Entropy-Based Anomaly Detection for Cybersecurity Threats in Network Traffic

Diese Studie untersucht den Einsatz der Entropie als leistungsstarkes Werkzeug zur Erkennung von Netzwerkanomalien, wobei der Schwerpunkt auf der Identifizierung von Scanning- und DDoS-Angriffen liegt. Durch die Analyse der statistischen Merkmale des Netzwerkverkehrs wie Quell-IP, Zielport und Paketgröße zeigt die Studie, wie Entropie abnormale Verhaltensweisen, die normale Verkehrsmuster stören, effektiv hervorheben kann. Die Studie vergleicht die Entropie-basierte Erkennung mit traditionellen Methoden wie der signaturbasierten und staatlich kontrollierten Protokollanalyse und betont die Vorteile der Entropie bei der Erkennung unbekannter oder Zero-Day-Angriffe. Die Studie untersucht auch verschiedene Arten der Entropie, darunter Shannon, Tsallis und Renyi-Entropie, und ihre jeweiligen Anwendungen in verschiedenen Netzwerkszenarien. Durch empirische Analysen unter Verwendung realer Netzwerkverkehrsdaten einer akademischen Institution bestätigt die Studie die Effektivität der Erkennung von Entropie-basierten Anomalien, insbesondere bei der Identifizierung von Scanangriffen. Die Ergebnisse deuten darauf hin, dass die Entropie einen dynamischen und adaptiven Ansatz zur Netzwerksicherheit bietet, der falsche Positive und Negative im Vergleich zu Methoden mit festem Schwellenwert reduziert. Die Studie schließt mit der Diskussion der Grenzen der Entropie-basierten Erkennung und schlägt zukünftige Forschungsrichtungen vor, wie mehrskalige Zeitfenster und die Kombination der Entropie mit anderen Techniken, um die Nachweisfähigkeit zu verbessern. Diese umfassende Untersuchung der Entropie bei der Erkennung von Netzwerkanomalien bietet wertvolle Erkenntnisse für Fachleute, die ihre Strategien zur Netzwerksicherheit stärken wollen.