Dissertação

{en_GB= Structured Behavior Analysis on Encrypted Traffic: Understanding and Detecting Network Attacks} {} EVALUATED

{pt=O objetivo principal deste trabalho é estudar ataques de rede. Ao delinear o perfil dos padrões de comportamento de rede inerentes a ferramentas de software usadas de forma maliciosa, podemos detetar as técnicas que essas ferramentas implementam sem precisar de detetar especificamente a ferramenta com base nas suas especificidades. Para tal, começamos por desenvolver e propôr uma ferramenta de extração de features de rede denominada NetGenes, que considera várias features de comunicação de rede conceituais e estatísticas baseadas exclusivamente em metadados extraídos de protocolos L1-4 (camada-OSI 1 a camada-OSI 4). A ferramenta NetGenes, a partir de um ficheiro de captura de rede (PCAP, PCAPNG), permite extrair features de três objetos de rede (flows, talkers e hosts) que se constroem baseados uns nos outros, agregando logicamente features dos objetos de rede abaixo deles, e permitindo também a criação de novas features. De seguida, estudamos várias classes de ameaças, organizando-as logicamente como numa taxonomia e descrevendo as ameaças, técnicas de ataque e ferramentas que as implementam, contidas pela mesma. Depois, criamos vários conjuntos de regras com base nos objetos de rede extraídos pelo NetGenes para a classe de ameaça “Port Scan”. Finalmente, utilizamos os conjuntos de regras criados anteriormente ao dataset CIC-IDS-2017, fornecendo informações valiosas sobre as melhores formas de detetar tráfego pertencente à classe de ameaça “Port Scan” de forma transparente e direta., en=The main objective of this work is to study network attacks. By profiling the inherent network behavior patterns of maliciously used software tools, we can detect the techniques that these tools implement without needing to specifically detect the tool based on its specificities. It is developed and proposed a network feature extraction tool dubbed NetGenes, which considers a vast number of conceptual and statistical network communication features exclusively based on metadata extracted from L1-4 (OSI-Layer 1 to OSI-Layer 4) protocols. NetGenes takes a network trace-file (PCAP, PCAPNG) as an input, and extracts features of three network objects (flows, talkers and hosts) which build off of each other, logically aggregating lower-level network object features beneath them, and also enabling the creation of new features. Then, we study various threat classes, organizing them in a taxonomy-like manner and outlining their encompassed threats, attack techniques and tools that implement them. Moreover, we create various rule sets based on the network objects extracted by NetGenes, for the “Port Scan” threat class. Finally, we apply the previously created rule sets to the CIC-IDS-2017 dataset, providing valuable insight about how to best detect the “Port Scan” threat class and its encompassed variants in a direct transparent manner.}
{pt=Segurança de Redes, Extração de Features TCP/IP, Análise de Tráfego Cifrado, Threat Hunting em Redes, en=Network Security, TCP/IP Feature Extraction, Encrypted Network Traffic Analysis, Network Threat Hunting}

Janeiro 19, 2021, 16:30

Orientação

ORIENTADOR

Pedro Miguel dos Santos Alves Madeira Adão

Departamento de Engenharia Informática (DEI)

Professor Associado

ORIENTADOR

Nuno Miguel Lopes Marques

Centro Nacional de Cibersegurança - (CNCS)

Membro do departamento de operações do Centro Nacional de Cibersegurança