dr Slavko Gajin
Detekcija anomalija u strukturi mrežnog saobraćaja

U izlaganju se predstavljaju rezultati istraživanja,
razvoja i implementacije sistema za detekciju anomalija
u strukturi mrežnog saobraćaja. Imajući u vidu nove
vrste napada (eng. zero day attacks) i sve veće korišćenje
šifrovanog mrežnog saobraćaja, metode detekcija anomalija
pokazuju značajne prednosti u odnosu na tradicionalno
korišćene metode inspekcije paketa zasnovane na potpisu
(eng. signature-based detection). Razvijena metoda je
zasnovana samo na osnovnom skupu atributa o mrežnim
komunikacijama prikupljenih posredstvom NetFlow protokola,
što je čini veoma pogodnom za praktičnu primenu u realnom
vremenu. Iako ove osnovne informacije nisu dovoljne za
 primenu tehnika mašinskog učenja, njihovom agregacijom
se dobijaju dodatni atributi koji su efikasni za primenu
tehnika detekcije anomalija zasnovanih na entropiji.
Dodatnom multivarijantnom analizom se osim detekcije
anomalija omogućava i klasifikacija uočenih komunikacionih
obrazaca. Uz prezentaciju najvažnijih elemenata primenjene
metodologije, prikazana je modularna arhitektura realizovanog
sistema i rezultati primene u realnom vremenu nad stvarnim
saobraćajem u univerzitetskoj mreži.