Analysis of malicious campaigns in multiple heterogeneous threat datasources

Michał Kruczkowski

Abstract

This doctoral dissertation concerns the problems of identification of malware (malicious software) campaigns on the Internet. This is an extremely important issue because it arises from a real need to ensure safety in rapidly growing computer networks. Proposed approach assumes the use of data mining and machine learning methods. It utilizes data about threat incidents t aken from multiple datasources related with v arious layers of ISO/OSI network communication model. The r esults of the doctoral dissertation confirm that the automated analysis and classification of data from heterogeneous datasources can be efficiently used to protect the Internet. The use of full info rmation about threats, including v arious network layers, leads to achieve better results compared with frequently used single layer analysis. Data mining and machine learning methods can efficiently support the cybercrime protection systems. The system MalCAS (Malware Campaign Analysis System) for malware campaigns identification that implements these methods fully corresponds the demands of contemporary networks. It can be applied as a useful and powerful tool to support the software environment ensuring net work cybersecurity
Rodzaj dyplomuPraca doktorska
Autor Michał Kruczkowski
Michał Kruczkowski
-
Tytuł w języku polskimAnaliza złośliwych kampanii na podstawie danych o atakach pozyskiwanych z heterogenicznych zródeł
Językpl polski
Instytucja dyplomująca (jeśli spoza PW)Instytucie Badań Systemowych (IBS PAN) [Polska Akademia Nauk (PAN)]
Dyscyplina naukiautomatyka i robotyka / dziedzina nauk technicznych / obszar nauk technicznych
Data obrony20-11-2015
Data zakończenia 20-11-2015
Promotor Ewa Niewiadomska-Szynkiewicz (WEiTI / IAiIS)
Ewa Niewiadomska-Szynkiewicz
- Instytut Automatyki i Informatyki Stosowanej
, Adam Andrzej Kozakiewicz (WEiTI / IAiIS)
Adam Andrzej Kozakiewicz
- Instytut Automatyki i Informatyki Stosowanej
Recenzenci zewnętrzni Marek Amanowicz
Marek Amanowicz
-

Joanna Kołodziej
Joanna Kołodziej
-
Słowa kluczowe w języku polskimx
Słowa kluczowe w języku angielskimx
Streszczenie w języku polskimBadania zrealizowane w ramach pracy doktorskiej koncentrowały sie na zastosowaniu metod i algorytmów odkrywania wiedzy oraz uczenia maszynowego do wykrywania kampanii złosliwego oprogramowania w sieci Internet. Jak wspomniano wczesniej, techniki te sa obecnie dosc intensywnie stosowane do analiz masowych danych, w tym wspierajacych systemy chroniace sieci przed cyberprzestepczoscia. Wiekszosc dostepnych obecnie systemów komputerowych do wykrywania zagrozen zajmuje sie identyfikacja ataków sieciowych, a nie wykrywaniem zwiazków miedzy zmasowanymi atakami, czyli identyfikacja kampanii. Ponadto, zazwyczaj w celu wykrycia cyberataków analizie poddawane sa dane pochodzace z jednego zródła oraz zwiazane z jedna, wybrana warstwa referencyjnego modelu komunikacyjnego ISO/OSI (Open Systems Interconnection). Tym bardziej osobno przetwarzane sa dane dotyczace punktów koncowych sieci (stanu komputerów, serwerów, itp.), a osobno dane dotyczace infrastruktury, czyli samej sieci. Nowym, prezentowanym w rozprawie podejsciem, w stosunku do proponowanych w literaturze, jest załozenie, ze decyzje o powiazaniach rozwazanych próbek złosliwego oprogramowania z kampaniami sa podejmowane na podstawie analizy danych pochodzacych z heterogenicznych zródeł oraz kilku warstw modelu OSI. Jako heterogeniczne zródła danych rozumie sie bazy danych budowane przez rózne instytucje i organizacje zajmujace sie analizowaniem zagrozen i ochrona sieci. Celem rozprawy było opracowanie autorskiej metody wykrywania kampanii złosliwego oprogramowania w sieci Internet oraz jej realizacja w postaci systemu oprogramowania, który mógłby stanowic jedno z narzedzi ochrony sieci. Wspomniana metoda zakłada zastosowanie kombinacji, wybranych na podstawie wstepnej analizy oraz badan eksperymentalnych, metod eksploracji danych i uczenia maszynowego oraz ich adaptacje do potrzeb rozwazanego problemu. Adaptacja polegała m.in. na uwzglednieniu w procesie analizy faktu, iz rozwazane dane pochodza z róznych zródeł oraz róznych warstw modelu OSI. Istotna cecha tak zbieranych danych jest ich niepełnosc i heterogenicznosc wynikajaca z róznej struktury oraz róznych czasów waznosci próbek danych, róznej liczby atrybutów i zróznicowanego poziomu zaufania do danych. Oczywiste jest, ze eksploracja i przetwarzanie takich danych rodzi wiele dodatkowych problemów i wymaga specjalnego podejscia. Z drugiej strony wykorzystanie w pełni zasobów informacji o zagrozeniach w sieci zwieksza skutecznosc walki z cyberprzestepczoscia.

Pobierz odnośnik do tego rekordu

Powrót