Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática
Autor(a) principal: | |
---|---|
Data de Publicação: | 2021 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10400.6/11851 |
Resumo: | A virtualização dos recursos computacionais proporcionadas pelos contentores tem ganho cada vez mais atenção e tem sido amplamente utilizada na computação em nuvem. Essa nova demanda por tecnologia de contentores vem crescendo e o uso de Docker e Kubernetes é considerável. De acordo com pesquisas recentes de tecnologia, os contentores agora são comuns. No entanto, atualmente, um dos maiores desafios surge do fato de que vários contentores, com proprietários diferentes, podem coabitar no mesmo host. Em ambientes multitenant baseados em contentor, as questões de segurança são uma grande preocupação. A segurança nestes ambientes é um elemento essencial para proteção dos recursos computacionais, sistemas e dados. Muitas atividades de investigação nesta área visam aprimorar os mecanismos de sistema de deteção de intrusões. O método de deteção de intrusões por anomalias é um meio de monitorização do comportamento do sistema que define o que é normal e procura por atividades que se desviem do comportamento normal préestabelecido, denominadas de anomalias. Este trabalho de investigação apresenta uma avaliação de desempenho de algoritmos de aprendizagem automática na deteção de intrusões em ambiente multitenant em contentores. Na campanha experimental desta investigação foram adotadas três configurações diferentes para os classificadores: A) classificação das chamadas de sistema usando Label Encoder e One Hot Encoder, B) classificação das chamadas de sistema utilizando o algoritmo janela deslizante com Label Encoder e One Hot Encoder e C) classificação das chamadas de sistema com as técnicas janela deslizante e Bag of System Calls (BoSC). Os melhores resultados de classificação na deteção de intrusões neste ambiente foram obtidos com os algoritmos Decision Tree e Random Forest, usando uma janela deslizante de tamanho 30 e o algoritmos BoSC, atingindo ambos uma FMeasure de 99,8%. Contudo, o algoritmo Decision Tree tem um menor tempo de execução e consome menos CPU e memória do que o algoritmo Random Forest. |
id |
RCAP_af9164192fb69f80bea2e3dfdcbe4194 |
---|---|
oai_identifier_str |
oai:ubibliorum.ubi.pt:10400.6/11851 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem AutomáticaAlgoritmos de Aprendizagem AutomáticaChamadas de SistemaContentoresSistema de Deteção de IntrusãoDomínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e InformáticaA virtualização dos recursos computacionais proporcionadas pelos contentores tem ganho cada vez mais atenção e tem sido amplamente utilizada na computação em nuvem. Essa nova demanda por tecnologia de contentores vem crescendo e o uso de Docker e Kubernetes é considerável. De acordo com pesquisas recentes de tecnologia, os contentores agora são comuns. No entanto, atualmente, um dos maiores desafios surge do fato de que vários contentores, com proprietários diferentes, podem coabitar no mesmo host. Em ambientes multitenant baseados em contentor, as questões de segurança são uma grande preocupação. A segurança nestes ambientes é um elemento essencial para proteção dos recursos computacionais, sistemas e dados. Muitas atividades de investigação nesta área visam aprimorar os mecanismos de sistema de deteção de intrusões. O método de deteção de intrusões por anomalias é um meio de monitorização do comportamento do sistema que define o que é normal e procura por atividades que se desviem do comportamento normal préestabelecido, denominadas de anomalias. Este trabalho de investigação apresenta uma avaliação de desempenho de algoritmos de aprendizagem automática na deteção de intrusões em ambiente multitenant em contentores. Na campanha experimental desta investigação foram adotadas três configurações diferentes para os classificadores: A) classificação das chamadas de sistema usando Label Encoder e One Hot Encoder, B) classificação das chamadas de sistema utilizando o algoritmo janela deslizante com Label Encoder e One Hot Encoder e C) classificação das chamadas de sistema com as técnicas janela deslizante e Bag of System Calls (BoSC). Os melhores resultados de classificação na deteção de intrusões neste ambiente foram obtidos com os algoritmos Decision Tree e Random Forest, usando uma janela deslizante de tamanho 30 e o algoritmos BoSC, atingindo ambos uma FMeasure de 99,8%. Contudo, o algoritmo Decision Tree tem um menor tempo de execução e consome menos CPU e memória do que o algoritmo Random Forest.The virtualization of computing resources provided by containers has gained increasing attention and has been widely used in cloud computing. This new demand for container technology is growing and the use of Docker and Kubernetes is considerable. According to recent technology research, containers are now common. However, currently, one of the biggest challenges arises from the fact that multiple containers, with different owners, can cohabit on the same host. In containerbased multitenant environments, security issues are a major concern. Security in these environments is an essential element for protecting computing resources, systems and data. Many research activities in this area aim to improve the intrusion detection system mechanisms. The anomaly intrusion detection method is a means of monitoring the behavior of the system that defines what is normal and searches for activities that deviate from the preestablished normal behavior, called anomalies. This investigation proposed an evaluation of the performance of machine learning algorithms in hostbased intrusion detection in a multitenant container environment. In the experimental campaign of this investigation, three different configurations were adopted for the classifiers: A) classification of system calls using Label Encoder and One Hot Encoder, B) classification of system calls using the sliding window algorithm with Label Encoder and One Hot Encoder and C ) classification of system calls with the sliding window and Bag of System Calls (BoSC) techniques. The best classification results in intrusion detection in this environment were obtained with the Decision Tree and Random Forest algorithms, using a sliding window of size 30 and the BoSC algorithm, both reaching an FMeasure of 99.8%. However, the Decision Tree algorithm has a shorter execution time and consumes less CPU and memory than the Random Forest algorithm.Dissertação elaborada no Instituto de Telecomunicações Delegação da Covilhã e no Departamento de Informática da Universidade da Beira Interior e submetida à Universidade da Beira Interior para discussão em provas públicas. Este trabalho foi financiado pela FCT/MCTES através de fundos nacionais e quando aplicável cofinanciado por fundos comunitários no âmbito do projeto UIDB/50008/2020, foi financiado pela FCT/COMPETE/FEDER através do projeto SECURIoTESIGN com número de referência POCI010145FEDER030657 e foi suportado pela operação Centro010145FEDER000019 C4 Centro de Competências em Cloud Computing, cofinanciada pelo Fundo Europeu de Desenvolvimento Regional (FEDER) através do Programa Operacional Regional do Centro (Centro 2020), no âmbito do Sistema de Apoio à Investigação Científica e Tecnológica Programas Integrados de ICDT.Freire, Mário MarquesuBibliorumCavalcanti, Marcos Aurelio Oliveira2022-01-17T16:46:13Z2021-07-162021-06-112021-07-16T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10400.6/11851TID:202858405porinfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-12-15T09:54:36Zoai:ubibliorum.ubi.pt:10400.6/11851Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-20T00:51:32.756536Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
title |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
spellingShingle |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática Cavalcanti, Marcos Aurelio Oliveira Algoritmos de Aprendizagem Automática Chamadas de Sistema Contentores Sistema de Deteção de Intrusão Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
title_short |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
title_full |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
title_fullStr |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
title_full_unstemmed |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
title_sort |
Avaliação de Desempenho de Sistemas de Detecção de Intrusões Baseados em Anomalias a Nível de Contentor para Aplicações MultiTenant Usando Algoritmos de Aprendizagem Automática |
author |
Cavalcanti, Marcos Aurelio Oliveira |
author_facet |
Cavalcanti, Marcos Aurelio Oliveira |
author_role |
author |
dc.contributor.none.fl_str_mv |
Freire, Mário Marques uBibliorum |
dc.contributor.author.fl_str_mv |
Cavalcanti, Marcos Aurelio Oliveira |
dc.subject.por.fl_str_mv |
Algoritmos de Aprendizagem Automática Chamadas de Sistema Contentores Sistema de Deteção de Intrusão Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
topic |
Algoritmos de Aprendizagem Automática Chamadas de Sistema Contentores Sistema de Deteção de Intrusão Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
description |
A virtualização dos recursos computacionais proporcionadas pelos contentores tem ganho cada vez mais atenção e tem sido amplamente utilizada na computação em nuvem. Essa nova demanda por tecnologia de contentores vem crescendo e o uso de Docker e Kubernetes é considerável. De acordo com pesquisas recentes de tecnologia, os contentores agora são comuns. No entanto, atualmente, um dos maiores desafios surge do fato de que vários contentores, com proprietários diferentes, podem coabitar no mesmo host. Em ambientes multitenant baseados em contentor, as questões de segurança são uma grande preocupação. A segurança nestes ambientes é um elemento essencial para proteção dos recursos computacionais, sistemas e dados. Muitas atividades de investigação nesta área visam aprimorar os mecanismos de sistema de deteção de intrusões. O método de deteção de intrusões por anomalias é um meio de monitorização do comportamento do sistema que define o que é normal e procura por atividades que se desviem do comportamento normal préestabelecido, denominadas de anomalias. Este trabalho de investigação apresenta uma avaliação de desempenho de algoritmos de aprendizagem automática na deteção de intrusões em ambiente multitenant em contentores. Na campanha experimental desta investigação foram adotadas três configurações diferentes para os classificadores: A) classificação das chamadas de sistema usando Label Encoder e One Hot Encoder, B) classificação das chamadas de sistema utilizando o algoritmo janela deslizante com Label Encoder e One Hot Encoder e C) classificação das chamadas de sistema com as técnicas janela deslizante e Bag of System Calls (BoSC). Os melhores resultados de classificação na deteção de intrusões neste ambiente foram obtidos com os algoritmos Decision Tree e Random Forest, usando uma janela deslizante de tamanho 30 e o algoritmos BoSC, atingindo ambos uma FMeasure de 99,8%. Contudo, o algoritmo Decision Tree tem um menor tempo de execução e consome menos CPU e memória do que o algoritmo Random Forest. |
publishDate |
2021 |
dc.date.none.fl_str_mv |
2021-07-16 2021-06-11 2021-07-16T00:00:00Z 2022-01-17T16:46:13Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10400.6/11851 TID:202858405 |
url |
http://hdl.handle.net/10400.6/11851 |
identifier_str_mv |
TID:202858405 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799136404578500608 |