GRAPH-BASED NETWORK ANOMALY DETECTION

GRAPH-BASED NETWORK ANOMALY DETECTION. Masters thesis, King Fahd University of Petroleum and Minerals.

[img] PDF (Thesis)
GRAPH-BASED NETWORK ANOMALY DETECTION.pdf - Accepted Version
Restricted to Repository staff only until 9 May 2021.

Download (2MB)

Arabic Abstract

القدرة على تحليل البيانات التي تمت هيكلتها كرسم بياني، أصبحت ضرورية في العديد من المجالات للكشف عن الأنماط غير العادية. يعد الكشف عن الشذوذ من أهم المجالات في الكشف عن الهجمات السيبرانية، وومع ذلك لا يوجد العديد من الأعمال التي تمت للقيام باكتشاف الشذوذ عن طريق تحليل البيانات المهيكلة بطريقة الرسم البياني. في هذه الأطروحة ، قمنا بتنفيذ نهج جديد قائم على الرسم البياني للكشف عن الشذوذ الموجود داخل بيانات الشبكة من خلال ملاحظة الانحرافات عن التدفق الطبيعي باستخدام مقاييس الرسم البياني. ونحن هنا نقوم باستخدام ثمانية مقاييس بيانية لقياس سلوك كل عقدة بناءً على موقعها ونوع اتصالاتها. يتم تحويل كل بيانات الشبكة إلى نموذج بياني مستند إلى اما البناء عن طريق عناوين العقد أوعن طريق دمج العناوين بالمنافذ، وذلك وفقًا لتأثير الهجوم المستهدف داخل التدفق. وكما قمنا بتقييم فعالية وأداء الخوارزمية الخاصة بنا لكل نوع شاذ باستخدام مجموعة بيانات CICIDS2017 المعيارية. أيضًا ، أجرينا مقارنات بين نهجنا المقترح وطريقتين موجودتين للكشف عن الشذوذ ، أولاً ، مع نظام الكشف عن الشذوذ الشبكي (SNORT) ، وثانيا، طريقة مختلفة للكشف عن الشذوذ القائمة على الرسم البياني. وقد أظهر نهجنا المقترح كفاءة في استكشاف الهجمات الالكترونية على الشبكة من خلال التحقق من سلوكها في الهيكلة البيانية.

English Abstract

The ability to analyze data formed as a graph has become essential in many areas for detecting unusual patterns. One of the most critical areas in detecting cyber-attacks is anomaly detection, yet there is no much work that has been performed for discovering anomalies in Graph-Based data. In this thesis, we implemented a Graph-Based approach to reveal anomalies within network flow by observing deviations from normal flow using graph metrics. We utilize eight graph metrics to measure the behavior of each node based on its position and type of connections. Each network flow is transformed into either IP_Based or SOCKET_Based graph model according to the impact of the targeted attack within the flow. We evaluate the effectiveness and performance of our algorithm for each anomaly type by using a benchmark CICIDS2017 dataset. Also, we conducted comparisons between our proposed approach and two existing Anomaly detection methods, first, with Network Anomaly Detection System (SNORT), and against a Graph-Based Anomaly Detection method. Our Proposed approach demonstrated the efficiency of exploring a graph-based structure of network flow to detect network cyber-attacks.

Item Type: Thesis (Masters)
Subjects: Computer
Systems
Department: College of Computing and Mathematics > Information and Computer Science
Committee Advisor: Ramadan, Emad
Committee Members: Zhioua, Sami and Hassine, Jameleddine
Depositing User: AHMED ALNAZEER (g201406320)
Date Deposited: 10 May 2020 11:47
Last Modified: 10 May 2020 11:47
URI: http://eprints.kfupm.edu.sa/id/eprint/141525