Analysis of meta-learning approaches for rare anomaly detection in database logs

Abstract

This research analyzes using meta-learning to fix the security problem of finding rare attacks in database logs. This is needed because normal Machine Learning models have built in problems when dealing with data that is highly imbalanced, for example when searching for infrequent attacks such as SQL Injection or people accessing data without permission. The main objective is to improve how well security systems can find these rare events by using the few-shot learning power of meta-learning. The research started by checking the current ways to find anomalies using standard Machine Learning, and Deep Learning. This showed that a new method was necessary. Next came a close look at meta-learning ideas and how they are used to find anomalies with few examples (few-shot detection). Using this base of knowledge, a plan for using meta-learning on SQL logs was suggested and then built. This building step included testing models on a specific set of data, preparing for the last check of results. The final stage of the project is dedicated to analyzing the models using key metrics and making a final conclusion on the effectiveness of meta-learning versus conventional techniques. In the end, this thesis managed to confirm the meta-learning can fix the issues caused by data imbalance. This plan gives a better, adaptive approach for boosting database security against infrequent and advanced attacks. Also were researched methods for implementing the method in practice within companies.

Această cercetare analizează utilizarea metaînvățării pentru a rezolva problema de securitate a găsirii atacurilor rare în jurnalele bazelor de date. Acest lucru este necesar deoarece modelele tradiționale de învățare automată au probleme atunci când se ocupă de date extrem de dezechilibrate, de exemplu, atunci când se caută atacuri rare, cum ar fi injecția SQL sau accesarea datelor de către persoane fără permisiune. Obiectivul principal este de a îmbunătăți modul în care sistemele de securitate pot găsi aceste evenimente rare utilizând metaînvățarea atunci când cantitatea de atacuri este foarte mic. Cercetarea a început prin verificarea modalităților actuale de a găsi anomalii folosind învățarea automată standard și învățarea profundă. Acest lucru a arătat că era necesară o nouă metodă. Apoi, a urmat o analiză a ideilor de metaînvățare și a modului în care acestea sunt utilizate pentru a găsi anomalii cu puține exemple. Folosind această bază de cunoștințe, a fost sugerat și apoi construit un plan pentru utilizarea meta învățării pe jurnalele SQL. Această etapă a inclus testarea modelelor pe un set specific de date și pregătirea pentru ultima verificare a rezultatelor. Etapa finală a proiectului este dedicată analizării modelelor folosind metrici cheie și formulării unei concluzii finale privind eficacitatea meta-învățării față de tehnicile convenționale. În final, această teză a reușit să confirme că meta-învățarea poate remedia problemele cauzate de dezechilibrul datelor. Acest plan oferă o abordare mai bună și adaptivă pentru creșterea securității bazelor de date împotriva atacurilor rare și avansate. De asemenea, s-a cercetat metode de implementare a metodei în practică în cacdrul companiilor.