ŽIDOVSKÝ, P. Aplikování technik hlubokého učení na detekci anomálií v počítačových sítích pomocí grafické reprezentace provozu [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2022.
Student splnil cíle diplomové práce, provedl analýzu současného stavu problematiky v odvětví grafické reprezentace síťového provozu a aplikování technik umělé inteligence pro detekci anomálií. Student realizoval experimentální pracoviště, implementoval tři různé přístupy sloužící pro vizualizaci statistických dat o probíhajícím provozu (integrací s aplikací CICFlowMeter) a také natrénoval tři druhy konvolučních neuronových sítí využívající techniky hlubokého učení (MobileNetV2, MobileNetV3, DenseNet). Tyto modely byly použity k detekci vizualizovaných kybernetických útoků na základě analýzy síťového provozu a následně se staly součástí naprogramovaného API rozhraní. Student navrhl a následně implementoval nízkonákladovou sondu Raspberry Pi (RP) v kombinaci s Neural Compute Stick (NCS) a síťovou centrálu v kombinaci s Nvidia GPU, která umožňuje dosáhnout vyšší propustnosti a zprovoznit pokročilejší modely neuronových sítí. Nízkonákladová sonda RP provádí vyhodnocení síťového provozu a následně zasílá detekované anomálie na centrálu pro podrobnější analýzu a kategorizaci. V průběhu akademického roku student pracoval samostatně, pravidelně konzultoval a prezentoval dosažené výsledky v dohodnutých časových intervalech. Student prokázal schopnost práce s odbornou literaturou a analýzy současného stavu vědy a techniky v oboru umělé inteligence. Podrobně srovnal čtyři vědecké práce, popsal jejich finální přesnosti, použité datové sady a detekční algoritmy. Všechny grafické a textové vstupy jsou řádně citovány. Student věnoval dostatečnou pozornost procesu tvorby vlastní datové sady (na základě CSE-CIC-IDS2018) a technikám vizualizace síťového provozu. Vyzkoušel vliv různých statistických parametrů na finální přesnosti vyhodnocení anomálií. Po transformaci surových dat na obrázky, student provedl testování pěti modelů na testovací množině dat a pro posouzení jejich kvality vypočítal individuální matice záměn (binární pro MobileNetV2 a n-ární pro MobileNetV3 i DenseNet). V dalších krocích student přistoupil k návrhu a implementaci webového API rozhraní využívající knihovnu Flask. Webové rozhraní bylo generalizováno za účelem efektivnějšího nasazení na nízkonákladovou sondu i centrálu. Architektura rozhraní a proces zpracování dat jsou výstižně popsány. Implementované řešení student otestoval na experimentálním pracovišti realizací třech kybernetických útoků (skenování portů, slovníkový útok na SSH a DOS útok na webový server). Po obsahové stránce mohly být některé teoretické pasáže podrobněji popsané, například princip zprovoznění modelů, instalace knihoven, propojení RP s experimentálním pracovištěm. Lze vytknout vyskytující se typografické a gramatické chyby. V tabulce číslo 5.3 není uvedena jednotka trvání zvolených útoků. Celkově je uvedeno 33 referencí, které jsou aktivně používány v textu práce. Mezi silné stránky práce lze zařadit srovnání existujících vědeckých prací, vytvoření kvalitního přehledu v problematice, zpracování moderní datové sady, úspěšně naučení pěti modelů neuronových sítí a jejich propojení s webovým Flask API. Kladně hodnotím zdařile navržený a komentovaný zdrojový kód. Z důvodu rozsáhlé a povedené praktické časti navrhuji práci k obhajobě s finálním hodnocením A (98 bodů).
V teoretické části student provedl analýzu grafické reprezentace provozu a prezentoval výsledky existujících řešení v tomto oboru s příslušnými dosaženými výsledky, které byly přehledně prezentovány v tabulce. Student rovněž pospal základy problematiky neuronových sítí a dopodrobna popsal tři modely neurnových sítí pro klasifikaci síťového provozu na základě grafické reprezentace. Následně student tyto modely využil pro praktickou realizaci řešení. Grafická reprezentace byla realizována ve třech rozdílných variantách, které se lišily množstvím vstupních parametrů. Student si musel zajistit adekvátní výpočetní výkon pro natrénování modelů a dokázal využít pokročilé nástroje pro nasazení modelů odpovídající průmyslovým standardům. Výsledky modelů dosahují kvality moderních existujících řešení. Následně student navrhl a realizoval experimentální pracoviště. To se navíc v průběhu práce několikrát měnilo adekvátně k zamýšlenému použití. Pracoviště se skládalo z virtualizované infrastruktury obsahující webové servery a koncové stanice, dále pak studentem realizovanou sondu pro analýzu provozu a centrálu pro jeho další zpracování. Řešení student optimalizoval z hlediska nízkých nákladů na pořízení v kombinaci s dostatečným výpočetním výkonem. Následně student realizoval tři druhy útoků v rámci experimentálního pracoviště a pokusil se o jejich zachycení a klasifikaci pomocí navržené sondy a centrály. Výsledky nejsou zcela úspěšné, student ovšem vhodně popsal příčiny komplikací a navrhl možnosti jejich řešení. Realizace řešení je na velmi vysoké úrovni, použité technologie jsou v současnosti nejúspěšnějšími projekty využívanými v praxi. Zdrojové kódy jsou na profesionální úrovni, jsou velmi dobře členěny a komentovány. Rovněž je zajištěna dobrá použitelnost a kompatibilita navrženého řešení díky realizaci aplikačního API. V oblasti praktické implementace dosahuje práce vysoce nadprůměrných kvalit. Po formální a typografické stránce má práce řadu nedostatků, například rovnice 1.2–1.5 jsou chybně vysázené a nevhodně kombinují původní anglické názvy s českými překlady. Citování zdrojů je typograficky nesprávné. Práce s literaturou je na dobré úrovni. Práci hodnotím 97 body jako velmi zdařilou především na základě rozsahu a kvality praktické implementace a realizace navrženého řešení.
eVSKP id 141400