Koneoppimisen hyödyntäminen tietoverkkoliikenteen poikkeamien havainnointiin
Keskinen, Visa (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120231640
https://urn.fi/URN:NBN:fi:amk-2025120231640
Tiivistelmä
Nykyään koneoppimisen vaatimuksia on yhä helpompi täyttää kohteesta riippumatta alati kasvavan prosessointitehon ja kasvavien datamäärien ansiosta. Myös liiketoiminnan ja yhteiskunnallisesti tärkeiden toimintojen siirtyminen elektronisiin järjestelmiin vaatii yhä kattavampaa tietoverkkoliikenteen valvontaa muiden tietoturvaratkaisujen ohella.
Opinnäytetyön tavoitteena oli tutkia, miten koneoppimista voidaan hyödyntää tietoverkkoliikenteen poikkeamien havainnointiin, kuten mahdollisen haitallisen liikenteen tunnistamiseen. Tähän pohjautuen, opinnäytetyössä toteutettiin kolme esimerkkiä yksinkertaisesta koneoppimismallista, jotka tunnistaisivat normaalista liikenteestä poikkeavat tapaukset.
Työssä tarkasteltiin tietoturvaa tietoverkkoliikenteen näkökulmasta, perehdyttiin koneoppimiseen ja selvitettiin sen hyödyntämistä poikkeamien tunnistamisessa. Opinnäytetyön kannalta sopivin luokittelumalli kykeni tunnistamaan poikkeavaa liikennettä eri algoritmeilla toteutettuna, mutta ilman jatkokehitystä se ei saavuta tarpeeksi korkeaa luotettavuutta ollakseen yksinään hyödyllinen.
Toteutettuja luokittelumallin algoritmeja arvioitiin yleisesti koneoppimisessa käytettyjen mittareiden eli tarkkuuden (accuracy), sisäisen tarkkuuden (precision), herkkyyden (recall) ja F1-arvon avulla. Sekaannusmatriisin (confusion matrix) avulla havainnollistettiin luokittelumallin suoriutumista visuaalisesti. Lopussa todettiin, että malli tulisi kouluttaa alusta alkaen tiettyyn ympäristöön sopivaksi, jolloin se sopisi paremmin erilaisten ympäristöjen tarkkoihin vaatimuksiin. Mallia voisi kouluttaa esimerkiksi yrityksen omasta verkosta kerätyllä datalla. Opinnäytetyössä pohditaan myös mahdollisuuksia toteuttaa koneoppimismalli osaksi jo olemassa olevia tietoverkkoliikenteen loki- ja valvontajärjestelmiä.
Opinnäytetyön tavoitteena oli tutkia, miten koneoppimista voidaan hyödyntää tietoverkkoliikenteen poikkeamien havainnointiin, kuten mahdollisen haitallisen liikenteen tunnistamiseen. Tähän pohjautuen, opinnäytetyössä toteutettiin kolme esimerkkiä yksinkertaisesta koneoppimismallista, jotka tunnistaisivat normaalista liikenteestä poikkeavat tapaukset.
Työssä tarkasteltiin tietoturvaa tietoverkkoliikenteen näkökulmasta, perehdyttiin koneoppimiseen ja selvitettiin sen hyödyntämistä poikkeamien tunnistamisessa. Opinnäytetyön kannalta sopivin luokittelumalli kykeni tunnistamaan poikkeavaa liikennettä eri algoritmeilla toteutettuna, mutta ilman jatkokehitystä se ei saavuta tarpeeksi korkeaa luotettavuutta ollakseen yksinään hyödyllinen.
Toteutettuja luokittelumallin algoritmeja arvioitiin yleisesti koneoppimisessa käytettyjen mittareiden eli tarkkuuden (accuracy), sisäisen tarkkuuden (precision), herkkyyden (recall) ja F1-arvon avulla. Sekaannusmatriisin (confusion matrix) avulla havainnollistettiin luokittelumallin suoriutumista visuaalisesti. Lopussa todettiin, että malli tulisi kouluttaa alusta alkaen tiettyyn ympäristöön sopivaksi, jolloin se sopisi paremmin erilaisten ympäristöjen tarkkoihin vaatimuksiin. Mallia voisi kouluttaa esimerkiksi yrityksen omasta verkosta kerätyllä datalla. Opinnäytetyössä pohditaan myös mahdollisuuksia toteuttaa koneoppimismalli osaksi jo olemassa olevia tietoverkkoliikenteen loki- ja valvontajärjestelmiä.