Riassunto analitico
I moderni sistemi di Intrusion Detection integrano qualche algoritmo di Machine Learning per lo svolgimento delle loro attività. Le tradizionali tecniche proposte in letteratura utilizzano perlopiù classificatori “statici” per riconoscere pattern di attacco all’interno del traffico di rete. Gli approcci più moderni propongono invece di non limitarsi a considerare le sole feature del traffico, bensì di sviluppare classificatori basati su Graph Neural Network, in grado di rappresentare la topologia delle rete da proteggere mediante un grafo, riconoscendo le relazioni presenti tra i singoli flussi appartenenti al traffico di rete.
L’attività di questa Tesi verte intorno allo studio e alla re-implementazione di questi modelli in scenari di deployment realistici. I modelli proposti in letteratura presentano infatti problematiche che non li rendono applicabili alla realtà. Sebbene con questi si ottengano risultati promettenti, la loro implementazione segue ancora un approccio tradizionale per quanto riguarda l’allenamento e la validazione, tipico dei classificatori statici. Essi vengono testati su grafi di rete che corrispondono al traffico catturato nell’arco di diverse ore, quando oggigiorno sono preferibili classificazioni “immediate”, per permettere delle contromisure quanto più rapide possibili.
L’obiettivo dell’elaborato è dunque quello di provare a risolvere tali problematiche, valutando l’efficacia di un NIDS basato su GNN quando il range temporale per ottenere le classificazione è ridotto.
|