AM - TIA - ENG - Especialidade de Engenharia
Permanent URI for this community
Browse
Browsing AM - TIA - ENG - Especialidade de Engenharia by advisor "Correia, Miguel Nuno Dias Alves Pupo"
Now showing 1 - 2 of 2
Results Per Page
Sort Options
- Advanced Persistent Threat Stage PredictionPublication . Pires, João Pedro Marinho; Correia, Miguel Nuno Dias Alves Pupo; Dias, Luís Filipe Xavier MendonçaAdvanced Persistent Threat (APT) have become one of the primary challenges in cyber defense. Characterized by sophisticated and prolonged attacks, these threats infiltrate networks aiming to steal sensitive data, often remaining undetected for extended periods. This evolution in attack tactics underscores the urgent need for improvements in defense strategies and threat detection. Within the scope of this thesis, a framework named Advanced Persistent Threat Stage Prediction (APTSP) was developed. APTSP is capable of predicting, based on identified threats, the current stage of the attack, as well as the most likely subsequent stage. It also provides insights into the most probable perpetrating APT group, considering known APTs. To achieve this, APTSP takes network data classified by an Intrusion Detection System (IDS) and applies a Markov model to determine the probabilities for the APT stages. It also uses a machine learning model to identify the potential agent responsible for the attack. APTSP was experimentally evaluated on a public dataset, comparing its results with different solutions. APTSP outperformed previous approaches in all the metrics used.
- Clustering Dynamically-Defined NetFlow and Windows Event Features for Intrusion DetectionPublication . Pinheiro, João Pedro Esteves; Correia, Miguel Nuno Dias Alves Pupo; Dias, Luís Filipe Xavier MendonçaNos últimos anos, o mundo tem assistido a um aumento dramático dos ciberataques. O cenário de ameaças está a evoluir sem precedentes, deixando as organizações vulneráveis a ciberataques. Os sistemas de deteção de intrusões (SDIs) têm como objetivo proteger e monitorizar as redes ameaçadas. Os SDIs devem evoluir para defender os sistemas atuais de forma consistente e robusta. O principal objetivo deste trabalho é mostrar as vantagens de incluir os eventos do Microsoft (MS) Windows (EMSW) nos SDIs atuais. Os EMSW fornecem uma representação aprofundada do comportamento das máquinas MS Windows. Este sistema implementa a extração dinâmica de características tanto do host como da rede. A única instrução definida pelo utilizador é o número total de características a extrair. Além disso, o sistema seleciona um conjunto fixo de características do host e da rede. O processo de clustering inclui três algoritmos que funcionam em simultâneo. O sistema também explora quatro métodos de deteção de anomalias para ultrapassar a dificuldade de detetar várias vítimas do mesmo ataque. O sistema proposto é avaliado com um dataset artificial e público que contém ambos os tipos de dados. As métricas de avaliação obtidas são depois comparadas com abordagens semelhantes para demonstrar as vantagens da inclusão de EMSW no sistema. Os resultados mostram um aumento do F1-score de 3%, do recall de 5% e da mesma precisão em comparação com a abordagem com melhor desempenho. Os resultados alcançados pelo sistema proposto sublinham as contribuições oferecidas para a área dos SDIs.