Marco Brotto
DETECTION OF LATERAL MOVEMENT FROM NETWORK AUTHENTICATION DATA.
Rel. Guido Marchetto, Fulvio Valenza. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering), 2022
Abstract: |
Questa tesi e' stata redatta in collaborazione con Huawei Munich Research Center, a Monaco di Baviera, Germania. In particolare, il progetto e' stato svolto all'interno del team AI4SEC, business unit di Huawei specializzata nella ricerca nel campo dell'Intelligenza Artificiale e cybersecurity. In questa tesi magistrale ho lavorato su un progetto in merito alla detection di Lateral Movement (LM) a partire da traffico di rete. Un LM e' uno step fondamentale in un Advanced Persistent Threat (APT); esso permette ad un individuo malintenzionato di spostarsi da un host infettato all'interno di una rete, verso altre risorse di maggior valore. Lo scopo di questo progetto e' sviluppare un architettura in grado di individuare un LM a partire dal traffico di rete, in particolare, Kerberos ed SSH. Assumiamo che un LM lasci delle traccie di autenticazione che possono essere identificate come anomalie rispetto alle consuete autenticazioni che avvengono nella rete aziendale. A tale scopo, il modello utilizza informazioni estratte dalla Network Login Structure, i.e., un grafo che rappresenta la storia dei login/``authentication events'' di ogni utente della rete. Per dedurre se un evento di autenticazione e' un LM, proponiamo un algoritmo basato sulla combinazione di (i) individuazione di pattern malevoli, (ii) individuazione di anomalie su basi statistiche, e (iii) outlier detection sulla NLS. In dettaglio, l'algoritmo calcola un Anomaly Score (AS) per ogni percorso sospetto sulla NLS. Abbiamo testato l'algoritmo con 2 giorni di traffico di rete simulato dove erano presenti 5 attacchi diversi. I risultati mostrano che tutti gli eventi malevoli sono stati individuati. |
---|---|
Relatori: | Guido Marchetto, Fulvio Valenza |
Anno accademico: | 2021/22 |
Tipo di pubblicazione: | Elettronica |
Numero di pagine: | 102 |
Informazioni aggiuntive: | Tesi secretata. Fulltext non presente |
Soggetti: | |
Corso di laurea: | Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering) |
Classe di laurea: | Nuovo ordinamento > Laurea magistrale > LM-32 - INGEGNERIA INFORMATICA |
Ente in cotutela: | INSTITUT EURECOM (FRANCIA) |
Aziende collaboratrici: | HUAWEI TECHNOLOGIES DUESSELDORF GmbH |
URI: | http://webthesis.biblio.polito.it/id/eprint/22675 |
Modifica (riservato agli operatori) |