Dissertação

{en_GB=CryingJackpot: Network Flows and Performance Counters against Cryptojacking} {} EVALUATED

{pt=A presente tese explora as características e dificuldades por detrás do desenvolvimento de uma abordagem híbrida de deteção de intrusões para a deteção de cryptojacking, nas suas formas binária e baseada em navegadores Web, e a descrição da abordagem que adotámos para a criação de um dataset/conjunto de dados para testes e avaliação do desempenho da nossa abordagem de deteção. A nossa abordagem para a deteção de cryptojacking, CryingJackpot, é implementada utilizando um método de aprendizagem automática não supervisionado, que utiliza duas fontes de dados. Esta abordagem, que não necessita de conhecimentos prévios sobre os ataques ou dados de treino, utiliza vários algoritmos de clustering/agrupamento complementados por uma técnica de ensemble. As caraterísticas são obtidas a partir de fluxo de rede e indicadores de desempenho. O processo de deteção começa pela extração de características dos dados disponíveis, seguido da sua normalização. As características extraídas são dadas como entrada para a etapa de clustering, onde são combinadas, e os computadores (hosts) com comportamento semelhante são agregados. Finalmente, os resultados do clustering são submetidos a uma técnica de ensemble. A avaliação da nossa abordagem híbrida é feita utilizando um dataset público e o dataset por nós desenvolvido. O primeiro é limitado apenas ao fluxo de rede e conta com a presença de mais ataques do que o cryptojacking. O segundo foi concebido para satisfazer as nossas necessidades de possuir dados relativos a fluxo de rede e a indicadores/contadores de desempenho, combinados com informações relativas a ataques de cryptojacking. , en=The present thesis explores the characteristics and difficulties behind the development of an hybrid intrusion detection system (ids) approach for cryptojacking detection, in its binary and browser-based forms, and the description of the approach we took for the creation of a dataset for testing and performance evaluation. Our cryptojacking intrusion detection approach, CryingJackpot, is implemented using an unsupervised machine learning method, which uses two data sources. This approach, which does not need knowledge about the attacks or training data, uses several clustering algorithms complemented by an ensemble technique. The features are obtained from network flows and performance indicators. The process of detection starts by extracting features from the available data, followed by their normalization. The extracted features are given as input to the clustering step, where hosts with similar behavior are aggregated. Finally, the clustering results are submitted to an ensemble technique. The evaluation of our hybrid approach is done using a public dataset and the dataset developed by us. The former is limited to network flow only and has the presence of more attacks than cryptojacking. The second was designed to meet our needs for flow-based data and performance indicators/counters combined with information regarding cryptojacking attacks.}
{pt=Deteção de Intrusões, Agrupamento, Cryptojacking, Fluxo de Rede, Indicadores de Desempenho, Análise de Segurança, en=Intrusion Detection, Clustering, Cryptojacking, Network Flows, Performance Counters, Security Analytics}

Janeiro 22, 2021, 17:30

Orientação

ORIENTADOR

Luís Filipe Xavier Cavaco Mendonça Dias

Academia Militar

Especialista

ORIENTADOR

Miguel Nuno Dias Alves Pupo Correia

Departamento de Engenharia Informática (DEI)

Professor Associado