Classificação de anomalias e redução de falsos positivos em sistemas de detecção de intrusão baseados em rede utilizando métodos de agrupamento / Anomalies classification and false positives reduction in network intrusion detection systems using clustering methods

Ferreira, Vinícius Oliveira [UNESP]

27 April 2016

Submitted by VINÍCIUS OLIVEIRA FERREIRA null (viniciusoliveira@acmesecurity.org) on 2016-05-18T20:29:41Z No. of bitstreams: 1 Dissertação-mestrado-vinicius-oliveira-biblioteca-final.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) / Approved for entry into archive by Ana Paula Grisoto (grisotoana@reitoria.unesp.br) on 2016-05-20T16:27:30Z (GMT) No. of bitstreams: 1 ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) / Made available in DSpace on 2016-05-20T16:27:30Z (GMT). No. of bitstreams: 1 ferreira_vo_me_sjrp.pdf: 1594758 bytes, checksum: 0dbb0d2dd3fca3ed2b402b19b73006e7 (MD5) Previous issue date: 2016-04-27 / Coordenação de Aperfeiçoamento de Pessoal de Nível Superior (CAPES) / Os Sistemas de Detecção de Intrusão baseados em rede (NIDS) são tradicionalmente divididos em dois tipos de acordo com os métodos de detecção que empregam, a saber: (i) detecção por abuso e (ii) detecção por anomalia. Aqueles que funcionam a partir da detecção de anomalias têm como principal vantagem a capacidade de detectar novos ataques, no entanto, é possível elencar algumas dificuldades com o uso desta metodologia. Na detecção por anomalia, a análise das anomalias detectadas pode se tornar dispendiosa, uma vez que estas geralmente não apresentam informações claras sobre os eventos maliciosos que representam; ainda, NIDSs que se utilizam desta metodologia sofrem com a detecção de altas taxas de falsos positivos. Neste contexto, este trabalho apresenta um modelo para a classificação automatizada das anomalias detectadas por um NIDS. O principal objetivo é a classificação das anomalias detectadas em classes conhecidas de ataques. Com essa classificação pretende-se, além da clara identificação das anomalias, a identificação dos falsos positivos detectados erroneamente pelos NIDSs. Portanto, ao abordar os principais problemas envolvendo a detecção por anomalias, espera-se equipar os analistas de segurança com melhores recursos para suas análises. / Network Intrusion Detection Systems (NIDS) are traditionally divided into two types according to the detection methods they employ, namely (i) misuse detection and (ii) anomaly detection. The main advantage in anomaly detection is its ability to detect new attacks. However, this methodology has some downsides. In anomaly detection, the analysis of the detected anomalies is expensive, since they often have no clear information about the malicious events they represent; also, it suffers with high amounts of false positives detected. In this context, this work presents a model for automated classification of anomalies detected by an anomaly based NIDS. Our main goal is the classification of the detected anomalies in well-known classes of attacks. By these means, we intend the clear identification of anomalies as well as the identification of false positives erroneously detected by NIDSs. Therefore, by addressing the key issues surrounding anomaly based detection, our main goal is to equip security analysts with best resources for their analyses.

Classificação de anomalias

Métodos de agrupamento

Redução de falsos positivos

Anomalies classification

Clustering methods

Network intrusion detection systems

False positives reduction

Detecção adaptativa de anomalias em redes de computadores utilizando técnicas não supervisionadas /

Galhardi, Vinícius Vassoler.

January 2017

Orientador: Adriano Mauro Cansian / Banca: Cesar Augusto Cavalheiro Marcondes / Banca: Leandro Alves Neves / Resumo: Ataques às redes de computadores têm sido cada vez mais constantes e possuem grande capacidade destrutiva. Os sistemas de detecção de intrusão possuem um importante papel na detecção destas ameaças. Dentre estes sistemas, a detecção de anomalias tem sido uma área amplamente explorada devido à possibilidade de detectar ataques até então desconhecidos. Devido à complexidade para a geração de modelos que sejam capazes de descrever o comportamento padrão de um ambiente, técnicas de aprendizagem automática vêm sendo amplamente exploradas. Este trabalho aborda a detecção de ataques a redes de computadores utilizando uma combinação de técnicas de agrupamento. Desse modo, espera-se obter um sistema adaptativo, capaz de encontrar anomalias presentes na rede sem a necessidade de uma etapa de treinamento com dados rotulados. Dado que a taxa de falsos negativos é um dos maiores problemas encontrados na utilização de algoritmos não supervisionados, pretende-se alcançar uma melhora neste quesito através do uso combinado de diferentes técnicas / Abstract: Attacks on computer networks have been constantly increased and have great destructive capacity. Intrusion detection systems have an important role in the detection of these threats. Among these systems, anomaly detection has been widely explored due to the possibility of detecting unknown attacks. These systems are usually built using machine learning techniques due to the complexity of generating models capable of describing the normal behavior of an environment. We aim to addresses the detection of anomalies on computer networks using a combination of clustering techniques. Thus, we expect to achieve an adaptive system, able to find anomalies present in the network without the need of a training step with labeled data. Given that false positive rate is one of the major problems faced when using unsupervised algorithms, we intend to achieve an improvement in this issue with the combined use of different techniques / Mestre

Ciência da computação.

Aprendizado do computador.

Fluxo de dados (Computadores)

Computer science

Classificação de conteúdo malicioso baseado em floresta de caminhos ótimos /

Fernandes, Dheny.

January 2016

Orientador: João Paulo Papa / Coorientador: Kelton Augusto Pontara da Costa / Banca: Aparecido Nilceu Marana / Banca: Jurandy Gomes Almeida Jr. / Resumo: O advento da Internet trouxe amplos benefícios nas áreas de comunicação, entretenimento, compras, relações sociais, entre outras. Entretanto, várias ameaças começaram a surgir nesse cenário, levando pesquisadores a criar ferramentas para lidar com elas. Spam, malwares, conteúdos maliciosos, pishing, fraudes e falsas URLs são exemplos de ameaças. Em contrapartida, sistemas antivírus, firewalls e sistemas de detecção e prevenção de intrusão são exemplos de ferramentas de combate às tais ameaças. Principalmente a partir de 2010, encabeçado pelo malware Stuxnet, as ameaças tornaram-se muito mais complexas e persistentes, fazendo com que as ferramentas até então utilizadas se tornassem obsoletas. O motivo é que tais ferramentas, baseadas em assinaturas e anomalias, não conseguem acompanhar tanto a velocidade de desenvolvimento das ameaças quanto sua complexidade. Desde então, pesquisadores têm voltado suas atenções a métodos mais eficazes para se combater ciberameaças. Nesse contexto, algoritmos de aprendizagem de máquina estão sendo explorados na busca por soluções que analisem em tempo real ameaças provenientes da internet. Assim sendo, este trabalho tem como objetivo analisar o desempenho dos classificadores baseados em Floresta de Caminhos Ótimos, do inglês Optimum-path Forest (OPF), comparando-os com os demais classificadores do estado-da-arte. Para tanto, serão analisados dois métodos de extração de características: um baseado em tokens e o outro baseado em Ngrams, sendo N igual a 3. De maneira geral, o OPF mais se destacou no não bloqueio de mensagens legítimas e no tempo de treinamento. Em algumas bases a quantidade de spam corretamente classificada também foi alta. A versão do OPF que utiliza grafo completo foi melhor, apesar de que em alguns casos a versão com grafo knn se sobressaiu. Devido às exigências atuais em questões de segurança, o OPF, pelo seu rápido tempo de treinamento,... / Abstract: The advent of Internet has brought widespread benefits in the areas of communication, entertainment, shopping, social relations, among others. However, several threats began to emerge in this scenario, leading researchers to create tools to deal with them. Spam, malware, malicious content, phishing, fraud and false URLs are some examples of these threats. In contrast, anti-virus systems, firewalls and intrusion detection and prevention systems are examples of tools to combat such threats. Especially since 2010, headed by the Stuxnet malware, threats have become more complex and persistent, making the tools previously used became obsolete. The reason is that such tools based on signatures and anomalies can not follow both the speed of development of the threats and their complexity. Since then, researchers have turned their attention to more effective methods to combat cyber threats. In this context, machine learning algorithms are being exploited in the search for solutions to analyze real-time threats from the internet. Therefore, this study aims to analyze the performance of classifiers based on Optimum-path Forest, OPF, comparing them with the other state-of-the-art classifiers. To do so, two features extraction methods will be analyzed: one based on tokens and other based on Ngrams, considering N equal 3. Overall, OPF stood out in not blocking legitimate messages and training time. In some bases the amount of spam classified correctly was high as well. The version that uses complete graph was better, although in some cases the version that makes use of knn graph outperformed it. Due to the current demands on security issues, OPF, considering its fast training time, can be improved in its effectiveness aiming at a real application. In relation to feature extraction methods, 3gram was better, improving OPF's results / Mestre

Ciência da computação - Matemática.

Floresta de caminhos ótimos.

Aprendizado do computador.

Spam (Mensagens eletrônicas)

Computer science