Loading...

High Volume Event Correlation for Long-term Attack Detection

Mahzoon, Niloofar | 2019

453 Viewed
  1. Type of Document: M.Sc. Thesis
  2. Language: Farsi
  3. Document No: 53641 (19)
  4. University: Sharif University of Technology
  5. Department: Computer Engineering
  6. Advisor(s): Amini, Morteza
  7. Abstract:
  8. The long-term Attacks are some special multi-level attacks which remain inside of systems for a long time to finally perform the damage. One of the most famous kinds of these attacks is Advanced Persistent Threats. These kinds of attack are low-level, distributed inside of the network and their goal is stealing information or corrupting a process in the organization. Banks are one of the most vulnerable organizations which have suffered from these attacks, so the main purpose of this research is detecting them and give warning to the security admin. The goal of financial APTs is stealing money and to achieve that, they have to create some transactions and send them to the core banking. We have developed a framework with three stages that starts with fraud detection and ends with detecting security violations. By detecting malicious and abnormal transactions, using fraud detection techniques, we could traceback operations into the systems of the internal network. An APT malware always uses some direct or indirect violations of policies, so by using event correlation techniques and tracing memory transitions, we could find these violations and make sure that an APT has occurred in our case study. With using these two methods in our framework, we achieved more than 90 percent of accuracy and very low error rate. The evaluation was conducted on over 4500 real transactions and two main scenarios of financial attacks. The performance of the proposed approach is also completely suitable for big data processing in all stages
  9. Keywords:
  10. Advanced Persistent Treats ; Event Correlation ; Long Term APT Detection ; Financial Fraud Detection (FFD) ; Information Retrieval

 Digital Object List

 Bookmark

  • 1 سرآغاز
    • 1.1 تعریف مسئله
    • 1.2 معرفی راهکار پیشنهادی
    • 1.3 نوآوری‌های پژوهش
    • 1.4 ساختار پایان‌نامه
  • 2 مفاهیم پایه
    • 2.1 تهدیدات مانای پیشرفته
      • 2.1.1 چرخه حیات تهدیدات مانای پیشرفته
      • 2.1.2 نمونه‌های حملات مانای پیشرفته بانکی
    • 2.2 همبسته‌سازی
    • 2.3 تقلب‌های بانکی
    • 2.4 روش‌های داده کاوی
      • 2.4.1 خوشه‌بندی
      • 2.4.2 نقشه‌های خود سازمان دهنده
    • 2.5 پردازش داده‌های حجیم
    • 2.6 جمع‌بندی
  • 3 روش‌های پیشین
    • 3.1 کشف حملات مانای پیشرفته
      • 3.1.1 روش‌های مبتنی بر جریان‌های شبکه
      • 3.1.2 روش‌های مبتنی بر داده‌کاوی
      • 3.1.3 روش‌های مبتنی بر زنجیره‌یابی رویدادها
      • 3.1.4 روش‌های مبتنی بر مدل مارکو پنهان
      • 3.1.5 روش مبتنی بر همبسته‌سازی رویدادهای میزبان و شبکه
    • 3.2 کشف تقلب بانکی
      • 3.2.1 مدل‌های مبتنی بر شبکه‌های عصبی
      • 3.2.2 مدل‌های مبتنی بر نقشه‌های خود سازمان‌دهنده
      • 3.2.3 مدل‌های مبتنی بر مارکو پنهان
      • 3.2.4 مدل‌های مبتنی بر قوانین رفتاری
      • 3.2.5 مدل‌های مبتنی بر خوشه‌بندی رفتاری کاربران
      • 3.2.6 مدل‌های تطبیق یافته با تغییر رفتار کاربران
    • 3.3 جمع‌بندی
  • 4 راهکار پیشنهادی
    • 4.1 اهداف
    • 4.2 فرضیات
    • 4.3 مدل پیشنهادی
      • 4.3.1 مدل سامانه
      • 4.3.2 مدل مهاجم
    • 4.4 شرح راهکار پیشنهادی
      • 4.4.1 کشف تراکنش‌های مشکوک بانکی
      • 4.4.2 همبسته‌سازی رویداد و تراکنش، کشف پردازه مشکوک
      • 4.4.3 بررسی سیاست‌های امنیتی، وارسی هشدارها
    • 4.5 جمع‌بندی
  • 5 ارزیابی روش پیشنهادی
    • 5.1 تشکیل و استاندارد سازی مجموعه داده
    • 5.2 پیاده سازی و ارزیابی داده‌ها
    • 5.3 تحلیل نتایج ارزیابی
    • 5.4 جمع بندی
  • 6 نتیجه‌گیری و کارهای آتی
    • 6.1 جمع‌بندی
    • 6.2 کارهای آتی
  • کتاب‌نامه
  • واژه‌نامه‌ی فارسی به انگلیسی
  • واژه‌نامه‌ی انگلیسی به فارسی
...see more