Kolaborativní strojové učení v kontextu síťové bezpečnosti

Abstract

Metody strojového učení se již dlouhou dobu používají v oblastech monitorování a zabezpečení počítačových sítí kvůli jejich schopnosti analyzovat a klasifikovat velké množství dat. Pokrok v rychlosti a propustnosti počítačových sítí však ztěžuje vytváření a správu datových sad v distribuovaném prostředí kvůli jejich velikosti. Kromě toho, sdílení datových sad obsahujících zachycený síťový provoz uživatelů sítě představuje bezpečnostní problémy týkající se uživatelského soukromí. V této oblasti se tedy zkoumají metody kolaborativního strojového učení. Stávající řešení pro implementaci kolaborativního strojového učení jsou však buď nástroje pro ověření konceptu, nebo produkční nástroje a překlenutí této mezery se věnuje jen velmi málo pozornosti. Tato práce představuje nový nástroj pro kolaborativní strojové učení nazvaný FERDINAND, který tuto mezeru překlenuje tím, že se zaměřuje na průběžné aktualizace modelů, rozšiřitelnost a snadnou konfiguraci. Tento framework byl vyvinut v úzké spolupráci s výzkumným týmem sdružení CESNET zaměřeným na monitorování a bezpečnost sítí a je implementován jako produkční nástroj, který lze nasadit na backendovou infrastrukturu sdružení CESNET. Tato práce dále zkoumá životaschopnost použití rámce FERDINAND v kontextu monitorování sítě zkoumáním jeho aplikace na nejmodernější metody detekce škodlivých zařízení či detekci protokolu DNS přes HTTPS. Nakonec jsou prozkoumány budoucí směry vývoje nástroje.Machine learning methods have long been applied to the areas of network monitoring and security due to their ability to analyze and classify data at a rapid rate. However, the advancement in computer network speeds and throughput makes creating and managing datasets in a distributed setting more difficult due to their size. Furthermore, sharing such datasets containing captured network traffic of the network’s users presents a grave privacy concern. Thus, methods of collaborative machine learning are being explored in this domain. However, the existing solutions to implementing collaborative machine learning are either proof-of-concept tools or production frameworks, and very little focus is given to bridging this gap. This thesis presents a new framework for collaborative machine learning called FERDINAND, which bridges this gap by focusing on on-the-fly model updates, extensibility, and easy configuration. This framework was developed in close cooperation with the CESNET research team focusing on network monitoring and security, and is implemented to be a viable production-grade tool that can be deployed on the backend infrastructure of CESNET. This work further explores the viability of using the FERDINAND framework within the context of network monitoring by applying it to state-of-the-art methods for the detection of malicious devices or the classification of DNS over HTTPS traffic. Lastly, future development directions for the framework are explored.