Please use this identifier to cite or link to this item: http://hdl.handle.net/10773/38424
Title: Deteção de acessos anómalos a bases de dados ao nível da rede
Other Titles: Detection of anomalous database accesses at network level
Author: Jesus, João Pedro Batista de
Advisor: Ferreira, Paulo Jorge Salvador Serra
Keywords: Ameaças internas
Monitorização de rede
Monitorização de serviços
Deteção de anomalias
Classificação mono-classe
Aprendizagem automática
Defense Date: 20-Dec-2022
Abstract: As ameaças internas são no presente, uma das principais preocupações das organizações. Essas preocupações têm origem nas pessoas que possuem políticas de acesso legítimo e autorizado a informações confidenciais dentro de uma organização. Estas políticas de acesso concedidas aos utilizadores internos, embora necessárias, para que realizem as suas tarefas profissionais, se mal-intencionados expõem a organização a uma ampla gama de ataques internos que podem causar enormes transtornos financeiros. Para ultrapassar estes problemas, os administradores são forçados a utilizar estratégias de monitorização para manter os seus serviços (por exemplo, Base de Dados) seguros, no entanto esses serviços, por vezes são operados por terceiros e deslocalizados para um datacenter externo, tendo estes que confiar nos dados capturados ao nível da rede. Por essa mesma razão esta dissertação propôs-se a detetar esses comportamentos anómalos e a utilização dessas credenciais para efetuar esses ataques, propondo mecanismos para a deteção de anomalias no acesso a serviços. Os mecanismos mencionados basearam-se na análise e extração de caraterísticas estatísticas e de frequência temporal que caraterizaram os períodos de silêncio/atividade na rede. Além disso, o objetivo foi apenas modelar a rede na sua normalidade. Outra questão dos atuais sistemas de deteção de anomalias em redes é que a maioria depende de técnicas de aprendizagem supervisionadas, formando assim um classificador para formas específicas de vetores de ataque, ou seja, baseado na na sua assinatura. Com isto em mente, foi proposta uma série de procedimentos de engenharia de caraterísticas para otimizar o desempenho de classificação dos modelos OCC. Depois da extração das propriedades que caraterizam estas métricas, é realizada uma exploração dos dados e um estudo das mesmas, sendo depois usadas para treinar modelos OCC. Os modelos são treinados com dados retirados de uma série de interações entre um computador e uma Base de Dados. Os resultados mostram que foi possível atingir taxas de precisão de deteção na ordem dos 90%. Para finalizar, este trabalho propõe ainda algumas ideias de trabalho futuro, nomeadamente alterações ao nível do pré-processamento, ideias de novos testes e a aplicação de uma nova camada de classificação para diminuir a percentagem de falsos positivos.
Insider threats are currently one of the main concerns of organizations. These concerns sit on people who have legitimate and authorized access policies to sensitive information within an organization. These access policies granted to internal users are necessary to carry out their professional tasks, but if malicious, they expose the organization to a wide range of internal attacks that can cause tremendous financial damage. To overcome these problems, administrators are forced to use monitoring strategies to keep their services (e.g., Databases) secure. However, these services are sometimes operated by third parties and moved to an external data center, so they rely on data captured at the network level. For this reason, this dissertation aims to detect these abnormal behaviors and the use of these credentials to carry out these attacks by proposing mechanisms to detect anomalies in access to services. The mentioned mechanisms were based on the analysis and extraction of statistical characteristics and temporal frequencies that characterized the periods of silence/activity in the network. Moreover, the goal was to model the network only in its normality. Another problem of current network anomaly detection systems is that most of them are based on supervised learning techniques and thus form a classifier for certain forms of attack vectors, i.e., based on their signature. With this in mind, a number of feature engineering techniques have been proposed to optimize the classification performance of OCC models. After extracting the properties that characterize these metrics, an exploration of the data and a study of the data are performed, which are then used to train OCC models. The models are trained with data obtained from a series of interactions between a computer and a database. The results show that it was possible to achieve measurement accuracy rates on the order of 90%. Finally, this paper also proposes some ideas for future work, namely changes in the level of pre-processing, ideas for new tests, and the application of a new classification layer to reduce the percentage of false positives.
URI: http://hdl.handle.net/10773/38424
Appears in Collections:UA - Dissertações de mestrado
DETI - Dissertações de mestrado

Files in This Item:
File Description SizeFormat 
Documento_João_Jesus.pdf1.93 MBAdobe PDFView/Open


FacebookTwitterLinkedIn
Formato BibTex MendeleyEndnote Degois 

Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.