Cilj zaštite informacijsko-komunikacijskog (IK) sustava podrazumijeva postizanje i održavanje zahtijevane razine osnovnih načela sigurnosti. Osnovna načela sigurnosti predstavljena su CIA (confidentiality, integrity, availability) modelom koji obuhvaća cjelovitost, povjerljivost i dostupnost IK resursa. Jedan od čimbenika koji negativno utječu na načelo dostupnosti, a čiji trend je u kontinuiranom porastu posljednjih deset godina je mrežno orijentirani distribuirani napad uskraćivanja usluge (Distributed Denial of Service, DDoS), odnosno DDoS promet kao sredstvo provođenja napada. DDoS promet kao produkt DDoS napada predstavlja anomaliju u mrežnom prometu. Pojavom koncepta Internet stvari (engl. Internet of Things, IoT) kao novog pravca tehnološkog razvoja i nove komunikacijske paradigme koja objedinjuje milijarde novih uređaja povezanih na Internet mrežu, stvara se novi prostor sigurnosnih ranjivosti koje je moguće iskoristiti za neovlaštene i maliciozne aktivnosti. Predmet istraživanja u okviru ovog doktorskog rada je karakterističnost prometa generiranog IoT uređajima u okruženju pametnog doma kao osnove za detekciju anomalija koje nastaju kao rezultat provedbe DDoS napada. Ovim doktorskim radom prikazano je definiranje klasa unutar kojih je moguće dodijeliti IoT uređaje u okruženju pametnog doma. Klase se temelje na koeficijentu varijacije odnosa primljenog i poslanog prometa pojedinog uređaja. Jednako tako prikazan je i razvoj višeklasnog klasifikacijskog modela temeljen na boosoting metodi strojnog učenja koji uz visoku točnost (99,79%) može klasificirati uređaje na osnovu karakteristika generiranog prometnog toka koristeći 13 značajki. Višeklasni klasifikacijski model pruža mogućnost stvaranja profila legitimnog prometa pojedine klase uređaja nužnog u razvoju klasifikacijskog modela koji će omogućiti detekciju anomalija mrežnoga prometa. Radom je prikazan i razvoj modela detekcije anomalija mrežnoga prometa temeljenog na značajkama prometa i klasnoj pripadnosti uređaja. Model je razvijen uz korištenje metode logističkih stabala odluke pri čemu se za svaku klasu uređaja primjenjuje drugačija inačica modela koja se razlikuje u broju korištenih značajki i graničnim vrijednostima grananja stabla odluke. Prema rezultatima zaključuje se visoka točnost modela za sve četiri klase uređaja od 99,92% - 99,99%. Ovakav pristup detekciji anomalija mrežnoga prometa predstavlja iskorak u istraživanju ovog problemskog područja jer se po prvi puta koriste klase uređaja u svrhu detekcije DDoS prometa. Ovakav model ima potencijal prepoznati do sada neviđene uređaje te ih dodijeliti pripadajućoj klasi za koju je poznat profil legitimnog prometa pri čemu postoji učinkovit model koji može prepoznati anomalije na temelju vrijednost značajki prometnog toka koji takav uređaj generira.