NIDS alert filtering per il rilevamento di attacchi cyber mediante modelli di machine learning

Il settore della cyber intrusion detection necessita di modelli e tecniche di Machine Learning in grado di analizzare migliaia o decine di migliaia di eventi al secondo provenienti dalle reti e dai sistemi osservati. Tuttavia, gli attuali Intrusion Detection System (IDS) generano un elevato numero di falsi allarmi che causano un inutile sovracarico di lavoro agli analisti di sicurezza. Va anche notato che, in questo ambito, i risultati della ricerca sono limitati a causa della carenza di dati reali degli IDS che le organizzazioni preferiscono non divulgare per motivi di sicurezza e riservatezza. La tesi, condotta in parte in tirocinio presso un'azienda di sicurezza informatica, supera questo limite avendo avuto la possibilità di accedere in loco a dati reali. L’obiettivo principale di questa ricerca è utilizzare modelli di supervised learning per distinguere gli alert reali dai falsi positivi (FP). Sono stati testati vari modelli, inclusi approcci di machine learning tradizionali e modelli deep, su dati aziendali reali. Gli esperimenti hanno considerato diverse condizioni, tra cui dataset sbilanciato e bilanciato, con random e temporal split. I risultati indicano l'importanza di considerare la temporalità dei dati e l’influenza positiva del bilanciamento iniziale del dataset sulle prestazioni dei modelli. Per ridurre i costi di etichettatura dei dati è stato implementato l’Active Learning (AL), dimostrando che l’utilizzo del temporal split limita l'incremento della precision. Tuttavia, in assenza di considerazioni sulla temporalità, si riescono ad ottenere delle precision elevate con un numero minore di dati etichettati.