Įsibrovimo aptikimas analizuojant kompiuterio lygmens žurnalinius įrašus iš AWSCTD duomenų rinkinio

Abstract

Magistro baigiamojo darbo tikslas – pasiūlyti įsibrovimo aptikimo būdą kompiuterio lygmenyje, paremtą žurnalinių įrašų analize. Atliekant literatūros analizę apžvelgiamos įsibrovimo aptikimo sistemos – jų tipai, naudojami metodai įsibrovimams aptikti. Detaliai analizuojamos kompiuterio lygmenyje veikiančios įsibrovimo aptikimo sistemos – nagrinėjama, kokias technikas bei kokius duomenis jos naudoja. Taip pat apžvelgiami įsibrovimo aptikimo tyrimuose, kompiuterio lygmenyje, naudojami duomenų rinkiniai ir metodai taikomi žurnalinių įrašų analizei. Tiriamojoje darbo dalyje apžvelgiamas AWSCTD duomenų rinkinys, aprašomi įžvelgti trūkumai bei apibūdinamas metodas taikomas duomenų rinkiniui papildyti. Taip pat aprašomas siūlomas metodas programų elgsenos duomenims atvaizduoti ir vektorizuoti. Galiausiai aprašomas atliktas bandymas aptinkant įsibrovimus ir apžvelgiami gauti rezultatai. Darbą sudaro 5 dalys: įvadas, susijusios literatūros analizė, siūlomo metodo aprašymas, išvados, literatūros sąrašas. Darbo apimtis – 83 p. teksto be priedų, 35 iliustr., 15 lent., 59 bibliografiniai šaltiniai.

The objective of the Master's thesis is to propose an intrusion detection method at the computer level based on the analysis of logs. Through a literature analysis, the paper gives an overview of intrusion detection systems - their types and methods used to detect intrusions. A detailed analysis of host-based intrusion detection systems is performed, where the techniques and type of data used were examined. It also covers the datasets used in host-based intrusion detection research and the methods used to analyze log records. The exploratory part of the thesis gives an overview of the AWSCTD dataset, describes the shortcomings identified, and describes the method used to augment the dataset. It also describes the proposed method for representing and vectorizing behavioral data of the executed programs. Finally, the intrusion detection experiment is described, and the results obtained are summarized. The thesis consists of 5 parts: introduction, analysis of related literature, description of the proposed method, conclusions, list of references. The volume of the thesis is 83 pages of text without appendices, 35 illustrations, 15 tables, 59 references.