Tankiu grįstų metodų taikymas anomalijoms kompiuterių tinklo paketų srautuose aptikti

Abstract

Baigiamojo darbo tikslas – parinkti tankiu grįstą metodą, tinkamą anomalijoms kompiuterių tinklo srautuose aptikti ir jį ištirti. Darbe išnagrinėti kompiuterių srauto anomalijų tipai ir jų atsiradimo priežastys. Išanalizuoti tankiu grįsti anomalijų aptikimo metodai, kurie pagrįsti artimiausiųjų kaimynų metodu (k-NN). Pasiūlyti ir aprašyti pradiniai ir išvestiniai požymiai, kurie naudojami tinklo paketų srauto anomalijoms aptikti. Sukurta tinklo paketų srautų registravimo sistema, kuri naudojama normalaus ir anomalinio kompiuterio tinklo srautams registruoti. Surinkti ir išanalizuoti tyrimui reikalingi tinklo paketų srautai. Parinktas vietinių išskirčių faktoriaus (LOF) metodas. Sukurta programinė įranga, kuri aptinka anomalius kompiuterių tinklo paketų srautus. Nustatyta, nuo kokių požymių ir LOF metodo parametrų priklauso anomalijų aptikimas. Gautiems rezultatams įvertinti buvo naudojamos efektyvumo vertinimo metrikos: tikslumas, atkuriamumas, F-matas ir algoritmo tikslumas. Darbo apimtis – 74 p. teksto be priedų, 51 iliustracija, 7 lent., 25 bibliografiniai šaltiniai.

The purpose of the thesis is to select a density-based method suitable for anomaly detection and investigate the selected method to detect malicious activity in computer network flow. The paper examines the types of computer flow anomalies and the causes of their occurrence; analyses density-based methods for anomaly detection those are based on k-nearest neighbors method (k-NN); depicts and suggests attributes which are used to find network packet flow anomalies. In order to register normal and anomalous computer network flows, a network packet flow registration system has been created. The network flows needed for the research have been collected and analysed. The local outlier factor (LOF) has been suggested, based on which the software has been created. Software that detects anomalous network flow has been created. The characteristics and LOF method's parameters on which the anomaly detection is based have been determined. In order to evaluate the results the efficiency evaluation criteria have been used: Precision, Recall, F-measure and Accuracy. Thesis consist of: 74 p. text without appendixes, 51 pictures, 7 tables, 25 bibliographical entries.