendizagem automática para a deteção de entidades com comportamentos anormais. Para atingir o objetivo, testaram-se vários algoritmos de aprendizagem automática não-supervisionada quanto à performance quer em tempo quer na sua capacidade de deteção de outliers. O processo é composto por extração de feature, normalização, clustering e clustering ensemble. Após realização de clustering ensemble, os resultados são apresentados a um analista que decidirá a ação a tomar. Foram consideradas cinco abordagens na seleção de features, sendo que três destas abordagens utilizavam apenas dados de netflow e uma utilizava eventos do sistema operativo Windows. A última abordagem consiste na combinação da abordagem dos eventos Windows com a melhor abordagem dos dados de netflow. Para avaliar o sistema desenvolvido foi utilizado um dataset artificial disponível publicamente. Este dataset contém logs de máquinas com o SO Windows e informações de rede. O presente trabalho foi desenvolvido com a colaboração do Exército Português.
Cibersegurança, Aprendizagem Automática, Sistema de Deteção de Intrusões, Análise de Segurança, Logs, Netflow.

Dezembro 5, 2019, 10:0

Publicação

Obra sujeita a Direitos de Autor

Orientação

ORIENTADOR

Luís Filipe Xavier Cavaco de Mendonça Dias

Academia Militar

Major

ORIENTADOR

Miguel Nuno Dias Alves Pupo Correia

Departamento de Engenharia Informática (DEI)

Professor Associado