Název:
Vyhledávání podobností v síťových bezpečnostních hlášeních
Překlad názvu:
Similarity Search in Network Security Alerts
Autoři:
Štoffa, Imrich ; Kučera, Jan (oponent) ; Žádník, Martin (vedoucí práce) Typ dokumentu: Diplomové práce
Rok:
2020
Jazyk:
slo
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [slo][eng]
Systémy pre monitorovanie sietí zachytávajú veľké množstvo anomálií a podozrivých aktivít IP adries. Z týchto informácií, bezpečnostných udalostí, je len malé množstvo natoľko dôležitých, že si vyžadujú pozornosť administrátora. Majorita udalostí teda ostáva nespracovaná. Výsledky experimentov naznačujú, že analýzou týchto dát môžu byť odhalené koordinované skupiny IP adries a informácie o špecifických koreláciách udalostí. Metóda pre získavanie týchto znalosti zlepší prehľad administrátorov o dianí na sieti a je odpoveďou na narastajúce požiadavky na extrakciu užitočných informácií pri monitorovaní sietí. Nová metóda pre vyhľadávanie skupín IP, ktoré vykazujú vysokú mieru podobností komunikácie, bola implementovaná. Zakladá sa na korelácií sekvencií, ktoré reprezentujú vzory príchodu udalostí v čase. Metóda je testovaná na reálnych dátach z platformy pre zdieľanie, ktorá akumuluje 2.2 milióna udalostí denne. Výsledky ukázali, že metóda zachytila ozajstné koordinované skupiny IP adries.
Network monitoring systems generate a high number of alerts reporting on anomalies and suspicious activity of IP addresses. From a huge number of alerts, only a small fraction is high priority and relevant from human evaluation. The rest is likely to be neglected. Assume that by analyzing large sums of these low priority alerts we can discover valuable information, namely, coordinated IP addresses and type of alerts likely to be correlated. This knowledge improves situational awareness in the field of network monitoring and reflects the requirement of security analysts. They need to have at their disposal proper tools for retrieving contextual information about events on the network, to make informed decisions. To validate the assumption new method is introduced to discover groups of coordinated IP addresses that exhibit temporal correlation in the arrival pattern of their events. The method is evaluated on real-world data from a sharing platform that accumulates 2.2 million alerts per day. The results show, that method indeed detected truly correlated groups of IP addresses.
Klíčová slova:
Alerts; botnet detection.; collective anomaly; correlation; IP address; machine learning; pattern recognition; sequence clustering; situational awareness
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/192527