Publication
Clustering Dynamically-Defined NetFlow and Windows Event Features for Intrusion Detection
| dc.contributor.advisor | Correia, Miguel Nuno Dias Alves Pupo | |
| dc.contributor.advisor | Dias, Luís Filipe Xavier Mendonça | |
| dc.contributor.author | Pinheiro, João Pedro Esteves | |
| dc.date.accessioned | 2025-02-20T13:41:39Z | |
| dc.date.available | 2025-02-20T13:41:39Z | |
| dc.date.issued | 2023-12-05 | |
| dc.description.abstract | Nos últimos anos, o mundo tem assistido a um aumento dramático dos ciberataques. O cenário de ameaças está a evoluir sem precedentes, deixando as organizações vulneráveis a ciberataques. Os sistemas de deteção de intrusões (SDIs) têm como objetivo proteger e monitorizar as redes ameaçadas. Os SDIs devem evoluir para defender os sistemas atuais de forma consistente e robusta. O principal objetivo deste trabalho é mostrar as vantagens de incluir os eventos do Microsoft (MS) Windows (EMSW) nos SDIs atuais. Os EMSW fornecem uma representação aprofundada do comportamento das máquinas MS Windows. Este sistema implementa a extração dinâmica de características tanto do host como da rede. A única instrução definida pelo utilizador é o número total de características a extrair. Além disso, o sistema seleciona um conjunto fixo de características do host e da rede. O processo de clustering inclui três algoritmos que funcionam em simultâneo. O sistema também explora quatro métodos de deteção de anomalias para ultrapassar a dificuldade de detetar várias vítimas do mesmo ataque. O sistema proposto é avaliado com um dataset artificial e público que contém ambos os tipos de dados. As métricas de avaliação obtidas são depois comparadas com abordagens semelhantes para demonstrar as vantagens da inclusão de EMSW no sistema. Os resultados mostram um aumento do F1-score de 3%, do recall de 5% e da mesma precisão em comparação com a abordagem com melhor desempenho. Os resultados alcançados pelo sistema proposto sublinham as contribuições oferecidas para a área dos SDIs. | pt_PT |
| dc.identifier.tid | 203574214 | |
| dc.identifier.uri | http://hdl.handle.net/10400.26/54490 | |
| dc.language.iso | eng | pt_PT |
| dc.subject | Cibersegurança | pt_PT |
| dc.subject | Aprendizagem Automática | pt_PT |
| dc.subject | Sistema de Deteção de Intrusões | pt_PT |
| dc.subject | Análise de Segurança | pt_PT |
| dc.subject | NetFlow | pt_PT |
| dc.subject | Logs | pt_PT |
| dc.subject | Cybersecurity | pt_PT |
| dc.subject | Machine learning | pt_PT |
| dc.subject | Intrusion Detection System | pt_PT |
| dc.subject | Security Analytics | pt_PT |
| dc.title | Clustering Dynamically-Defined NetFlow and Windows Event Features for Intrusion Detection | pt_PT |
| dc.type | master thesis | |
| dspace.entity.type | Publication | |
| rcaap.rights | openAccess | pt_PT |
| rcaap.type | masterThesis | pt_PT |
| thesis.degree.name | Mestrado Integrado de Ciências Militares na Especialidade de Engenharia em Eletrotécnia Militar | pt_PT |