Original title:
Strojové učení z dat systémů pro detekci síťového průniku
Translated title:
Machine Learning from Intrusion Detection Systems
Authors:
Dostál, Michal ; Očenášek, Pavel (referee) ; Hranický, Radek (advisor) Document type: Master’s theses
Year:
2023
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Aktuální stav nástrojů pro detekci síťového průniku je nedostačující, protože tyto nástroje často fungují na základě statických pravidel a nevyužívají potenciál umělé inteligence. Cílem této práce je rozšířit open-source nástroj Snort o schopnost detekovat škodlivý síťový provoz pomocí strojového učení. Pro dosažení kvalitního klasifikátoru byly zvoleny užitečné příznaky síťového toku, které byly získány z výstupních dat aplikace Snort. Následně byly tyto toky obohaceny a označeny odpovídajícími událostmi. Experimenty vykazují velmi dobré výsledky nejenom při klasifikaci na testovacích datech, ale také v rychlosti zpracování. Z~navrženého přístupu a samotných experimentů vyplývá, že tento nový přístup by mohl vykazovat dobrou úspěšnost i při práci s reálnými daty.
The current state of intrusion detection tools is insufficient because they often operate based on static rules and fail to leverage the potential of artificial intelligence. The aim of this work is to enhance the open-source tool Snort with the capability to detect malicious network traffic using machine learning. To achieve a robust classifier, useful features of network traffic were choosed, extracted from the output data of the Snort application. Subsequently, these traffic features were enriched and labeled with corresponding events. Experiments demonstrate excellent results not only in classification accuracy on test data but also in processing speed. The proposed approach and the conducted experiments indicate that this new method could exhibit promising performance even when dealing with real-world data.
Keywords:
anomalies; classification; dataset; feature evaluation; IDS; IPS; machine learning; Snort; Suricata; XGBoost; anomálie; datová sada; hodnocení příznaků; IDS; IPS; klasifikace; Snort; strojové učení; Suricata; XGBoost
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/213800