Show simple item record

dc.creatorBerrueta Irigoyen, Eduardoes_ES
dc.date.accessioned2018-11-28T15:07:39Z
dc.date.issued2018
dc.identifier.urihttps://hdl.handle.net/2454/31640
dc.description.abstractEste trabajo presenta una solución para detectar una infección por ransomware en un equipo de una red local con directorios compartidos por SMB en uno o varios servidores. Se basa en el análisis de tráfico de las versiones 1 y 2 de este protocolo, en la cantidad de bytes leídos y escritos y en las eliminaciones que haga el usuario en ficheros del servidor. Deben establecerse tres parámetros que caracterizarán al algoritmo (N, T y Vumbral), y que determinarán la cantidad de ficheros que encriptará el ransomware antes de su detección. Aunque esos N ficheros van a ser encriptados en todos los casos en que se detecte el ransomware, se ha desarrollado una herramienta de recuperación para conseguir recuperar estos ficheros, de forma que podemos considerar la herramienta como sin pérdidas. Los resultados son del 100 % de detección de ransomware con una probabilidad de falso positivo menor del 1 % en la mayoría de los días testeados. Las pruebas se han realizado con un total de 53 muestras distintas de ransomware de 18 familias diferentes, corriendo en un entorno virtualizado. Los falsos positivos se han evaluado con muestras de tráfico de usuario de 6 días laborables en la red local de la UPNA y 1 día completo en otra red empresarial.es_ES
dc.description.abstractThis work presents a novel solution for detecting a ransomware infection of a com- puter in a LAN network with one or more shared directories by SMB protocol. It is based on the SMB traffic analysis, counting the read and written bytes by the user or by the server and the deletion of shared files. Three main parameters must be set in order to the algorithm to work properly (N, T and Vumbral), and they will determine how many files will be encrypt by the ransomware until its detection. Although these N files must be encrypted in all detection cases, a file-recovery tool has been developed in order to make the algorithm zero-losses. It has been achieved 100% of detection with plenty low false positive rate (lower than 1% in most of the days tested). The tests have been performed with 53 different ransomware samples of 18 families, running in a virtualized environment. The false positive rate has been evaluated using user traffic samples of 6 days in the local network of the UPNA, and 1 complete day of other enterprise network.es_ES
dc.format.mimetypeapplication/pdfen
dc.language.isospaen
dc.subjectRansomwarees_ES
dc.subjectAnálisis de tráficoes_ES
dc.subjectSeguridades_ES
dc.subjectMalwarees_ES
dc.titleAlgoritmo de detección de ransomwares mediante tráfico SMB en redes con directorios compartidos (REDFISH)es_ES
dc.typeTrabajo Fin de Máster/Master Amaierako Lanaes
dc.typeinfo:eu-repo/semantics/masterThesisen
dc.date.updated2018-11-27T18:36:29Z
dc.contributor.affiliationEscuela Técnica Superior de Ingenieros Industriales y de Telecomunicaciónes_ES
dc.contributor.affiliationTelekomunikazio eta Industria Ingeniarien Goi Mailako Eskola Teknikoaeu
dc.description.degreeMáster Universitario en Ingeniería de Telecomunicación por la Universidad Pública de Navarraes_ES
dc.description.degreeNafarroako Unibertsitate Publikoko Unibertsitate Masterra Telekomunikazio Ingeniaritzanes_ES
dc.rights.accessRightsAcceso embargado 5 años / 5 urteko bahituraes
dc.rights.accessRightsinfo:eu-repo/semantics/embargoedAccessen
dc.embargo.lift2023-07-01
dc.embargo.terms2023-07-01es_ES
dc.contributor.advisorTFEMorató Osés, Danieles_ES


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record