Marasco, Isabella
(2023)
NIDS alert filtering per il rilevamento di attacchi cyber mediante modelli di machine learning.
[Laurea magistrale], Università di Bologna, Corso di Studio in
Informatica [LM-DM270], Documento ad accesso riservato.
Documenti full-text disponibili:
Abstract
Il settore della cyber intrusion detection necessita di modelli e tecniche di Machine Learning in grado di analizzare migliaia o decine di migliaia di eventi al secondo provenienti dalle reti e dai sistemi osservati. Tuttavia, gli attuali Intrusion Detection System (IDS) generano un elevato numero di falsi allarmi che causano un inutile sovracarico di lavoro agli analisti di sicurezza. Va anche notato che, in questo ambito, i risultati della ricerca sono limitati a causa della carenza di dati reali degli IDS che le organizzazioni preferiscono non divulgare per motivi di sicurezza e riservatezza. La tesi, condotta in parte in tirocinio presso un'azienda di sicurezza informatica, supera questo limite avendo avuto la possibilità di accedere in loco a dati reali.
L’obiettivo principale di questa ricerca è utilizzare modelli di supervised learning per distinguere gli alert reali dai falsi positivi (FP). Sono stati testati vari modelli, inclusi approcci di machine learning tradizionali e modelli deep, su dati aziendali reali. Gli esperimenti hanno considerato diverse condizioni, tra cui dataset sbilanciato e bilanciato, con random e temporal split. I risultati indicano l'importanza di considerare la temporalità dei dati e l’influenza positiva del bilanciamento iniziale del dataset sulle prestazioni dei modelli.
Per ridurre i costi di etichettatura dei dati è stato implementato l’Active Learning (AL), dimostrando che l’utilizzo del temporal split limita l'incremento della precision. Tuttavia, in assenza di considerazioni sulla temporalità, si riescono ad ottenere delle precision elevate con un numero minore di dati etichettati.
Abstract
Il settore della cyber intrusion detection necessita di modelli e tecniche di Machine Learning in grado di analizzare migliaia o decine di migliaia di eventi al secondo provenienti dalle reti e dai sistemi osservati. Tuttavia, gli attuali Intrusion Detection System (IDS) generano un elevato numero di falsi allarmi che causano un inutile sovracarico di lavoro agli analisti di sicurezza. Va anche notato che, in questo ambito, i risultati della ricerca sono limitati a causa della carenza di dati reali degli IDS che le organizzazioni preferiscono non divulgare per motivi di sicurezza e riservatezza. La tesi, condotta in parte in tirocinio presso un'azienda di sicurezza informatica, supera questo limite avendo avuto la possibilità di accedere in loco a dati reali.
L’obiettivo principale di questa ricerca è utilizzare modelli di supervised learning per distinguere gli alert reali dai falsi positivi (FP). Sono stati testati vari modelli, inclusi approcci di machine learning tradizionali e modelli deep, su dati aziendali reali. Gli esperimenti hanno considerato diverse condizioni, tra cui dataset sbilanciato e bilanciato, con random e temporal split. I risultati indicano l'importanza di considerare la temporalità dei dati e l’influenza positiva del bilanciamento iniziale del dataset sulle prestazioni dei modelli.
Per ridurre i costi di etichettatura dei dati è stato implementato l’Active Learning (AL), dimostrando che l’utilizzo del temporal split limita l'incremento della precision. Tuttavia, in assenza di considerazioni sulla temporalità, si riescono ad ottenere delle precision elevate con un numero minore di dati etichettati.
Tipologia del documento
Tesi di laurea
(Laurea magistrale)
Autore della tesi
Marasco, Isabella
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Indirizzo
Curriculum B: Informatica per il management
Ordinamento Cds
DM270
Parole chiave
Cybersecurity,Machine Learning,Alert filtering,Intrusion detection
Data di discussione della Tesi
14 Dicembre 2023
URI
Altri metadati
Tipologia del documento
Tesi di laurea
(NON SPECIFICATO)
Autore della tesi
Marasco, Isabella
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Indirizzo
Curriculum B: Informatica per il management
Ordinamento Cds
DM270
Parole chiave
Cybersecurity,Machine Learning,Alert filtering,Intrusion detection
Data di discussione della Tesi
14 Dicembre 2023
URI
Gestione del documento: