Statistické metody detekce anomálií datové komunikace

Thumbnail Image
Files
final-thesis.pdf(1.78 MB)
review_85397.html(5 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií
Abstract
Tato práce slouží jako teoretický základ pro praktické řešení problematiky použití statistických metod pro detekci anomálií v datovém provozu. Základní zaměření detekcí anomálií datového provozu je na datové útoky. Proto hlavní náplní je analýza datových útoků. V rámci řešení jsou datové útoky řazeny dle protokolů, které útočníci ke své činnosti zneužívají. V každé části je popsán samotný protokol, jeho využití a chování. Pro každý protokol je postupně řešen popis jednotlivých útoků, včetně metodiky vedení útoku a postihů na napadený systém nebo stanice. Dále jsou pro nejzávažnější útoky nastíněny postupy jejich detekce a případné možnosti obrany proti nim. Tyto poznatky jsou shrnuty do teoretické analýzy, která by měla sloužit jako výchozí bod pro praktickou část, kterou bude samotná analýza reálného datového provozu. Praktická část je rozdělena do několika oddílů. První z nich popisuje postupy pro získávání a přípravu vzorků tak, aby na nich bylo možné provést další analýzy. Dále jsou zde popsány vytvořené skripty, které slouží pro získávání potřebných dat ze zaznamenaných vzorků. Tato data jsou detailně analyzována za použití statistických metod, jako jsou časové řady a popisná statistika. Následně jsou získané vlastnosti a sledovaná chování ověřována za pomocí uměle vytvořených i reálných útoků, kterými je původní čistý provoz modifikován. Pomocí nové analýzy jsou modifikované provozy porovnány s původními vzorky a provedeno vyhodnocení, zda se podařilo nějaký druh anomálie detekovat. Získané výsledky a sledování jsou souhrnně shrnuty a vyhodnoceny v samostatné kapitole s popisem dalších možných útoků, které nebyly přímou součástí testovací analýzy.
This thesis serves as a theoretical basis for a practical solution to the issue of the use of statistical methods for detecting anomalies in data traffic. The basic focus of anomaly detection data traffic is on the data attacks. Therefore, the main focus is the analysis of data attacks. Within the solving are data attacks sorted by protocols that attackers exploit for their own activities. Each section describes the protocol itself, its usage and behavior. For each protocol is gradually solved description of the attacks, including the methodology leading to the attack and penalties on an already compromised system or station. For the most serious attacks are outlined procedures for the detection and the potential defenses against them. These findings are summarized in the theoretical analysis, which should serve as a starting point for the practical part, which will be the analysis of real data traffic. The practical part is divided into several sections. The first of these describes the procedures for obtaining and preparing the samples to allow them to carry out further analysis. Further described herein are created scripts that are used for obtaining needed data from the recorded samples. These data are were analyzed in detail, using statistical methods such as time series and descriptive statistics. Subsequently acquired properties and monitored behavior is verified using artificial and real attacks, which is the original clean operation modified. Using a new analysis of the modified traffics compared with the original samples and an evaluation of whether it has been some kind of anomaly detected. The results and tracking are collectively summarized and evaluated in a separate chapter with a description of possible further attacks, which were not directly part of the test analysis.
Description
Keywords
detekce, anomálie, útok, záplava, zneužití, protokol, detection, anomaly, attack, flood, exploit, protocol
Citation
WOIDIG, E. Statistické metody detekce anomálií datové komunikace [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2015.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Telekomunikační a informační technika
Comittee
doc. Ing. Václav Zeman, Ph.D. (předseda) doc. Ing. Martin Vaculík, Ph.D. (místopředseda) Ing. Pavel Nevlud (člen) doc. Mgr. Karel Slavíček, Ph.D. (člen) Ing. Zdeněk Martinásek, Ph.D. (člen) Ing. Pavel Šilhavý, Ph.D. (člen)
Date of acceptance
2015-06-11
Defence
Objasněte, proč jste pro detekci anomálií datové komunikace použil pouze parametry pro jednorozměrné náhodné veličiny, aniž byste předpokládal např. stacionaritu analyzované časové řady. Jaký je rozdíl mezi časovou řadou a jednorozměrnou náhodnou veličinou? Uveďte správnou definici mediánu a kvantilu. Podle jaké kvantitativní hodnoty určíte, že data vykreslená v histogramu a P-P grafu (viz obr. 4.16) skutečně odpovídají normálnímu rozdělení.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/40011
Collections
2015
Citace PRO