Change search
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Machine Learning in Defensive IT Security: Early Detection of Novel Threats
KTH, School of Electrical Engineering and Computer Science (EECS).
2019 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE creditsStudent thesis
Abstract [en]

The rapid development of technology leads to a rise in cybercrime, hence cybersecurityis of unprecedented significance, especially for businesses. Defensiveand forensic IT security is a rather niche field in IT security but it issurely going to grow. It focuses on preventing attacks by good design standardsand the education of persons. The typical reaction time of a computerattack currently lies in the order of hours, due to the reason that this field stillrelies on intensive manual work of skilled experts. In this thesis, we combineddefensive IT security with the most flourishing field in the present time: ArtificialIntelligence and Machine Learning. We investigate the possibility ofusing Machine Learning for filtering out the obvious normal data and focusingthe attention of the experts onto important things where experience reallymatters. The nature of this problem is anomaly detection, therefore, we selectand test several algorithms which perform well in detecting anomalies, includingTerm Frequency-Inverse Document Frequency, K-Means, K-NearestNeighbours, Isolation Forest, and Autoencoders, and apply them on the Http(KDDCUP99) dataset and our own network connection dataset collected usingCarbon Black Response. Carbon Black Response is an industry-leadingincident response and threat hunting solution. The results show that IsolationForest and K-Nearest Neighbours are the best traditional Machine Learningmethods for the two datasets respectively, meanwhile, as a deep learningmethod, Autoencoders did quite well in differentiating normal and maliciousevents for both datasets.

Abstract [sv]

Den snabba och ständigt ökande teknologiska utvecklingen har lett till att enökning inom IT relaterade brott där företag och organisationer ofta blir drabbademed nästintill oförutsägbara konsekvenser. Defensiv IT-säkerhet och forensik,där fokus ligger på att upptäcka, stoppa och mitigera attacker genom olikatekniker, utbildning och design. Trots att organisationer idag ofta spenderarstora delar av sin budget på defensiv säkerhet så mäts ändå tiden det tar att agerapå attacker och intrång ofta minst i timmar då arbetet innebär stora mängdermanuellt arbete för områdets experter. Större angrepp kan ta veckor eller månaderatt utreda. I det här arbetet kombineras defensiv IT-säkerhet med någraav de mest omtalade områdena i dagsläget: Artificiell intelligens och maskininlärning.Vi undersöker möjligheten att använda dessa tekniker för att filtreraut det uppenbart normala datat och fokusera på det avvikande och vesentliga såatt områdets experter kan lägga tid där det verkligen behövs. Problemets kärnaligger i att kunna detektera avvikelser. Därav grundas arbetet i att utvärderaolika algoritmer för att upptäcka anomalier för att se hur dessa preseterar motvarandra. Vi kommer använda oss av tekniker som Term Frequency-InverseDocument Frequency, K-Means, K-Nearest Neighbours, Isolation Forest, ochAutoencoders mot två olika dataset. Det första datasetet är baserat på HTTPtrafik (KDDCUP99) medan det andra bygger på insamling av data från riktigaklienter via ett verktyg som heter Carbon Black Response som är ett ledandeverktyg för att utför storskaliga undersökningar och söka efter angripare. Resultatetav arbetet visar att Isolation Forest och K-Nearest Neighbours är förrespektive dataset men också att Autoencoders, som är en metod för Deep Learning,presterar goda resultat för att identifiera elakartade aktiviteter för bådadataseten.

Place, publisher, year, edition, pages
2019. , p. 49
Series
TRITA-EECS-EX ; 2019:706
National Category
Engineering and Technology
Identifiers
URN: urn:nbn:se:kth:diva-266122OAI: oai:DiVA.org:kth-266122DiVA, id: diva2:1381418
External cooperation
Venor AB
Educational program
Master of Science - Information and Network Engineering
Examiners
Available from: 2019-12-20 Created: 2019-12-20 Last updated: 2019-12-20Bibliographically approved

Open Access in DiVA

fulltext(2610 kB)40 downloads
File information
File name FULLTEXT01.pdfFile size 2610 kBChecksum SHA-512
ecc6e4c3892d005184efc6590a9ea416d44bf1aef4814763c0615714469a5585b6701a5233b6f3419cc81364ed71624cdb35c3e89123a27a4ee8312d34b1d713
Type fulltextMimetype application/pdf

By organisation
School of Electrical Engineering and Computer Science (EECS)
Engineering and Technology

Search outside of DiVA

GoogleGoogle Scholar
Total: 40 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 260 hits
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf