Praktyczna implementacja sztucznej inteligencji w cyberbezpieczeństwie, One-Class SVM do wykrywania anomalii w ruchu sieciowym

Abstrakt

W artykule szczegółowo omówiono implementację One-Class SVM w języku Python wraz z przykładami kodu i przykładowym fragmentem pliku CSV, w którym zapisano parametry dotyczące przepływów sieciowych (takie jak czas trwania, liczba pakietów, rozmiary pakietów). Jest to kontynuuacja artykułu Theoretical Considerations on Artificial Intelligence and Cybersecurity, One-Class SVM for Anomaly Detection in Network Traffic. Autorzy zwracają uwagę na konieczność usunięcia kolumny etykiet (label) podczas treningu, ponieważ One-Class SVM przystosowany jest do identyfikowania nietypowych obserwacji, bazując wyłącznie na zbiorze zachowań normalnych. W tekście opisano podstawowe etapy pracy z modelem: wczytanie danych, podział na zbiór treningowy i testowy, skalowanie, inicjalizację modelu oraz ewaluację wyników z wykorzystaniem miar typu Precision, Recall czy F1-score. Zwrócono uwagę, że ocena jakości modelu w warunkach laboratoryjnych może być myląca, jeśli dysponuje się jedynie niewielką liczbą próbek. Omówiono także zagadnienie dostrajania hiperparametrów (nu, gamma) i opisano możliwe rozszerzenia obejmujące łączenie One-Class SVM z innymi algorytmami, integrację z systemami SIEM czy wprowadzenie przetwarzania strumieniowego w czasie rzeczywistym.