Anomaly detection using network traffic characterization
Ağ trafiği karakteristiğini kullanarak anomali tespiti
- Tez No: 251058
- Danışmanlar: YRD. DOÇ. DR. TUĞKAN TUĞLULAR
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Matematik, Computer Engineering and Computer Science and Control, Mathematics
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2009
- Dil: İngilizce
- Üniversite: İzmir Yüksek Teknoloji Enstitüsü
- Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Yazılımı Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 89
Özet
Trafik analizindeki en temel yaklaşımlardan birisi de şüpheli trafiğin tespit edilmesidir. Network trafiği ile ilgili anomali tespitine olan ihtiyaçtan dolayı farklı yaklaşımlar ve bunların yazılım çözümleri geliştirilmiştir. Network trafiğinin incelenmesinde olay tabanlı veya imza tabanlı bir yaklaşım sergilenebilir. İmza tabanlı yaklaşımlar önceden yaşanmış anormalliklerden çıkarılan imzalara dayanırken olay tabanlı yaklaşımlar daha esnek bir şekilde anormalliklerin ifade edilebilmesini sağlar. Her iki yaklaşımda da anormal trafiğin ifade edilebilmesi gerekmektedir. Anomali ile ilgili genel sorun ise, her protokol ve durum için genel bir ifade biçimin olmayışıdır. Bu tez çalışmasında, normal trafiğin tanımlanması amaçlanmıştır. Gözlemlenen trafikten normal olarak tanımlanan trafik çıkarılarak kalan trafiğin şüpheli olarak incelenmesi hedeflenmiştir. Bu hedefi gerçeklemek için IP oturumlarına ve istatistiksel metrik değerlerine bağlı ağ paket akışları kullanılmıştır. Ağ akışları ile ilgili gerçeklenebilir ve ağdaki akışların davranış özelliklerini ifade eden bir veri tabanı oluşturulmuştur. Akış özelliklerinden yola çıkarak trafik karakteristiği çıkarma yöntemi açıklanmıştır. Akış özellik değerleri kullanılarak trafik karakteristiğinin nasıl yapıldığı gösterilmiştir. Ayrıca, ele alınan trafik ile ilgili anormallik tespitinde kullanılabilmesi için de matematiksel bir model açıklanmıştır. Birincil Bileşen Analizi (Principle Component Analysis) isimli bu yöntem ile kaynak-hedef çiftlerini içeren akışlar için grafiksel olarak anomali tespit edilebildiği gösterilmiştir. Böylece, incelenen trafiğin karakteristiği çıkarılarak şüpheli trafik üzerinde nasıl anomali tespiti yapılacağı açıklanmıştır.
Özet (Çeviri)
Detecting suspicious traffic and anomaly sources are a general tendency about approaching the traffic analyzing. Since the necessity of detecting anomalies, different approaches are developed with their software candidates. Either event based or signature based anomaly detection mechanism can be applied to analyze network traffic. Signature based approaches require the detected signatures of the past anomalies though event based approaches propose a more flexible approach that is defining application level abnormal anomalies is possible. Both approach focus on the implementing and defining abnormal traffic. The problem about anomaly is that there is not a common definition of anomaly for all protocols or malicious attacks. In this thesis it is aimed to define the non-malicious traffic and extract it, so that the rest is marked as suspicious traffic for further traffic. To achieve this approach, a method and its software application to identify IP sessions, based on statistical metrics of the packet flows are presented. An adaptive network flow knowledge-base is derived. The knowledge-base is constructed using calculated flows attributes. A method to define known traffic is displayed by using the derived flow attributes. By using the attributes, analyzed flow is categorized as a known application level protocol. It is also explained a mathematical model to analyze the undefined traffic to display network traffic anomalies. The mathematical model is based on principle component analysis which is applied on the origin-destination pair flows. By using metric based traffic characterization and principle component analysis it is observed that network traffic can be analyzed and some anomalies can be detected.
Benzer Tezler
- Payload-based network intrusion detection using LSTM autoencoders
LSTM özkodlayıcılar ile ağ yükü tabanlı ihlal tespiti
SELİN COŞAN
Yüksek Lisans
İngilizce
2020
Elektrik ve Elektronik Mühendisliğiİhsan Doğramacı Bilkent ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF. DR. SÜLEYMAN SERDAR KOZAT
- Ağ davranış modeli ile kurum içi saldırıların belirlenmesi
Detection of insider attacks using network behavour model
AYŞE GÜL
Yüksek Lisans
Türkçe
2018
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiBilişim Uygulamaları Ana Bilim Dalı
PROF. DR. ERTUĞRUL KARAÇUHA
PROF. DR. EŞREF ADALI
- Yazılım tanımlı ağlar ve nesnelerin interneti temelli akıllı şebekelerde anomali tespiti
Anomaly detection in smart grids based on software-defined networks and the internet of things
HİLAL YILDIZ
Yüksek Lisans
Türkçe
2023
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ MUSA BALTA
- Gezgin etmenler ve doğadan esinlenen sezgiseller kullanarak dağıtık bilgisayar güvenliğinin sağlanması
Distributed computer security using mobile agents and nature inspired algorithms
UĞUR AKYAZI
Doktora
Türkçe
2011
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
YRD. DOÇ. DR. A. ŞİMA ETANER UYAR
- Ağ saldırılarının sınıflandırılmasında karar ağaçlarına dayalı arttırma (boosting) algoritmalarının karşılaştırılması
Comparison of the decision tree based boosting algorithms in classification of network attacks
KORAY ÇOŞKUN
Yüksek Lisans
Türkçe
2020
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolMuğla Sıtkı Koçman ÜniversitesiBilişim Sistemleri Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ GÜRCAN ÇETİN