A kutatási témám alap ötlete az, hogy hálózaton mozgó IP csomagokból mesterséges intelligencia segítségével próbáljam meghatározni az egyes csomagokról, hogy azok anomáliák vagy a normális folyam része. A különféle támadások közül a túlterheléses támadással (DDoS) foglalkoztam. A network traffic flow témakör megismerése után a 5-tuple segítségével meghatároztam egy folyam definícióját. Ezek után anomáliákat vizsgáltam, melyekre a sokféle definíció létezik, az egyik legáltalánosabb, hogy az anomáliák olyan mintázatok az adatokban, amelyek nem felelnek meg a normális viselkedés jól meghatározott fogalmának. Ennek az eltérésnek a mértékét az anomália pontszámmal lehet mérni, mely az anomália erősségét vagy valószínűségét jelzi. Itt egy port scan támadást tüzetesebben is megvizsgáltam. Ezt követően betanítottam és visszamértem egy felügyelt gépi tanulást alkalmazó modellt, melyet egy generált hálózati forgalmon futtattam. A modell elemzése és a paraméterek finomhangolása után a felügyelt gépi tanulást felügyelet nélkülire cseréltem. Ezáltal bár romlott pár százalékot az eredményem, a romlás mértéke mégis elenyésző amellett a hatalmas pozitívum mellett, hogy ekkor nem kell a tanításhoz címkézett adathalmazt használni. A félévem során sok mindent tanultam a hálózati adatfolyamokról, esetleges támadás esetén a bennük található elváltozásokról. Érdekes volt megismerni a kétféle gépi tanulás közötti különbségeket, illetve megfigyelni, hogy hogyan változnak az eredmények egyes paraméterek megváltoztatása után.
Burányi Dániel Bence
2022-05-30
Támogató: Quadron