Dissertação

{pt_PT=Online Security Analytics} {} EVALUATED

{pt=Na presente dissertação, são abordadas as dificuldades relativas à análise de dados para um sistema de cibersegurança bem como as limitações existentes nos sistemas de deteção atuais e como criar um sistema mais robusto que consiga colmatar essas limitações. Os métodos usados foram a extração de características (features), agrupar as entidades com base nessas características, extração de características dos grupos obtidos com um algoritmo genético, classificação dos grupos obtidos e, como resultado, os grupos com comportamento anómalo bem como as características que caracterizam os dados de entrada. Foram analisados dois conjuntos de dados correspondentes a tráfegos de duas redes reais, onde em cada um, às suas entidades constituintes, são retiradas um conjunto de características. O objetivo principal do trabalho a desenvolver, é de extrair informação útil para detetar ciber ataques a partir de dados em contínuo, sem informação de padrões anteriores. Para além disto, também foi aplicado um algoritmo genético de forma a obter as características mais importantes dos conjuntos de dados utilizados, de forma a caracterizar de uma melhor forma os grupos com entidades suspeitas. Todo este sistema foi implementado com base sistemas open source de processamento e armazenamento de dados, garantindo uma maior robustez e redundância do sistema. Dois conjuntos de dados foram utilizados para avaliar experimentalmente o sistema e a sua implementação. Este sistema foi apresentado a entidades do Exército Português, sendo aprovada como um projeto importante com aplicabilidade necessária a desenvolver no futuro com o fim de complementar os sistemas de deteção de intrusões em uso. , en=In this thesis, the difficulties presented in data analytics are analyzed for a cybersecurity system, as well as the flaws and limitations presented in the current detection systems and how to create a more reliable system that can tackle these limitations. The used methods were features extraction from the input data, clustering using an unsupervised machine learning method to aggregate the entities based on the previous feature extraction, extracting features from the obtained clusters with a genetic algorithm, classification of the obtained clusters, based on feature values and output the misbehaving groups as well as the most important features that characterizes this data. Two different datasets were used corresponding to flows of two real networks, where from each one a set of features were extracted. The main goal of the developed work is to extract useful information to detect cyberattacks from streaming data, without information of previous patterns. After this, a genetic algorithm was applied to extract the best features for the given dataset, in order to characterize the groups with suspicious behavior better. This approach was implemented by leveraging two open source processing and storage frameworks, in order to obtain a system with more redundancy and strength. Two datasets were used to evaluate experimentally the approach and its implementation. This system was presented to some people inside the Portuguese Army, having been approved as an important project with applicability in developing in the present and future with the goal to complement the intrusion detection systems. }
{pt=análise de dados, cibersegurança, aprendizagem automática, sistemas de deteção de intrusões., en=data analytics, cybersecurity, machine learning, intrusion detection systems.}

Novembro 27, 2018, 9:30

Orientação

ORIENTADOR

Rui Fuentecilla Maia Ferreira Neves

Departamento de Engenharia Electrotécnica e de Computadores (DEEC)

Professor Auxiliar

ORIENTADOR

Miguel Nuno Dias Alves Pupo Correia

Departamento de Engenharia Informática (DEI)

Professor Associado