Deteção de acessos anómalos a bases de dados ao nível da rede
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2022 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| Texto Completo: | http://hdl.handle.net/10773/38424 |
Resumo: | As ameaças internas são no presente, uma das principais preocupações das organizações. Essas preocupações têm origem nas pessoas que possuem políticas de acesso legítimo e autorizado a informações confidenciais dentro de uma organização. Estas políticas de acesso concedidas aos utilizadores internos, embora necessárias, para que realizem as suas tarefas profissionais, se mal-intencionados expõem a organização a uma ampla gama de ataques internos que podem causar enormes transtornos financeiros. Para ultrapassar estes problemas, os administradores são forçados a utilizar estratégias de monitorização para manter os seus serviços (por exemplo, Base de Dados) seguros, no entanto esses serviços, por vezes são operados por terceiros e deslocalizados para um datacenter externo, tendo estes que confiar nos dados capturados ao nível da rede. Por essa mesma razão esta dissertação propôs-se a detetar esses comportamentos anómalos e a utilização dessas credenciais para efetuar esses ataques, propondo mecanismos para a deteção de anomalias no acesso a serviços. Os mecanismos mencionados basearam-se na análise e extração de caraterísticas estatísticas e de frequência temporal que caraterizaram os períodos de silêncio/atividade na rede. Além disso, o objetivo foi apenas modelar a rede na sua normalidade. Outra questão dos atuais sistemas de deteção de anomalias em redes é que a maioria depende de técnicas de aprendizagem supervisionadas, formando assim um classificador para formas específicas de vetores de ataque, ou seja, baseado na na sua assinatura. Com isto em mente, foi proposta uma série de procedimentos de engenharia de caraterísticas para otimizar o desempenho de classificação dos modelos OCC. Depois da extração das propriedades que caraterizam estas métricas, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos OCC. Os modelos são treinados com dados retirados de uma série de interações entre um computador e uma Base de Dados. Os resultados mostram que foi possível atingir taxas de precisão de deteção na ordem dos 90%. Para finalizar, este trabalho propõe ainda algumas ideias de trabalho futuro, nomeadamente alterações ao nível do pré-processamento, ideias de novos testes e a aplicação de uma nova camada de classificação para diminuir a percentagem de falsos positivos. |
| id |
RCAP_4285cd285087edbe5d46aaa4784030bb |
|---|---|
| oai_identifier_str |
oai:ria.ua.pt:10773/38424 |
| network_acronym_str |
RCAP |
| network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository_id_str |
7160 |
| spelling |
Deteção de acessos anómalos a bases de dados ao nível da redeAmeaças internasMonitorização de redeMonitorização de serviçosDeteção de anomaliasClassificação mono-classeAprendizagem automáticaAs ameaças internas são no presente, uma das principais preocupações das organizações. Essas preocupações têm origem nas pessoas que possuem políticas de acesso legítimo e autorizado a informações confidenciais dentro de uma organização. Estas políticas de acesso concedidas aos utilizadores internos, embora necessárias, para que realizem as suas tarefas profissionais, se mal-intencionados expõem a organização a uma ampla gama de ataques internos que podem causar enormes transtornos financeiros. Para ultrapassar estes problemas, os administradores são forçados a utilizar estratégias de monitorização para manter os seus serviços (por exemplo, Base de Dados) seguros, no entanto esses serviços, por vezes são operados por terceiros e deslocalizados para um datacenter externo, tendo estes que confiar nos dados capturados ao nível da rede. Por essa mesma razão esta dissertação propôs-se a detetar esses comportamentos anómalos e a utilização dessas credenciais para efetuar esses ataques, propondo mecanismos para a deteção de anomalias no acesso a serviços. Os mecanismos mencionados basearam-se na análise e extração de caraterísticas estatísticas e de frequência temporal que caraterizaram os períodos de silêncio/atividade na rede. Além disso, o objetivo foi apenas modelar a rede na sua normalidade. Outra questão dos atuais sistemas de deteção de anomalias em redes é que a maioria depende de técnicas de aprendizagem supervisionadas, formando assim um classificador para formas específicas de vetores de ataque, ou seja, baseado na na sua assinatura. Com isto em mente, foi proposta uma série de procedimentos de engenharia de caraterísticas para otimizar o desempenho de classificação dos modelos OCC. Depois da extração das propriedades que caraterizam estas métricas, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos OCC. Os modelos são treinados com dados retirados de uma série de interações entre um computador e uma Base de Dados. Os resultados mostram que foi possível atingir taxas de precisão de deteção na ordem dos 90%. Para finalizar, este trabalho propõe ainda algumas ideias de trabalho futuro, nomeadamente alterações ao nível do pré-processamento, ideias de novos testes e a aplicação de uma nova camada de classificação para diminuir a percentagem de falsos positivos.Insider threats are currently one of the main concerns of organizations. These concerns sit on people who have legitimate and authorized access policies to sensitive information within an organization. These access policies granted to internal users are necessary to carry out their professional tasks, but if malicious, they expose the organization to a wide range of internal attacks that can cause tremendous financial damage. To overcome these problems, administrators are forced to use monitoring strategies to keep their services (e.g., Databases) secure. However, these services are sometimes operated by third parties and moved to an external data center, so they rely on data captured at the network level. For this reason, this dissertation aims to detect these abnormal behaviors and the use of these credentials to carry out these attacks by proposing mechanisms to detect anomalies in access to services. The mentioned mechanisms were based on the analysis and extraction of statistical characteristics and temporal frequencies that characterized the periods of silence/activity in the network. Moreover, the goal was to model the network only in its normality. Another problem of current network anomaly detection systems is that most of them are based on supervised learning techniques and thus form a classifier for certain forms of attack vectors, i.e., based on their signature. With this in mind, a number of feature engineering techniques have been proposed to optimize the classification performance of OCC models. After extracting the properties that characterize these metrics, an exploration of the data and a study of the data are performed, which are then used to train OCC models. The models are trained with data obtained from a series of interactions between a computer and a database. The results show that it was possible to achieve measurement accuracy rates on the order of 90%. Finally, this paper also proposes some ideas for future work, namely changes in the level of pre-processing, ideas for new tests, and the application of a new classification layer to reduce the percentage of false positives.2023-07-07T13:58:40Z2022-12-20T00:00:00Z2022-12-20info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10773/38424porJesus, João Pedro Batista deinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2024-02-22T12:14:17Zoai:ria.ua.pt:10773/38424Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-20T03:08:35.862863Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
| dc.title.none.fl_str_mv |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| title |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| spellingShingle |
Deteção de acessos anómalos a bases de dados ao nível da rede Jesus, João Pedro Batista de Ameaças internas Monitorização de rede Monitorização de serviços Deteção de anomalias Classificação mono-classe Aprendizagem automática |
| title_short |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| title_full |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| title_fullStr |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| title_full_unstemmed |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| title_sort |
Deteção de acessos anómalos a bases de dados ao nível da rede |
| author |
Jesus, João Pedro Batista de |
| author_facet |
Jesus, João Pedro Batista de |
| author_role |
author |
| dc.contributor.author.fl_str_mv |
Jesus, João Pedro Batista de |
| dc.subject.por.fl_str_mv |
Ameaças internas Monitorização de rede Monitorização de serviços Deteção de anomalias Classificação mono-classe Aprendizagem automática |
| topic |
Ameaças internas Monitorização de rede Monitorização de serviços Deteção de anomalias Classificação mono-classe Aprendizagem automática |
| description |
As ameaças internas são no presente, uma das principais preocupações das organizações. Essas preocupações têm origem nas pessoas que possuem políticas de acesso legítimo e autorizado a informações confidenciais dentro de uma organização. Estas políticas de acesso concedidas aos utilizadores internos, embora necessárias, para que realizem as suas tarefas profissionais, se mal-intencionados expõem a organização a uma ampla gama de ataques internos que podem causar enormes transtornos financeiros. Para ultrapassar estes problemas, os administradores são forçados a utilizar estratégias de monitorização para manter os seus serviços (por exemplo, Base de Dados) seguros, no entanto esses serviços, por vezes são operados por terceiros e deslocalizados para um datacenter externo, tendo estes que confiar nos dados capturados ao nível da rede. Por essa mesma razão esta dissertação propôs-se a detetar esses comportamentos anómalos e a utilização dessas credenciais para efetuar esses ataques, propondo mecanismos para a deteção de anomalias no acesso a serviços. Os mecanismos mencionados basearam-se na análise e extração de caraterísticas estatísticas e de frequência temporal que caraterizaram os períodos de silêncio/atividade na rede. Além disso, o objetivo foi apenas modelar a rede na sua normalidade. Outra questão dos atuais sistemas de deteção de anomalias em redes é que a maioria depende de técnicas de aprendizagem supervisionadas, formando assim um classificador para formas específicas de vetores de ataque, ou seja, baseado na na sua assinatura. Com isto em mente, foi proposta uma série de procedimentos de engenharia de caraterísticas para otimizar o desempenho de classificação dos modelos OCC. Depois da extração das propriedades que caraterizam estas métricas, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos OCC. Os modelos são treinados com dados retirados de uma série de interações entre um computador e uma Base de Dados. Os resultados mostram que foi possível atingir taxas de precisão de deteção na ordem dos 90%. Para finalizar, este trabalho propõe ainda algumas ideias de trabalho futuro, nomeadamente alterações ao nível do pré-processamento, ideias de novos testes e a aplicação de uma nova camada de classificação para diminuir a percentagem de falsos positivos. |
| publishDate |
2022 |
| dc.date.none.fl_str_mv |
2022-12-20T00:00:00Z 2022-12-20 2023-07-07T13:58:40Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10773/38424 |
| url |
http://hdl.handle.net/10773/38424 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
| instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| instacron_str |
RCAAP |
| institution |
RCAAP |
| reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
| repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
| repository.mail.fl_str_mv |
|
| _version_ |
1799137738287480832 |