Bachelor's Thesis

Anomaly Recognition in Advanced Detection Systems

Final Thesis 2.53 MB

Author of thesis: Ing. Vasil Poposki

Acad. year: 2022/2023

Supervisor: Mgr. Ing. Pavel Očenášek, Ph.D.

Reviewer: doc. Ing. Ivan Homoliak, Ph.D.

Abstract:

The objective of this work is to implement an anomaly detection system using artificial intelligence techniques that can detect anomalies by learning the system behavior. The proposed approach is effective in identifying novel or unknown anomalies that traditional rule-based methods may miss in network traffic data. However, the implementation of such a system involves addressing challenges such as data processing and feature extraction. This
work discusses different methods of data analysis and intrusion detection approaches in Extended Detection and Response systems and the challenges we face in today’s expanding security technologies.

Keywords:

anomaly, detection, prevention, XDR, IDS, networks, endpoints, neural networks

Date of defence

13.06.2023

Result of the defence

Defended (thesis was successfully defended)

znamkaDznamka

Grading

D

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm D.

Topics for thesis defence

  1. Akým spôsobom je možné využiť výstupy Vášho prístupu v praxi?
  2. Aké sú možnosti rozšírenia Vašej práce? 
  3. K čemu potřebujete Elasticsearch? Proč nepožíváte rovno data ze systému Suricata?
  4. Jak rozeznáte anomálie?
  5. Je v doméně počítačovch sítí náročné rozlišit anomálie od běžného provozu?

Language of thesis

English

Faculty

Fakulta informačních technologií

Department

Department of Information Systems

Study programme

Information Technology (BIT)

Composition of Committee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda)
doc. Ing. Vladimír Drábek, CSc. (člen)
Ing. Bohuslav Křena, Ph.D. (člen)
doc. Ing. Vítězslav Beran, Ph.D. (člen)
Dr. Ing. Petr Peringer (člen)

Supervisor’s report
Mgr. Ing. Pavel Očenášek, Ph.D.

Vzhledem k lehce nadprůměrnému přístupu studenta a realizaci prakticky využitelného projektu navrhuji hodnocení stupněm B.

Evaluation criteria Verbal classification
Informace k zadání

Zadání bylo středně náročné a zahrnovalo implementaci bezpečnostního systému v prostředí systémů rozšířené detekce (eXtended Detection and Response), respektive systémů detekce průniku jak na síti, tak na koncových bodech.. Zadání bylo splněno.
Práce s literaturou

Student si literaturu vyhledával především samostatně, při práci s literaturou byl aktivní.
Aktivita během řešení, konzultace, komunikace

Student byl při řešení přůměrně aktivní, konzultace byly relativně pravidelné. Na konzultacích byl student aktivní a vždy dobře připraven.
Aktivita při dokončování

Student dokončil práci na poslední chvíli a nebyl tak dostatečný čas na to, aby byly reflektovány všechny připomínky vedoucího práce.
Publikační činnost, ocenění

Práce je koncipována jako open-source řešení, které je prakticky využitelné.
Points proposed by supervisor: 83

Grade proposed by supervisor: B

Reviewer’s report
doc. Ing. Ivan Homoliak, Ph.D.

Prácu hodnotím stupňom C (dobre), keďže študent vytvoril kvalitný realizačný výstup ale k technickej správe mám výhrady, hlavne je to minimálny rozsah, chýbajúci záver a minimálne diskutovanie získaných výsledkov a ďalších rozšírení.


 


Otázky k obhajobe:


1. Akým spôsobom je možné využiť výstupy Vášho prístupu v praxi?


2. Aké sú možnosti rozšírenia Vašej práce?

Evaluation criteria Verbal classification Points
Náročnost zadání

Evaluation level: obtížnější zadání

Úlohou bolo analyzovať sieťovú prevádzku a implementovať systém na detekciu v prostředí systémov rozšířené detekcie (eXtended Detection and Response), respektíve systémov detekcie prienikov ako na sieti, tak aj na koncových bodoch. Zadanie bolo skôr náročnejšie.
Rozsah splnění požadavků zadání

Evaluation level: student se odůvodněně odchýlil od zadání s drobnými výhradami

Zadanie bolo splnené vo všetkých bodoch,  aj keď je treba povedať, že posledný bod bol splnený len v minimálnej forme.
Rozsah technické zprávy

Evaluation level: splňuje pouze minimální požadavky

Práca obsahuje 34 vysadených strán (vrátane príloh) a samotný text bez obrázkov predstavuje 44 normostrán. Po započítaní obrázkov má práca o niečo viacej ako je minimálny rozsah.
Prezentační úroveň technické zprávy

Prezentačná úroveň práce je dobrá, kapitoly sú pre čitateľov zrozumiteľné a logicky na seba nadväzujú, ale práca neobsahuje záver.

 

Mám niekoľko ďalších poznámok. V úvode chýbajú odkazy na jednotlivé kapitoly a organizácia práce. Kapitola 3 má len 2 strany.

 70
Formální úprava technické zprávy

Po formálnej a typografickej stránke má práca nadpriemernú úroveň, čomu prispela aj vhodná voľba vysádzacieho systému. Niektoré obrázky a tabuľky nie sú typograficky správne zarovnané.

Práca je písaná anglicky a je dobre zrozumiteľná. Jazyková stránka práce je veľmi dobrá.

 80
Práce s literaturou

Práca obsahuje 22 zdrojov, z ktorých veľké množstvo je dostupných online. Študent čerpal z odborných konferenčných a časopisových článkov. Výber literatúry považujem za vhodný a zodpovedajúci.

 80
Realizační výstup

V rámci práce študent navrhol a implementoval systém podľa požiadaviek, vykonal množstvo experimentov. Práca obsahuje prakticky použiteľné algoritmy, realizačný výstup má kvalitnú úroveň.

 85
Využitelnost výsledků

Výsledky práce sú využiteľné v praxi a na prácu je možné nadviazať pri realizácii podobných systémov.
Points proposed by reviewer: 70

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová