Di Ubaldo, Lorenzo
(2026)
Class-Incremental Learning per la Gestione Evolutiva degli Alert di Sicurezza in Contesti Enterprise.
[Laurea magistrale], Università di Bologna, Corso di Studio in
Ingegneria informatica [LM-DM270], Documento ad accesso riservato.
Documenti full-text disponibili:
Abstract
La continua evoluzione delle minacce informatiche e la crescente complessità delle infrastrutture enterprise rendono sempre meno efficace l’impiego di modelli di apprendimento statici per l’analisi degli alert di sicurezza. In particolare, nel dominio degli Endpoint Detection and Response, i flussi di telemetria sono caratterizzati da non stazionarietà, forte sbilanciamento tra classi, scarsità di campioni per le minacce emergenti e rapido semantic drift delle tecniche di attacco.
In questo contesto, la presente tesi propone un framework di Continual Learning per la classificazione incrementale di log EDR in scenari reali di cybersecurity. L’architettura adotta una pipeline ibrida che combina Feature Hashing per la rappresentazione degli attributi sparsi e il modello SecBERT per l’estrazione della componente semantica. L’adattamento a nuovi task, spesso in regime Few-Shot, è affidato a una modellazione topologica dello spazio latente basata su ancore Neural Gas. Per mitigare la saturazione della memoria indotta dagli eventi di routine, viene inoltre introdotto il Balanced
O2S Dark Buffer, un modulo che disaccoppia l’espulsione tramite Soft Quota dal campionamento Inverse Frequency Sampling, integrando al contempo una regolarizzazione di tipo Dark Experience Replay.
La validazione sperimentale, condotta su telemetrie aziendali reali acquisite nell’arco di dieci mesi, evidenzia buone prestazioni in termini di efficacia e robustezza. Il modello mostra una buona capacità di bilanciamento tra plasticità e stabilità, riducendo il tasso di False Negative sulle classi minoritarie e dimostrando capacità di generalizzazione nell’identificazione di varianti di attacco inedite. I risultati confermano che l’integrazione tra rappresentazioni semantiche profonde, modellazione topologica e gestione bilanciata della memoria costituisce un approccio efficace per lo sviluppo di sistemi di rilevamento più adattivi, resilienti e compatibili con i vincoli operativi dei SOC enterprise.
Abstract
La continua evoluzione delle minacce informatiche e la crescente complessità delle infrastrutture enterprise rendono sempre meno efficace l’impiego di modelli di apprendimento statici per l’analisi degli alert di sicurezza. In particolare, nel dominio degli Endpoint Detection and Response, i flussi di telemetria sono caratterizzati da non stazionarietà, forte sbilanciamento tra classi, scarsità di campioni per le minacce emergenti e rapido semantic drift delle tecniche di attacco.
In questo contesto, la presente tesi propone un framework di Continual Learning per la classificazione incrementale di log EDR in scenari reali di cybersecurity. L’architettura adotta una pipeline ibrida che combina Feature Hashing per la rappresentazione degli attributi sparsi e il modello SecBERT per l’estrazione della componente semantica. L’adattamento a nuovi task, spesso in regime Few-Shot, è affidato a una modellazione topologica dello spazio latente basata su ancore Neural Gas. Per mitigare la saturazione della memoria indotta dagli eventi di routine, viene inoltre introdotto il Balanced
O2S Dark Buffer, un modulo che disaccoppia l’espulsione tramite Soft Quota dal campionamento Inverse Frequency Sampling, integrando al contempo una regolarizzazione di tipo Dark Experience Replay.
La validazione sperimentale, condotta su telemetrie aziendali reali acquisite nell’arco di dieci mesi, evidenzia buone prestazioni in termini di efficacia e robustezza. Il modello mostra una buona capacità di bilanciamento tra plasticità e stabilità, riducendo il tasso di False Negative sulle classi minoritarie e dimostrando capacità di generalizzazione nell’identificazione di varianti di attacco inedite. I risultati confermano che l’integrazione tra rappresentazioni semantiche profonde, modellazione topologica e gestione bilanciata della memoria costituisce un approccio efficace per lo sviluppo di sistemi di rilevamento più adattivi, resilienti e compatibili con i vincoli operativi dei SOC enterprise.
Tipologia del documento
Tesi di laurea
(Laurea magistrale)
Autore della tesi
Di Ubaldo, Lorenzo
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Indirizzo
CURRICULUM INGEGNERIA INFORMATICA
Ordinamento Cds
DM270
Parole chiave
Class-Incremental Learning, Continual Learning, Cybersecurity, Endpoint Detection Response, Few-Shot Learning, Catastrophic Forgetting, Security Operations Center, Machine Learning
Data di discussione della Tesi
26 Marzo 2026
URI
Altri metadati
Tipologia del documento
Tesi di laurea
(NON SPECIFICATO)
Autore della tesi
Di Ubaldo, Lorenzo
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Indirizzo
CURRICULUM INGEGNERIA INFORMATICA
Ordinamento Cds
DM270
Parole chiave
Class-Incremental Learning, Continual Learning, Cybersecurity, Endpoint Detection Response, Few-Shot Learning, Catastrophic Forgetting, Security Operations Center, Machine Learning
Data di discussione della Tesi
26 Marzo 2026
URI
Gestione del documento:
Login![[thumbnail of Thesis]](https://amslaurea.unibo.it/style/images/fileicons/application_pdf.png)
