hrvatski

Detekcija anomalija mrežnoga prometa temeljena na značajkama prometa i klasnoj pripadnosti uređaja

Cilj zaštite informacijsko-komunikacijskog (IK) sustava podrazumijeva postizanje i održavanje zahtijevane razine osnovnih načela sigurnosti. Osnovna načela sigurnosti predstavljena su CIA (engl. confidentiality, integrity, availability) modelom koji obuhvaća cjelovitost, povjerljivost i dostupnost IK resursa. Jedan od čimbenika koji negativno utječu na načelo dostupnosti, a čiji trend je u kontinuiranom porastu posljednjih deset godina, mrežno je orijentirani distribuirani napad uskraćivanja usluge (engl. Distributed Denial of Service, DDoS), odnosno DDoS promet kao sredstvo provođenja napada. DDoS promet kao produkt DDoS napada predstavlja anomaliju u mrežnom prometu. Pojavom koncepta internet stvari (engl. Internet of Things, IoT) kao novog pravca tehnološkog razvoja i nove komunikacijske paradigme koja objedinjuje milijarde novih uređaja povezanih na internetsku mrežu, stvara se novi prostor sigurnosnih ranjivosti koje je moguće iskoristiti za neovlaštene i maliciozne aktivnosti. Predmet istraživanja u okviru ovog doktorskog rada je karakterističnost prometa generiranog IoT uređajima u okruženju pametnog doma kao osnove za detekciju anomalija koje nastaju kao rezultat provedbe DDoS napada. Ovim doktorskim radom prikazano je definiranje klasa unutar kojih je moguće dodijeliti IoT uređaje u okruženju pametnog doma. Klase se temelje na koeficijentu varijacije odnosa primljenog i poslanog prometa pojedinog uređaja. Jednako tako prikazan je i razvoj višeklasnog klasifikacijskog modela temeljen na boosoting metodi strojnog učenja koji uz visoku točnost (99, 79 %) može klasificirati uređaje po osnovi karakteristika generiranog prometnog toka koristeći 13 značajki. Klasifikacijski model pruža mogućnost stvaranja profila legitimnog prometa pojedine klase uređaja nužnog u razvoju klasifikacijskog modela koji će omogućiti detekciju anomalija mrežnoga prometa. Radom je prikazan i razvoj modela detekcije anomalija mrežnoga prometa temeljenog na značajkama prometa i klasnoj pripadnosti uređaja. Model je razvijen uz korištenje metode logističkih stabala odluke pri čemu se za svaku klasu uređaja primjenjuje drugačija inačica modela koja se razlikuje u broju korištenih značajki i graničnim vrijednostima grananja stabla odluke. Prema rezultatima, visoka je točnost modela za sve četiri klase uređaja, od 99, 92 % do 99, 99 %. Navedeni pristup detekciji anomalija mrežnoga prometa predstavlja iskorak u istraživanju ovog problemskog područja jer se po prvi put koriste klase uređaja u svrhu detekcije DDoS prometa. Razvijeni model ima potencijal prepoznati do sada neviđene uređaje te ih dodijeliti pripadajućoj klasi za koju je poznat profil legitimnog prometa pri čemu postoji učinkovit model koji može prepoznati anomalije na temelju vrijednosti značajki prometnog toka koji takav uređaj generira.

DDoS ; klase uređaja ; značajke prometnog toka ; strojno učenje ; boosting

nije evidentirano