Deteksjon av sjelden angrepstrafikk med Fourier-analyse

Fourier-analyse, eller FFT (Fast Fourier Transform) benyttes for å oversette registrering av signaler i tid (f.eks. opptak av lydsignaler, eller logger over trafikk i datanett) til et spekter av frekvenser over de samme signaler.  Denne oppgaven fokuserer på å undersøke hvordan FFT av DNS-loggdata (evt. andre loggdata) kan identifisere sjelden angrepstrafikk med unike frekvenser, og som ellers ville være vanskelig å oppdage. For at dette skal være nyttig for å detektere angrepstrafikk må det være mulig å filtrere bort legitime automatiske jobber og hendelser fra loggene. Da vil det antagelig være mulig å avdekke sjelden angrepstrafikk ved å se på hendelser med lav frekvens. Hvis det f.eks. dukker opp en mystisk ukentlig eller 10-dagers frekvens kan det være interessant å undersøke. Som del av oppgaven vil det også være omteressant å benytte metoden for å detektere kjente “beacons” som opererer med kjente frekvenser. Grunnlag for FFT kan være

  • DNS-data
  • Andre logger

Dette oppgaven gjøres i samarbeid med USIT/UiO-CERT.

 

 

Publisert 8. sep. 2022 14:42 - Sist endret 13. des. 2022 05:34

Veileder(e)

Omfang (studiepoeng)

60