Intrusion Detection in IT Infrastructures using Hidden Markov Models
| Autor: | Liu, Christopher, Al-Haddad, Sabrina |
|---|---|
| Jazyk: | angličtina |
| Rok vydání: | 2023 |
| Předmět: | |
| Druh dokumentu: | Text |
| Popis: | In the past decades, cloud based services have developed rapidly. And as a result, cybercrimehas increased in sophistication as well as frequency. It therefore becomes vital to have solidprotection against such attacks, especially for infrastructures containing sensitive information. Inthis project we aim to study Hidden Markov Models (HMM) in an intrusion detection use case,both to detect malicious activity among the regular client traffic as well as differentiatingbetween specific attack stages. In the first part of the project we compared the accuracy of asupervised and unsupervised HMM when predicting the start of an intrusion attempt. LongShort-Term Memory (LSTM) Neural Networks as well as Random Forest Classifier (RFC) wereused as baseline comparisons. The second part of the project instead focused on decoding andpredicting different attack stages. Both supervised and unsupervised HMMs were trained. Thebaseline used in the second part was LSTM. The observed results indicated that supervisedHMM managed to both score higher on average as well as show greater consistency. This wasconcluded to be due to the supervised method utilising more information. Additionally, the lackof consistency in the unsupervised HMM is believed to be a result of the Baum-Welch algorithmsometimes converging to a local maximum instead of a global maximum when training themodel. From the results we conclude that HMMs display promising results in the intrusiondetection use case. Under de senaste årtionden har tjänster över internet vuxit mycket snabbt, vilket även har lett tillbåde fler och bättre utrustade cyberattacker. Därav blir det allt viktigare att ha goda sätt attdetektera attacker. I denna studie undersöker vi användningen av Dolda Markov Modeller(HMM) som ett detekteringssystem som ska kunna både detektera attacker samt förutspåframtida anfallsstadier. I första delen av undersökningen skapades två HMM där ena tränadesövervakad och den andra oövervakad. Modellernas precision för att detektera attacker mättesoch jämfördes. Utöver detta implementerades problemet med hjälp av Långt Korttidsminne(LSTM) samt Slumpmässiga Beslutsträd (RFC), vilket användes som jämförelse till våra HMM. Iandra delen av projektet konstruerades återigen två HMM som skulle dels kunna avkoda ensekvens av anfallsstadier samtidigt som de skulle kunna förutspå nästa anfallsstadie. Frånresultatet kan det observeras att övervakad HMM både hade bättre prestanda och var mindrepåverkad av slumpmässiga faktorer såsom dataindelningen mellan träning och provning. Kandidatexjobb i elektroteknik 2023, KTH, Stockholm |
| Databáze: | Networked Digital Library of Theses & Dissertations |
| Externí odkaz: |
|