Identifying Malicious Activities in Honeynets using Clustering

Identifying Malicious Activities in Honeynets using Clustering. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]
Preview
PDF
Thesis-G200904270.pdf

Download (2MB) | Preview

Arabic Abstract

عززت مصائد الشبكات مكانها كأداة تستخدمها المنظمات لدراسة وتحليل التهديدات ضد شبكاتهم وللعثور على نقاط الضعف داخلها. إنّ الجانب السلبي لاستخدام مصائد الشبكات هو الكمية الكبيرة للبيانات التي تنتجها، مما يجعل من المستحيل تحليلها يدوياً. وقد توصل الباحثون إلى طرق مختلفة لتحديد الأنشطة الخبيثة الناتجة عن بيانات مصائد الشبكة. في هذه الرسالة، إننا نستخدم خوارزميات التقسيم للتحسين على النظام الحالي القائم على تحديد الأنشطة الخبيثة في بيانات مصائد الشبكة. إن النظام السابق يتطلب جزئياً المعاينة اليدوية للبيانات لتحديد مختلف الأنشطة الخبيثة. لذلك نفذنا خوارزمية التقسيم المكاني للتطبيقات المعتمدة على الكثافة مع الضوضاء والتقسيم الهرمي. ثم طبقنا هذه الخوارزميات على قواعد البيانات المقدمة من منظمة مصائد الشبكة. وتمت مقارنة نتائجنا مع نتائج النظام السابق حيث أظهرت أن استخدام التقسيم التلقائي يمكن أن يسفر عن نتائج مماثلة ومشابهة للنتائج المعاينة يدوياً مع كفاءة أفضل وقت.

English Abstract

Honeypots have cemented their place as a tool used by organizations to study and analyze the threats against their networks and to find the vulnerabilities within. The down side of using Honeypots is the extensive amount of data they produce, making it virtually impossible to analyze manually. Researchers have come up with different ways to identify malicious activities in the Honeypot data. In this thesis, we propose to use the clustering algorithms to improve on an existing entropy based scheme used for identifying malicious activities in Honeynet traffic. The existing scheme partially requires manual inspection of the output to identify the different malicious activities. In this work, we implemented two clustering algorithms namely Density Based Spatial Clustering of Applications with Noise (DBSCAN) and Hierarchical Clustering. Then, we applied these algorithms to datasets, i.e., PCAP traces, provided by the Honeynet organization. Our results were compared with those obtained by the earlier scheme, and they showed that the use of automatic clustering can produce similar results, as it was produced by manual inspection, with better time efficiency.

Item Type: Thesis (Masters)
Subjects: Computer
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Sqalli, Mohammad H.
Committee Members: Azzedin, Farag and Baig, Zubair Ahmed
Depositing User: Muhammad S Arshad (g200904270)
Date Deposited: 24 Sep 2012 05:10
Last Modified: 01 Nov 2019 15:36
URI: http://eprints.kfupm.edu.sa/id/eprint/138767