KFUPM ePrints

Identifying Malicious Activities in Honeynets using Clustering

l Identifying Malicious Activities in Honeynets using Clustering. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]PDF
Restricted to Abstract Only until 17 September 2013.

2351Kb

Arabic Abstract

عززت مصائد الشبكات مكانها كأداة تستخدمها المنظمات لدراسة وتحليل التهديدات ضد شبكاتهم وللعثور على نقاط الضعف داخلها. إنّ الجانب السلبي لاستخدام مصائد الشبكات هو الكمية الكبيرة للبيانات التي تنتجها، مما يجعل من المستحيل تحليلها يدوياً. وقد توصل الباحثون إلى طرق مختلفة لتحديد الأنشطة الخبيثة الناتجة عن بيانات مصائد الشبكة. في هذه الرسالة، إننا نستخدم خوارزميات التقسيم للتحسين على النظام الحالي القائم على تحديد الأنشطة الخبيثة في بيانات مصائد الشبكة. إن النظام السابق يتطلب جزئياً المعاينة اليدوية للبيانات لتحديد مختلف الأنشطة الخبيثة. لذلك نفذنا خوارزمية التقسيم المكاني للتطبيقات المعتمدة على الكثافة مع الضوضاء والتقسيم الهرمي. ثم طبقنا هذه الخوارزميات على قواعد البيانات المقدمة من منظمة مصائد الشبكة. وتمت مقارنة نتائجنا مع نتائج النظام السابق حيث أظهرت أن استخدام التقسيم التلقائي يمكن أن يسفر عن نتائج مماثلة ومشابهة للنتائج المعاينة يدوياً مع كفاءة أفضل وقت.

English Abstract

Honeypots have cemented their place as a tool used by organizations to study and analyze the threats against their networks and to find the vulnerabilities within. The down side of using Honeypots is the extensive amount of data they produce, making it virtually impossible to analyze manually. Researchers have come up with different ways to identify malicious activities in the Honeypot data. In this thesis, we propose to use the clustering algorithms to improve on an existing entropy based scheme used for identifying malicious activities in Honeynet traffic. The existing scheme partially requires manual inspection of the output to identify the different malicious activities. In this work, we implemented two clustering algorithms namely Density Based Spatial Clustering of Applications with Noise (DBSCAN) and Hierarchical Clustering. Then, we applied these algorithms to datasets, i.e., PCAP traces, provided by the Honeynet organization. Our results were compared with those obtained by the earlier scheme, and they showed that the use of automatic clustering can produce similar results, as it was produced by manual inspection, with better time efficiency.



Item Type:Thesis (Masters)
Subjects:Computer
Divisions:College Of Computer Sciences and Engineering > Information and Computer Science Dept
Committee Advisor:Sqalli, Mohammad H.
Committee Members:Azzedin, Farag and Baig, Zubair Ahmed
ID Code:138767
Deposited By:Muhammad Shoieb Arshad Arshad
Deposited On:24 Sep 2012 08:10
Last Modified:24 Sep 2012 08:10

Repository Staff Only: item control page