Tiedonlouhinnan ja koneoppimisen menetelmät verkkohyökkäysten havaitsemisessa

Abstract

Tietokoneverkoissa toimivat hyökkääjät yrittävät jatkuvasti ohittaa käytössä olevia turvajärjestelmiä, ja pyrkivät kehittämään uusia tapoja kohteidensa vahingoittamiseen. Näitä hyökkäyksiä voidaan havaita tunkeilijan havaitsemisjärjestelmällä (engl. intrusion detection system eli IDS). Yleisesti käytettyjen väärinkäytöspohjaisten menetelmien lisäksi hyökkäyksiä voidaan havaita anomaliapohjaisilla eli tiedonlouhinnan ja koneoppimisen menetelmillä. Nämä menetelmät kykenevät teoriassa havaitsemaan myös aiemmin tuntemattomat hyökkäykset. Tiedonlouhinnan ja koneoppisen menetelmien hyödyntäminen IDS-järjestelmissä on laajalti tutkittu alue, mutta useat ongelmat ovat vielä vailla ratkaisua. Tässä tutkielmassa esitellään alan taustoja, menetelmiä ja ongelmia. Lopuksi tarkastellaan ja vertaillaan k-means-klusterointia, tukivektorikonetta ja keinotekoisia neuroverkkoja käytännössä. Käytännön osiossa hyödynnetään vuonna 2015 julkaistua synteettistä UNSW-NB15-verkkodataa. Tutkielman tulokset vahvistavat käsitystä, jonka mukaan yksittäinen menetelmä ei voi tehokkaasti löytää kaikkien ryhmien verkkohyökkäyksiä. Parhaimmat tulokset saavutetaankin erilaisten menetelmien tehokkaalla yhdistämisellä.

Attackers in computer networks are constantly trying to bypass existing network security systems and developing new ways to harm their targets. An intrusion detection system (IDS) can be used to detect these attacks. In addition to commonly used signature-based detection it is also possible to implement anomaly-based methods of data mining and machine learning to detect the attacks. In theory, these methods should be able to detect also previously unknown attacks. The field of anomaly-based detection has been widely studied, but some problems remain unsolved. This thesis discusses the background, methods and problems present in the field of study. It also examines and compares $k$-means clustering, support vector machine and artificial neural networks empirically. The methods are implemented with an aim to find the malicious traffic from a public UNSW-NB15 dataset released in 2015. The thesis confirms that a single anomaly-based method is not able to detect all types of network attacks reliably. An ideal solution for intrusion detection would be to efficiently combine several different detection methods.