A felhasználói viselkedéselemzés során emberek tevékenységeit és szokásit vizsgáljuk, hogy milyen weboldalakat látogatnak az interneten, mennyi adatot küldenek át a hálózaton és hogy milyen országokkal kommunikálnak. Ha minden felhasználóról van elég adatunk, akkor viselkedésük alapján mindenkire fel lehet építeni egy profilt, amely tartalmazza az átlagos tevékenységüket. A viselkedéselemző rendszer akkor jelez, ha a szokásostól eltérő aktivitást érzékel. Kibervédelmi szempontból ez azért hasznos, mert ha jól van konfigurálva egy ilyen viselkedéselemző rendszer, akkor időben tudja jelezni, ha a felhasználó támadás alatt áll. Egy támadást úgy lehet felismerni, hogy rövid idő alatt nagyon sok adat érkezik a számítógépre esetleg egy idegen országból. PARIPA beszámolómban egy ilyen rendszert építettem fel, ehhez először irodalomkutatást is végeztem, hogy megismerjem és bemutassam a legfontosabb fogalmakat, összefüggéseket. A megoldásom teszteléséhez tizenöt felhasználóból álló adathalmazt használtam, amely öt nap adatforgalmának csomagjait tartalmazza. Ebben van átlagos adatfolyam és vannak olyan napok, amikor különféle támadásokat hajtottak végre egyes felhasználók ellen. A rendszert két különböző módon is teszteltem az adathalmazzal, viszont a végső konklúzió az lett, hogy öt nap statisztikája nem elég ahhoz, hogy pontosan felismerjem az eltéréseket. A megoldás 67%-ban igen nagy változást észlelt a felépített felhasználói profilokhoz képest, ennek csökkentése érdekében több finomhangolási lehetőséget is felvázoltam.
Burányi Dániel Bence
2023-01-15
Támogató: Quadron Kibervédelmi Zrt.