Anomália detekció célja a normális viselkedéstől eltérő adatokat, az úgynevezett anomáliák detektálása a normális adatok között. Ehhez feltesszük, hogy az anomáliák azok olyan ritka események, amelyek tulajdonságai, statisztikai jellemzői nagyban jelentősen eltérnek a normális adatokétól. Az eljárást használják kiberbiztonságra, például kibertámadások észlelésére, használják orvoslásban, például tumor észlelésére egy képen. Az anomália detekció előnye, hogy eddig nem ismert nem normális események is felfedezhetőek, hátránya hogy az eddig nem ismert normális események is anomáliákként jellenek meg. Anomáliának számít például egy meghibásodott hálózati eszköz, egy szervezett kibertámadás, egy program hiba. Ezek az események a hálózatban forgalmat generálnak. A kutatásom célja ezeket a forgalmakat detektálni a hálózatban valós időben. A valós idejűség azt jelenti, hogy nem várjuk végig a forgalom lefolyását, ugyanis egy kibertámadás esetében, annak hatékony kezeléséhez, gyors detektálásra van szükség. De a valós idejűségnek ára van: Minél gyorsabban végezzük el a detekciót, annál kevesebb adat áll a rendelkezésünkre, ami által a detekció pontossága rosszabb lesz. Ezért fontos megtalálni az egyensúlyt a pontosság és a gyorsaság között. A beszámolómat a behatolást detektáló rendszerek és a kapcsolódó munkákkal ismertetésével kezdem, majd a felhasznált gépi tanulási algoritmust ismertetem az Isolation Forestet. Ezt követően ismertetem a megtervezett eljárást, az adathalmazt, amin a méréseket elvégeztem, majd végezetül pedig a mérési eredményeket ismertetem.
Józsa Richárd
2022-01-14
Támogató: Quadron Kibervédelmi Kft.