Detekce anomálií v síťovém provozu na základě pozorování

Abstract

Tato bakalářská práce se zabývá detekcí anomálií v síťovém provozu, která je zásadní pro odhalování nových bezpečnostních hrozeb v moderních počítačových sítích. Cílem práce je navrhnout, implementovat a experimentálně vyhodnotit metodu detekce anomálií na základě chování jednotlivých IP adres, s využitím reálných dat ze sítě CESNET3. Řešení využívá algoritmus Isolation Forest v kombinaci s novou metodou předzpracování dat ve formě agregace top-x unikátních záznamů. Výsledky ukazují, že navržený přístup spolehlivě identifikuje různé typy anomálií, včetně síťových skenů, a na testovací sadě dosahuje Precision 100 %. Ačkoli je této vysoké Precision dosaženo na úkor nižší hodnoty Recall, nízký výskyt falešně pozitivních výsledků umožňuje analytikům zaměřit se na nejvýznamnější incidenty. Navržená metoda je využitelná pro zvyšování úrovně kybernetické bezpečnosti v reálných scénářích.

This bachelor thesis focuses on anomaly detection in network traffic, which is crucial for detecting new security threats in modern computer networks. The objective of this thesis is is to design, implement, and experimentally evaluate an anomaly detection method based on the behavior of individual IP addresses, using real-world data from the CESNET3 network. The solution utilizes the Isolation Forest algorithm in combination with a novel approach of preprocessing data based on the aggregation of top-x unique records. The results show that the proposed approach reliably identifies various types of anomalies, including network scans, and achieves 100% precision on the test dataset. Although this high precision is achieved at the expense of a lower recall value, the low occurrence of false positives allows analysts to focus on the most significant incidents. The proposed method is applicable for enhancing cybersecurity in real-world scenarios.