Original title:
Detekce útoku pomocí analýzy systémových logů
Translated title:
Attack Detection by Analysis of the System's Logs
Authors:
Holub, Ondřej ; Puš, Viktor (referee) ; Kaštil, Jan (advisor) Document type: Master’s theses
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Práce pojednává o možnostech detekce útoků a nestandardního chování. Zabývá se problematikou detekčních systémů IDS, jejich klasifikací a metodami, které tyto systémy k detekci útoků využívají. Část práce je věnována seznámení se s existujícími IDS systémy a s vlastnostmi, které jsou nezbytné pro úspěšnou detekci útoků. Další části přibližují metody získávání informací z operačních systémů Microsoft Windows a teoretické metody detekce anomálií v datech. V praktické části se pak práce zaměřuje na návrh a implementaci HIDS aplikace. Výsledná aplikace a její detekční schopnosti jsou ke konci praktické části testovány na několika modelových situacích. Závěr práce tvoří shrnutí získaných poznatků a nastínění směru dalšího vývoje.
The thesis deals with the attack detection possibilities and the nonstandard behaviour. It focuses on problems with the IDS detection systems, the subsequent classification and methods which are being used for the attack detection. One part of the thesis presents the existing IDS systems and their properties which are necessary for the successful attack detection. Other parts describe methods to obtain information from the operating systems Microsoft Windows and it also analyses the theoretical methods of data abnormalities. The practical part focuses on the design and implementation of the HIDS application. The final application and its detection abilities are tested at the end of the practical part with the help of some model situations. In the conclusion, the thesis sums up the gained information and shows a possible way of the future development.
Keywords:
anomaly detection; attack detection; HIDS; IDS; intrusion detection systems; Kohonen's self-organizing maps.; Microsoft Windows; monitoring; neural networks; Windows API; WMI; detekce anomálií; detekce útoků; HIDS; IDS; Kohonenovy samoorganizační mapy.; Microsoft Windows; monitorování; neuronové sítě; systémy detekce narušení; Windows API; WMI
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/53888