Vylepšení Adversariální Klasifikace v Behaviorální Analýze Síťové Komunikace Určené pro Detekci Cílených Útoků
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
V této práci se zabýváme vylepšením systémů pro odhalení síťových průniků. Konkrétně se zaměřujeme na behaviorální analýzu, která využívá data extrahovaná z jednotlivých síťových spojení. Tyto informace využívá popsaný framework k obfuskaci cílených síťových útoků, které zneužívají zranitelností v sadě soudobých zranitelných služeb. Z Národní databáze zranitelností od NIST vybíráme zranitelné služby, přičemž se omezujeme jen na roky 2018 a 2019. Ve výsledku vytváříme nový dataset, který sestává z přímých a obfuskovaných útoků, provedených proti vybraným zranitelným službám, a také z jejich protějšků ve formě legitimního provozu. Nový dataset vyhodnocujeme za použití několika klasifikačních technik, a demonstrujeme, jak důležité je trénovat tyto klasifikátory na obfuskovaných útocích, aby se zabránilo jejich průniku bez povšimnutí. Nakonec provádíme křížové vyhodnocení datasetů pomocí nejmodernějšího datasetu ASNM-NPBO a našeho datasetu. Výsledky ukazují důležitost opětovného trénování klasifikátorů na nových zranitelnostech při zachování dobrých schopností detekovat útoky na staré zranitelnosti.
In this work, we study ways to improve the performance of network intrusion detectors. In detail, we focus on behavioral analysis, which uses data extracted from individual network connections. Such data is used by the described framework for obfuscation of targeted network attacks that exploit a set of contemporary vulnerable services. We select vulnerable services by scraping the National Vulnerability Database of NIST while limiting the search for years 2018 and 2019. As a result, we create a novel dataset that consists of direct and obfuscated attacks executed on selected vulnerable services as well as their legitimate traffic counterparts. We evaluate the dataset using a few classification techniques, and we demonstrate the importance of training these classifiers using obfuscated attacks in order to prevent evasion of the classifiers (i.e., false negatives). Finally, we perform the cross dataset evaluation using the state-of-the-art ASNM-NPBO dataset and our dataset. The results indicate the importance of retraining the classifiers with the novel vulnerabilities while still preserving a high detection performance of attacks on older vulnerabilities.
In this work, we study ways to improve the performance of network intrusion detectors. In detail, we focus on behavioral analysis, which uses data extracted from individual network connections. Such data is used by the described framework for obfuscation of targeted network attacks that exploit a set of contemporary vulnerable services. We select vulnerable services by scraping the National Vulnerability Database of NIST while limiting the search for years 2018 and 2019. As a result, we create a novel dataset that consists of direct and obfuscated attacks executed on selected vulnerable services as well as their legitimate traffic counterparts. We evaluate the dataset using a few classification techniques, and we demonstrate the importance of training these classifiers using obfuscated attacks in order to prevent evasion of the classifiers (i.e., false negatives). Finally, we perform the cross dataset evaluation using the state-of-the-art ASNM-NPBO dataset and our dataset. The results indicate the importance of retraining the classifiers with the novel vulnerabilities while still preserving a high detection performance of attacks on older vulnerabilities.
Description
Citation
SEDLO, O. Vylepšení Adversariální Klasifikace v Behaviorální Analýze Síťové Komunikace Určené pro Detekci Cílených Útoků [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2020.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Bezpečnost informačních technologií
Comittee
prof. Ing. Martin Drahanský, Ph.D. (předseda)
doc. Ing. Jan Kořenek, Ph.D. (místopředseda)
Ing. Matěj Grégr, Ph.D. (člen)
doc. Mgr. Lukáš Holík, Ph.D. (člen)
Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Libor Polčák, Ph.D. (člen)
Date of acceptance
2020-07-14
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A. Otázky u obhajoby: Na základě jakých parametrů jste vybral 6 použitých klasifikátorů? Existují i jiné použitelné zdroje resp. databáze zranitelností, které byste mohl využít pro obohacení vašeho datasetu? V datasetu se vyskytuje pouze 11 služeb, na které útočíte. To mi přijde málo. Z jakého důvodu je ten počet takto nízký. Proč jste vybral zrovna tyto služby? Kolik je to % z CVE dat? Jaké byly časové náročnosti jednotlivých analýz z kapitol 7 a 8? Na jakých datech jste detekce hodnotil? Jak jste generoval legitimní provoz? Jaký byl poměr mezi legitimním provozem a útoky?
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení