Vis enkel innførsel

dc.contributor.advisorPetrovic, Slobodan
dc.contributor.authorKristensen, Kais
dc.date.accessioned2019-09-19T14:00:43Z
dc.date.available2019-09-19T14:00:43Z
dc.date.issued2019
dc.identifier.urihttp://hdl.handle.net/11250/2617738
dc.description.abstractDeteksjon av cyberangrep ved hjelp av nettverkssensorer er svært utbredt, i den hensikt å monitorere og beskytte datanetteverk. Løsningene som benytter eksakte signaturer for å detektere ondsinnet aktivitet krever at angrepet tidligere har blitt oppdaget og analysert. Hvis angrepene ikke tidligere er sett, finnes ingen signaturer som kan detektere det. Trusselaktørene tar sikte på å modifisere sine verktøy og teknikker for fortsatt suksess i deres angrepskampanjer. Ved å gjøre små justeringer på angrepspakken kan angrepene omgå sikkerhetsmekanismene, ettersom angrepssignaturen har blitt endret. Som et resultat av dette må deteksjonsmekanismene til stadighet oppdateres hver gang nye angrepsvariasjoner blir kjent. Dette er utfordrende ettersom den stadig økende mengden med signaturmønstre tynger ned mekanismene som søker etter angrep. I tillegg gjør den stadig økende datahastigheten at mengden data som må søkes gjennom til en hver tid vokser. Dette prosjektet implementerer en tilnærmet søkemekanisme som reduserer den nødvendige mengden med signaturer, og får mulighet til å detektere nye angrepsvariasjoner. Dette er gjort ved å implementere tilnærmede signaturer, et steg vekk fra den tradisjonelle eksakte søkemetoden. Disse fordelene kommer dog med et kompromiss, nemlig at ytelsen i enkelte tilfeller går ned. Derfor må en være varsom når mekanismen implementeres i et produksjonsmiljø.
dc.description.abstractIntrusion detection by the use of network sensors is widely deployed in order to monitor and defend network environments. Solutions which utilize exact signatures of malicious behaviour for detection, require that the attack has been observed and analyzed beforehand. If the attack has not previously been observed, no signature exist that could detect it. The threat actors aim to change their tools and techniques in order to still have successful attack campaigns. By altering certain elements of an attack package, the attacks may effectively bypass the defenders' security systems since the attack signature has changed. Continually the detection systems must then be updated whenever new attack variations are seen. This is troublesome as an ever growing number of signature patterns creates heavy workload on the matching mechanism. In addition, the ever increasing network speeds means a growing amount of data has to be searched through by the detection systems. This project implements an approximate pattern matching mechanism which reduces the required number of signatures, and gains the ability to detect new attack variations. This is done by implementing approximate signatures, which is a step away from the exact matching mechanisms. The benefits come with a performance tradeoff, and care must be taken before implementing it in production scenarios.
dc.languageeng
dc.publisherNTNU
dc.titleDetecting modified network attacks through approximate matching
dc.typeMaster thesis


Tilhørende fil(er)

FilerStørrelseFormatVis

Denne innførselen finnes i følgende samling(er)

Vis enkel innførsel