Strojové učení z dat systémů pro detekci síťového průniku

Abstract

Aktuální stav nástrojů pro detekci síťového průniku je nedostačující, protože tyto nástroje často fungují na základě statických pravidel a nevyužívají potenciál umělé inteligence. Cílem této práce je rozšířit open-source nástroj Snort o schopnost detekovat škodlivý síťový provoz pomocí strojového učení. Pro dosažení kvalitního klasifikátoru byly zvoleny užitečné příznaky síťového toku, které byly získány z výstupních dat aplikace Snort. Následně byly tyto toky obohaceny a označeny odpovídajícími událostmi. Experimenty vykazují velmi dobré výsledky nejenom při klasifikaci na testovacích datech, ale také v rychlosti zpracování. Z~navrženého přístupu a samotných experimentů vyplývá, že tento nový přístup by mohl vykazovat dobrou úspěšnost i při práci s reálnými daty.The current state of intrusion detection tools is insufficient because they often operate based on static rules and fail to leverage the potential of artificial intelligence. The aim of this work is to enhance the open-source tool Snort with the capability to detect malicious network traffic using machine learning. To achieve a robust classifier, useful features of network traffic were choosed, extracted from the output data of the Snort application. Subsequently, these traffic features were enriched and labeled with corresponding events. Experiments demonstrate excellent results not only in classification accuracy on test data but also in processing speed. The proposed approach and the conducted experiments indicate that this new method could exhibit promising performance even when dealing with real-world data.