ارائه راه‌كار مبتني بر يادگيري ماشين جهت تشخيص تهديدهاي ناشناخته در محيط EDR

شماره مدرك :

19638

شماره راهنما :

16968

پديد آورنده :

رضوي مظفر مقدم، مهران

عنوان :

ارائه راه‌كار مبتني بر يادگيري ماشين جهت تشخيص تهديدهاي ناشناخته در محيط EDR

مقطع تحصيلي :

كارشناسي ارشد

گرايش تحصيلي :

رايانش امن

محل تحصيل :

اصفهان : دانشگاه صنعتي اصفهان

سال دفاع :

1403

صفحه شمار :

دوازده، 89ص. : مصور، جدول، نمودار

توصيفگر ها :

بدافزار , نقاط پاياني , فناوري تشخيص و پاسخ نقطه پاياني (EDR) , مجموعه‌داده عمليات شفاف سايبري (DARPA OpTC)

تاريخ ورود اطلاعات :

1403/06/11

كتابنامه :

كتابنامه

رشته تحصيلي :

مهندسي كامپيوتر

دانشكده :

مهندسي برق و كامپيوتر

تاريخ ويرايش اطلاعات :

1403/06/13

كد ايرانداك :

23048860

چكيده فارسي :

در سال‌هاي اخير، شاهد يك موج از حمله‌هاي سايبري برجسته به زيرساخت‌هاي دولتي، تجاري و حياتي ملي بوده‌ايم كه نشان مي‌دهد حفظ امنيت و حريم خصوصي در شبكه‌هاي سازماني واقعي روزبه‌روز چالش‌برانگيزتر مي‌شوند. از جمله اين چالش‌ها، تشخيص و پيشگيري از نرم‌افزارهاي مخرب و فعاليت‌هاي شرورانه در شبكه‌هاي سازماني است كه نيازمند روش‌ها و راه‌كارهاي قوي امنيتي است. يكي از راه‌كارهاي مهم امنيتي در اين زمينه، استفاده از فناوري‌هاي تشخيص و پاسخ نقطه پاياني (EDR) است. ازآنجايي‌كه نقاط پاياني نقطه ورود تهديدها و بدافزارها به زيرساخت‌هاي فناوري اطلاعات سازمان مانند شبكه، سرور، اينترنت اشيا و غيره هستند، ضروري است كه در اين نقاط، از فناوري‌هاي تشخيص و پاسخ نقطه پاياني (EDR) استفاده شود. استفاده از EDR امكان نظارت و تجزيه‌وتحليل مداوم فعاليت نقاط پاياني را براي شناسايي و پاسخ به تهديدهاي پيشرفته در زمان واقعي فراهم مي‌كند. بنابراين، در اين پايان‌نامه، تلاش شده است تا يك مدل و راه‌كار جهت شناسايي و مقابله با تهديدهاي ناشناخته در محيط EDR ارائه شود. هدف اين پژوهش ساختن يك سامانه‌اي است كه بتواند با استفاده از داده‌هاي گزارش‌گيري مبتني بر ميزبان از رايانه، فعاليت‌هاي مرتبط با فرايند رايانه را به‌عنوان خوش‌خيم يا مخرب طبقه‌بندي كند. با تمركز بر الگوهاي فعاليت ميزبان به‌جاي امضاي بدافزار خاص، توانسته‌ايم ويژگي‌هاي رفتاري را كشف كنيم كه فرايندهاي مخرب را از فرايندهاي خوش‌خيم متمايز كند. در اين راستا مدل بدون نظارتي پيشنهاد شده است كه با پيش‌پردازش داده‌ها، استخراج بهينه ويژگي‌ها به‌صورت برخط و آموزش دقيق، مي‌تواند عملكرد خوبي در تشخيص حمله‌هاي ناشناخته داشته باشد. مدل پيشنهادي بر روي جديدترين مجموعه‌داده منتشر شده عمليات شفاف سايبري دارپا ارزيابي شده است كه اين مدل توانسته با درصد تشخيص 99.99% به‌خوبي فعاليت‌هاي خوش‌خيم را از فعاليت‌هاي مخرب سامانه جدا كند. ارزيابي راه‌حل ارائه شده توسط مجموعه‌داده بزرگ و معتبر دارپا نشان مي‌دهد كه اين سامانه توانايي تشخيص تهديد پيشرفته پايدار را با كارايي و دقت بالايي دارا است.

چكيده انگليسي :

In recent years, we have witnessed a surge of prominent cyber-attacks targeting governmental, commercial, and critical national infrastructures, highlighting the increasing challenges of maintaining security and privacy within enterprise networks. Among these challenges, the detection and prevention of malware and malicious activities in organizational networks necessitate robust security methods and solutions. One of the key security solutions in this regard is the use of Endpoint Detection and Response (EDR) technologies. Since endpoints are the entry points for threats and malware into an organization’s IT infrastructure, such as networks, servers, the Internet of Things, and more. It is essential to deploy EDR technologies at these points. Utilizing EDR allows for continuous monitoring and analysis of endpoint activities to identify and respond to advanced threats in real-time. Therefore, this thesis aims to propose a model and solution for detecting and countering unknown threats within the EDR environment. The objective of this research is to develop a system capable of classifying computer process activities as benign or malicious using host-based reporting data from computers. By focusing on host activity patterns instead of specific malware signatures, we have been able to uncover behavioral features that distinguish malicious processes from benign ones. In this context, an unsupervised model is proposed that, through data preprocessing, optimal online feature extraction, and precise training, can effectively detect unknown attacks. The proposed model has been eva‎luated on the latest DARPA Operationally Transparent Cyber (OpTC) dataset, achieving an impressive detection accuracy of 99.99%, successfully distinguishing benign activities from malicious system activities. The eva‎luation of the proposed solution using the large and credible DARPA dataset demonstrates that this system has a high efficiency and accuracy in detecting advanced persistent threats.

استاد راهنما :

علي فانيان

استاد داور :

مجتبي خليلي دليگاني , فاطمه دلدارفروتقه

لينک به اين مدرک :

https://library.iut.ac.ir/dL/search/default.aspx?Term=19638&Field=0&DTC=107

کلیه حقوق این اثر برای شرکت مهندسی ارتباطات پيام مشرق محفوظ می باشد