Comparazione tra gli algoritmi di rivelazione delle anomalie di rete su Elasticsearch

This thesis addresses the issue of anomaly detection in network security, with a particular focus on statistical-based models. The primary objective of this work was to develop an efficient anomaly de- tection system integrated with ElasticSearch to identify network anomalies in real-time. The research explores various anomaly detection techniques, including classification-based algorithms, statistical models, clustering models and proximity-based approaches, with a specific focus on the ARIMA model. The methodology involves the analysis of time-series data to forecast network behavior and detect deviations from expected patterns. The results demonstrate that statistical models, particularly ARIMA, offer a robust alternative to classification-based methods, providing reliable detection with fewer parameter dependencies. Finally, the thesis presents the implementation of the algorithm for the company, using a custom input data created in ElasticSearch to monitor network flow anomalies in real-time.

Questa tesi affronta il problema della rilevazione di anomalie nella sicurezza delle reti, con particolare attenzione ai modelli basati su metodi statistici. L’obiettivo principale di questo lavoro e` stato svilup- pare un sistema di rilevazione delle anomalie efficiente, integrato con ElasticSearch, per identificare le anomalie nelle reti in tempo reale. La ricerca esplora varie tecniche di rilevazione delle anomalie, inclusi algoritmi basati sulla classificazione, modelli statistici e approcci di clustering e di modelli di prossimita`, con un focus particolare sul modello ARIMA. La metodologia impiegata prevede l’analisi dei dati di serie temporali per prevedere il comportamento della rete e rilevare deviazioni dai modelli attesi. I risultati dimostrano che i modelli statistici, in particolare ARIMA, offrono un’alternativa robusta ai metodi basati sulla classificazione, garantendo una rilevazione affidabile con minori dipen- denze dai parametri. Infine, la tesi presenta l’implementazione dell’algoritmo per l’azienda, utiliz- zando un dato di input creato ad hoc in ElasticSearch per monitorare le anomalie nei flussi di rete in tempo reale.