KFUPM ePrints

Anomaly Detection Technique for Honeynet Data Analysis

SYED, NAEEM FIRDOUS (2011) Anomaly Detection Technique for Honeynet Data Analysis. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]PDF
2744Kb

Arabic Abstract

صممت شبكات العسل من قبل منظمة مشروع شبكات العسل العالمية بهدف جمع المعلومات عن التهديدات الأمنية داخل شبكات الحاسب الآلي. شبكة العسل هي عبارة عن شبكة من أجهزة الحاسب الآلي مراقبة ومعرضة للهجوم, ويتم استخدامها من قبل الهيئات والمنظمات والشركات بهدف استباق حدوث هجمات وتحسين أمن الشبكات. كما أنها مصممة لتحديد حركة المرور الضارة والأنشطة غير المصرح به على الشبكة. تلتقط شبكات العسل كمية كبيرة من البينات والسجلات لتحليلهامن أجل تحديد الأنشطة الخبيثة. يعتبر تحليل هذا الكم الكبير من البيانات مهمة صعبة. والهدف الرئيسي من هذاالعمل هو استخدام تقنية الكشف عن السلوك الشاذ بهدف الكشف عن وقوع هجمات جديدة وغير معروفة باستخدام البيانات التي تم جمعها عن طريق شبكات العسل. نقترح في هذا العمل استخدام تقنية الكشف عن السلوك الشاذ والتي سيتم عن طريقها تحليل البيانات بكفاءة مما سيساعد على تعلم السلوك والأساليب المستخدمة من قبل المتسللين لشبكات الحاسب الآلي. في هذا العمل استخدمنا تقنية تعتمد على طرق تستند إلى استخدام ميزات وحجم البيانات من أجل تحديد الحالات الشاذة في حركة شبكات العسل. وقد أجري تحليل تفصيلي عن الميزات المختلفة المرتبطة بحركة المرور وتم اختيار الميزات الأكثر ملاءمة لحركة شبكات العسل. وقد تم الكشف عن السلوكات الشاذة باستخدام قبم عتبة توزيع الانتروبي بالنسبة للمعلمات المستندة إلى ميزات البيانات واستخدام التغييرات في الحجم بالنسبة للمعلمات المستندة إلى حجم البيانات. وقد تم تعريف السلوكات الشاذة المختلفة باستخدام الميزات المحددة وقيمها. تبين لنا من خلال هذا العمل أن أسلوبنا النقترح الذي يستخدم كلا من معلمات الميزات وحجم البيانات يعتبر أسلوبا فعالا للكشف عن معظم أنواع السلوكات الشاذة المتواجدة داخل شبكات العسل.

English Abstract

A Honeynet is a network designed by the Honeynet Project organization to gather information on security threats. Honeynet is a controlled network of vulnerable computers (honeypots) and is being used by organizations to proactively improve their network security as it is designed to identify malicious traffic and unauthorized activities on the network. Honeynet captures a substantial amount of data and logs for analysis in order to identify malicious activities. The analysis of this large amount of data is a challenging task. The main aim of this work is to use an anomaly detection technique to detect new and unknown attacks using data collected by Honeynets. In this work we propose an anomaly detection technique that will efficiently analyze the Honeynet data and will help in learning the behavior and techniques used by the hackers. In this work, we have used feature-based and volume-based schemes to identify anomalies in Honeynet traffic. A detailed analysis of various traffic features were carried out and the most appropriate features for Honeynet traffic were selected. The anomaly detection was done by using threshold values of entropy distributions for feature-based parameters and volume changes for volume-based parameters. The behavior of various anomalies was defined using the selected features and their respective threshold values. In this work, we show that our proposed technique which utilizes both feature-based and volume-based parameters is effective in detecting most types of anomalies seen in Honeynets.



Item Type:Thesis (Masters)
Date:23 March 2011
Date Type:Completion
Subjects:Computer
Research
Divisions:College Of Computer Sciences and Engineering > Computer Engineering Dept
Creators:SYED, NAEEM FIRDOUS
Email:g200803700@kfupm.edu.sa
Committee Advisor:Houssaini, Mohammed Sqalli
Committee Co-Advisor:Hamed, Khaled Salah
Committee Members:H., Marwan Abu-Amara and Ahmad, Zubair Baig and Azzedin, Farag
ID Code:136432
Deposited By:NAEEM FIRDOUS (g200803700) (g200803700)
Deposited On:22 May 2011 11:08
Last Modified:24 Nov 2014 10:44

Repository Staff Only: item control page