Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Nowadays, technology involved in cyber attacks is continuously evolving, increasing the complexity of these threats alongside the growing throughput of network infrastructures. To address these challenges, intrusion detection systems increasingly rely on machine learning algorithms capable of handling high packet rates. In this thesis, we focus on intrusion detection for network attacks by leveraging a pre-existing inference algorithm in dynamic and resource-constrained environments, where lightweight and adaptive anomaly-based approaches are required. We investigate several thresholding methodologies to determine appropriate decision boundaries for anomaly detection. Furthermore, we conduct a systematic performance comparison across multiple datasets, both with and without the inclusion of 2D statistical features, to quantify their contribution to detection accuracy and robustness. We provide a comprehensive evaluation of three statistical thresholding strategies: a robust distribution-free method, a quantile-based approach, and a Gaussian assumption-based method. These approaches are analyzed with respect to both balanced and highly imbalanced datasets.A unified evaluation pipeline was developed to assess AUC, precision, recall, F1-score, ROC characteristics, parameter sensitivity, and statistical distribution properties for each strategy. The results indicate that although all methods achieve high AUC values, their practical detection performance strongly depends on attack prevalence and score distribution characteristics. The robust distribution-free and quantile-based thresholds demonstrate high recall but may suffer under rare-attack conditions. In contrast, the Gaussian-based approach can outperform others in extremely sparse anomaly scenarios, though it exhibits higher variance and reduced stability. Overall, the quantile-based method provides the most consistent and robust performance across datasets, effectively balancing recall stability and false-positive control. This study highlights that threshold design is a critical component in the development of an intrusion detection system. There is no universally optimal strategy; instead, the best choice depends on anomaly frequency and score distribution properties. The findings provide actionable guidance for deploying the selected algorithm in conjunction with a quantile-based thresholding strategy in real-world environments and establish a foundation for future research on adaptive and data-driven thresholding mechanisms for online intrusion detection.

Oggi, le tecnologie impiegate negli attacchi informatici stanno evolvendo in modo continuo, aumentando la complessità di tali minacce insieme alla crescente capacità di trasmissione delle infrastrutture di rete. Per rilevare questi attacchi, i sistemi di Intrusion Detection sono stati progettati facendo affidamento su algoritmi di Machine Learning, con l’obiettivo di operare a velocità compatibili con l’elevato throughput dei pacchetti di rete. In questa tesi ci concentriamo sulla rilevazione di intrusioni nella rete, sfruttando un algoritmo di inferenza già esistente in ambienti dinamici e con risorse limitate, dove è necessario adottare un approccio leggero, adattivo e basato sull’anomalia. Esploriamo diverse metodologie di soglia per definire un limite superiore nella rilevazione delle anomalie. Inoltre, conduciamo un confronto sistematico delle prestazioni su tutti i dataset, con e senza l’inclusione di caratteristiche statistiche bidimensionali (2D), al fine di quantificarne il contributo in termini di accuratezza e robustezza. Forniamo una valutazione completa di tre strategie statistiche di thresholding, includendo approcci robusti indipendenti dalla distribuzione, basati sui quantili e fondati sull’assunzione di gaussianità, analizzandone il comportamento sia in dataset bilanciati sia fortemente sbilanciati. È stata sviluppata una pipeline di valutazione unificata per misurare AUC, precisione, richiamo (recall), F1-score, andamento della curva ROC, sensibilità ai parametri e caratteristiche delle distribuzioni statistiche per ciascuna strategia. I risultati mostrano che, sebbene tutti i metodi raggiungano valori elevati di AUC, le prestazioni pratiche di rilevamento dipendono fortemente dalla prevalenza degli attacchi e dalla distribuzione dei punteggi di anomalia. Le soglie robuste e basate sui quantili presentano un richiamo elevato, ma risultano meno efficaci in scenari in cui gli attacchi sono rari. Al contrario, l’approccio basato sulla distribuzione gaussiana può offrire prestazioni migliori in condizioni di anomalie estremamente sparse, ma mostra la maggiore variabilità e instabilità. Nel complesso, il metodo quantile-based si dimostra il più robusto e consistente tra i dataset analizzati, bilanciando la stabilità del richiamo e il controllo dei falsi positivi. Questo studio evidenzia come la definizione della soglia rappresenti un elemento critico nella progettazione di un sistema di intrusion detection e che non esista una strategia ottimale universale: la scelta migliore dipende dalla frequenza delle anomalie e dalle proprietà della distribuzione dei punteggi. I risultati forniscono indicazioni operative per l’impiego dell’algoritmo selezionato in combinazione con un approccio quantile-based in ambienti reali e costituiscono una base per future ricerche su meccanismi adattivi e data-driven di thresholding per l’intrusion detection online.

Methodologies to enhance anomaly-based network intrusion detection

LIAO, MINHAO
2025/2026

Abstract

Nowadays, technology involved in cyber attacks is continuously evolving, increasing the complexity of these threats alongside the growing throughput of network infrastructures. To address these challenges, intrusion detection systems increasingly rely on machine learning algorithms capable of handling high packet rates. In this thesis, we focus on intrusion detection for network attacks by leveraging a pre-existing inference algorithm in dynamic and resource-constrained environments, where lightweight and adaptive anomaly-based approaches are required. We investigate several thresholding methodologies to determine appropriate decision boundaries for anomaly detection. Furthermore, we conduct a systematic performance comparison across multiple datasets, both with and without the inclusion of 2D statistical features, to quantify their contribution to detection accuracy and robustness. We provide a comprehensive evaluation of three statistical thresholding strategies: a robust distribution-free method, a quantile-based approach, and a Gaussian assumption-based method. These approaches are analyzed with respect to both balanced and highly imbalanced datasets.A unified evaluation pipeline was developed to assess AUC, precision, recall, F1-score, ROC characteristics, parameter sensitivity, and statistical distribution properties for each strategy. The results indicate that although all methods achieve high AUC values, their practical detection performance strongly depends on attack prevalence and score distribution characteristics. The robust distribution-free and quantile-based thresholds demonstrate high recall but may suffer under rare-attack conditions. In contrast, the Gaussian-based approach can outperform others in extremely sparse anomaly scenarios, though it exhibits higher variance and reduced stability. Overall, the quantile-based method provides the most consistent and robust performance across datasets, effectively balancing recall stability and false-positive control. This study highlights that threshold design is a critical component in the development of an intrusion detection system. There is no universally optimal strategy; instead, the best choice depends on anomaly frequency and score distribution properties. The findings provide actionable guidance for deploying the selected algorithm in conjunction with a quantile-based thresholding strategy in real-world environments and establish a foundation for future research on adaptive and data-driven thresholding mechanisms for online intrusion detection.
Giacometti, Luca
ING - Scuola di Ingegneria Industriale e dell'Informazione
26-mar-2026
2025/2026
Oggi, le tecnologie impiegate negli attacchi informatici stanno evolvendo in modo continuo, aumentando la complessità di tali minacce insieme alla crescente capacità di trasmissione delle infrastrutture di rete. Per rilevare questi attacchi, i sistemi di Intrusion Detection sono stati progettati facendo affidamento su algoritmi di Machine Learning, con l’obiettivo di operare a velocità compatibili con l’elevato throughput dei pacchetti di rete. In questa tesi ci concentriamo sulla rilevazione di intrusioni nella rete, sfruttando un algoritmo di inferenza già esistente in ambienti dinamici e con risorse limitate, dove è necessario adottare un approccio leggero, adattivo e basato sull’anomalia. Esploriamo diverse metodologie di soglia per definire un limite superiore nella rilevazione delle anomalie. Inoltre, conduciamo un confronto sistematico delle prestazioni su tutti i dataset, con e senza l’inclusione di caratteristiche statistiche bidimensionali (2D), al fine di quantificarne il contributo in termini di accuratezza e robustezza. Forniamo una valutazione completa di tre strategie statistiche di thresholding, includendo approcci robusti indipendenti dalla distribuzione, basati sui quantili e fondati sull’assunzione di gaussianità, analizzandone il comportamento sia in dataset bilanciati sia fortemente sbilanciati. È stata sviluppata una pipeline di valutazione unificata per misurare AUC, precisione, richiamo (recall), F1-score, andamento della curva ROC, sensibilità ai parametri e caratteristiche delle distribuzioni statistiche per ciascuna strategia. I risultati mostrano che, sebbene tutti i metodi raggiungano valori elevati di AUC, le prestazioni pratiche di rilevamento dipendono fortemente dalla prevalenza degli attacchi e dalla distribuzione dei punteggi di anomalia. Le soglie robuste e basate sui quantili presentano un richiamo elevato, ma risultano meno efficaci in scenari in cui gli attacchi sono rari. Al contrario, l’approccio basato sulla distribuzione gaussiana può offrire prestazioni migliori in condizioni di anomalie estremamente sparse, ma mostra la maggiore variabilità e instabilità. Nel complesso, il metodo quantile-based si dimostra il più robusto e consistente tra i dataset analizzati, bilanciando la stabilità del richiamo e il controllo dei falsi positivi. Questo studio evidenzia come la definizione della soglia rappresenti un elemento critico nella progettazione di un sistema di intrusion detection e che non esista una strategia ottimale universale: la scelta migliore dipende dalla frequenza delle anomalie e dalle proprietà della distribuzione dei punteggi. I risultati forniscono indicazioni operative per l’impiego dell’algoritmo selezionato in combinazione con un approccio quantile-based in ambienti reali e costituiscono una base per future ricerche su meccanismi adattivi e data-driven di thresholding per l’intrusion detection online.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Thesis final version5.pdf

accessibile in internet per tutti

Dimensione 3.43 MB
Formato Adobe PDF
Visualizza/Apri
3.43 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/252047