Αποδοτική Ανίχνευση Δικτυακών Απειλών σε Κρυπτογραφημένη Κίνηση με Πιθανοτικές Δομές Δεδομένων και Αλγορίθμους Μηχανικής Μάθησης

Abstract

Η παρούσα εργασία έχει σκοπό την αξιολόγηση της χρήσης πιθανοτικών δομών δεδομένων στην ανίχνευση κακόβουλης κρυπτογραφημένης δικτυακής κίνησης σε πραγματικό χρόνο. Για την επίτευξη του στόχου δημιουργήθηκαν δύο προγραμματιστικές υλοποιήσεις, μία που αξιοποιεί ορισμένες πιθανοτικές δομές και μία αμιγώς ντετερμινιστική. Χρησιμοποιήθηκε dataset που περιλαμβάνει καταγραφές με ποικιλία σχετικής κίνησης, κακόβουλης και καλόβουλης. Από τα κρυπτογραφημένα πακέτα εξάγονται ορισμένα χαρακτηριστικά (μήκος πακέτου, χρόνος, κατεύθυνση), τα οποία ομαδοποιούνται ανά ροή πακέτων, και υπολογίζονται με βάση αυτά συγκεκριμένες στατιστικές ιδιότητες. Στην πιθανοτική υλοποίηση αξιοποιούνται για την αποθήκευση των δεδομένων οι κατάλληλες πιθανοτικές δομές, συγκεκριμένα T-Digest, Top-K και Count Min Sketch. Οι δομές αυτές είναι κατάλληλες για αποθήκευση δεδομένων ροής, απαιτούν σταθερή μνήμη ανεξάρτητη από τον όγκο δεδομένων, και οι χρόνοι εισαγωγής ενός στοιχείου και εξαγωγή μίας μέτρησης από αυτές γίνονται σε σταθερό χρόνο. Κάθε δομή προσφέρει κάποιο από τα απαιτούμενα στατιστικά. Στην ντετερμινιστική υλοποίηση τα χαρακτηριστικά που εξάγονται από τα πακέτα αποθηκεύονται αυτούσια σε λίστες, και τα στατιστικά εξάγονται από αυτές με τη χρήση κλασσικών μαθηματικών συναρτήσεων. Τα στατιστικά που προκύπτουν για κάθε ροή πακέτων οδηγούνται στο στάδιο πρόβλεψης, όπου κάθε ροή κρίνεται είτε κακόβουλη είτε καλόβουλη. Η πρόβλεψη γίνεται από μοντέλα μηχανικής μάθησης, που έχουν εκπαιδευτεί εκ των προτέρων χρησιμοποιώντας ένα υποσύνολο των ροών πακέτων από τις καταγραφές του dataset. Η αξιολόγηση γίνεται με σύγκριση των δύο υλοποιήσεων ως προς τους τομείς ακρίβειας προβλέψεων, χρησιμοποίησης μνήμης και ρυθμού επεξεργασίας.