Endre søk
RefereraExporteraLink to record
Permanent link

Direct link
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annet format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annet språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf
Machine Learning in Defensive IT Security: Early Detection of Novel Threats
KTH, Skolan för elektroteknik och datavetenskap (EECS).
2019 (engelsk)Independent thesis Advanced level (degree of Master (Two Years)), 20 poäng / 30 hpOppgave
Abstract [en]

The rapid development of technology leads to a rise in cybercrime, hence cybersecurityis of unprecedented significance, especially for businesses. Defensiveand forensic IT security is a rather niche field in IT security but it issurely going to grow. It focuses on preventing attacks by good design standardsand the education of persons. The typical reaction time of a computerattack currently lies in the order of hours, due to the reason that this field stillrelies on intensive manual work of skilled experts. In this thesis, we combineddefensive IT security with the most flourishing field in the present time: ArtificialIntelligence and Machine Learning. We investigate the possibility ofusing Machine Learning for filtering out the obvious normal data and focusingthe attention of the experts onto important things where experience reallymatters. The nature of this problem is anomaly detection, therefore, we selectand test several algorithms which perform well in detecting anomalies, includingTerm Frequency-Inverse Document Frequency, K-Means, K-NearestNeighbours, Isolation Forest, and Autoencoders, and apply them on the Http(KDDCUP99) dataset and our own network connection dataset collected usingCarbon Black Response. Carbon Black Response is an industry-leadingincident response and threat hunting solution. The results show that IsolationForest and K-Nearest Neighbours are the best traditional Machine Learningmethods for the two datasets respectively, meanwhile, as a deep learningmethod, Autoencoders did quite well in differentiating normal and maliciousevents for both datasets.

Abstract [sv]

Den snabba och ständigt ökande teknologiska utvecklingen har lett till att enökning inom IT relaterade brott där företag och organisationer ofta blir drabbademed nästintill oförutsägbara konsekvenser. Defensiv IT-säkerhet och forensik,där fokus ligger på att upptäcka, stoppa och mitigera attacker genom olikatekniker, utbildning och design. Trots att organisationer idag ofta spenderarstora delar av sin budget på defensiv säkerhet så mäts ändå tiden det tar att agerapå attacker och intrång ofta minst i timmar då arbetet innebär stora mängdermanuellt arbete för områdets experter. Större angrepp kan ta veckor eller månaderatt utreda. I det här arbetet kombineras defensiv IT-säkerhet med någraav de mest omtalade områdena i dagsläget: Artificiell intelligens och maskininlärning.Vi undersöker möjligheten att använda dessa tekniker för att filtreraut det uppenbart normala datat och fokusera på det avvikande och vesentliga såatt områdets experter kan lägga tid där det verkligen behövs. Problemets kärnaligger i att kunna detektera avvikelser. Därav grundas arbetet i att utvärderaolika algoritmer för att upptäcka anomalier för att se hur dessa preseterar motvarandra. Vi kommer använda oss av tekniker som Term Frequency-InverseDocument Frequency, K-Means, K-Nearest Neighbours, Isolation Forest, ochAutoencoders mot två olika dataset. Det första datasetet är baserat på HTTPtrafik (KDDCUP99) medan det andra bygger på insamling av data från riktigaklienter via ett verktyg som heter Carbon Black Response som är ett ledandeverktyg för att utför storskaliga undersökningar och söka efter angripare. Resultatetav arbetet visar att Isolation Forest och K-Nearest Neighbours är förrespektive dataset men också att Autoencoders, som är en metod för Deep Learning,presterar goda resultat för att identifiera elakartade aktiviteter för bådadataseten.

sted, utgiver, år, opplag, sider
2019. , s. 49
Serie
TRITA-EECS-EX ; 2019:706
HSV kategori
Identifikatorer
URN: urn:nbn:se:kth:diva-266122OAI: oai:DiVA.org:kth-266122DiVA, id: diva2:1381418
Eksternt samarbeid
Venor AB
Utdanningsprogram
Master of Science - Information and Network Engineering
Examiner
Tilgjengelig fra: 2019-12-20 Laget: 2019-12-20 Sist oppdatert: 2019-12-20bibliografisk kontrollert

Open Access i DiVA

fulltext(2610 kB)40 nedlastinger
Filinformasjon
Fil FULLTEXT01.pdfFilstørrelse 2610 kBChecksum SHA-512
ecc6e4c3892d005184efc6590a9ea416d44bf1aef4814763c0615714469a5585b6701a5233b6f3419cc81364ed71624cdb35c3e89123a27a4ee8312d34b1d713
Type fulltextMimetype application/pdf

Av organisasjonen

Søk utenfor DiVA

GoogleGoogle Scholar
Totalt: 40 nedlastinger
Antall nedlastinger er summen av alle nedlastinger av alle fulltekster. Det kan for eksempel være tidligere versjoner som er ikke lenger tilgjengelige

urn-nbn

Altmetric

urn-nbn
Totalt: 260 treff
RefereraExporteraLink to record
Permanent link

Direct link
Referera
Referensformat
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Annet format
Fler format
Språk
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Annet språk
Fler språk
Utmatningsformat
  • html
  • text
  • asciidoc
  • rtf