Siber güvenlik alanında önemli bir gelişme yaşanırken, araştırmacılar özellikle hastane, okul ve küçük işletmeler gibi kurumları hedef alan siber saldırılara karşı yeni bir savunma sistemi geliştirdi. ML Defender (aRGus NDR) adı verilen bu sistem, pahalı kurumsal güvenlik çözümlerine erişimi olmayan organizasyonlar için tasarlandı.
C++20 programlama dili ile geliştirilen sistem, yaklaşık 150-200 dolarlık standart donanım üzerinde çalışabiliyor. Altı bileşenli bir işlem hattı kullanan ML Defender, eBPF/XDP paket yakalama teknolojisi, ZeroMQ iletişim protokolü ve Protocol Buffers serileştirmesi üzerine kurulu. Sistemin kalbi, kural tabanlı hızlı tespit mekanizması ile gömülü rastgele orman sınıflandırıcısının birleşiminden oluşuyor.
Sistemin en dikkat çekici özelliği, 'Maksimum Tehdit Kazanır' politikası ile çalışması. Bu yaklaşım, hem kural tabanlı hem de makine öğrenmesi skorlarının aritmetik maksimumunu alarak yanlış pozitif alarmları bastırıyor. CTU-13 Neris botnet veri seti üzerinde yapılan değerlendirmelerde sistem, %99.85 F1 skoru, %99.69 kesinlik ve %100 duyarlılık oranları elde etti.
En etkileyici sonuç ise yanlış alarm oranındaki dramatik azalma oldu. Hızlı tespit mekanizması tek başına %6.61 yanlış pozitif oranı üretirken, makine öğrenmesi katmanının eklenmesiyle bu oran sıfıra düştü - yaklaşık 500 kat azalma anlamına geliyor.