• anomaly detection
• machine learning
• cybersecurity

I dati sono le risorse più importanti per un’azienda, ma anche le più vulnerabili. La rapida trasformazione digitale innescata dalla pandemia COVID-19 ha creato diverse opportunità per i criminali informatici di attaccare individui e aziende. Per mitigare tali rischi, una delle pratiche più diffuse è lo sviluppo di un Intrusion Detection System (IDS) quale strumento di sicurezza per proteggere i cyber perimetri aziendali. Negli ultimi anni sono stati proposti molti metodi per implementare questo tipo di misure di sicurezza contro gli attacchi informatici, tra cui il Machine Learning e Data Mining. In questo lavoro si discute la tecnica di rilevazione basata sull’anomaly detection in grado di rilevare nuove tipologie di intrusione per il sistema tramite l’analisi di dati provenienti da diverse fonti. Allo scopo, sono stati selezionati tre approcci di tipo unsupervised e sono state valutate le loro prestazioni in un ambiente sperimentale comune. Nello specifico gli approcci sono stati testati dapprima in un contesto generale di rete e successivamente su un gruppo ristretto di computer appartenenti alla rete oggetto di analisi per modellare il comportamento dei singoli computer determinato dalla mansione dell’utente nell’organizzazione.



Data is the most important assets for a company, but also the most vulnerable. The rapid digital transformation triggered by the COVID-19 pandemic has created several opportunities for cybercriminals to attack individuals and businesses. To mitigate these risks, one of the most widespread practices is the development of an Intrusion Detection System (IDS) as a security tool to protect corporate cyber perimeters. In recent years many methods have been proposed to implement this type of security measures against cyber attacks, including Machine Learning and Data Mining. In this work we discuss the detection technique based on anomaly detection able to detect new types of intrusion for the system through the analysis of data from different sources. For this purpose, three unsupervised approaches were selected and their performance evaluated in a common experimental setting. Specifically, the approaches were first tested in a general network context and subsequently on a small group of computers belonging to the network in order to model the behavior of individual computers determined by the user's job in the organization.