Ciberseguridad en ciudades inteligentes: detección de decisiones opuestas sobre anomalías en el comportamiento de la red informática
Autores: Protic, Danijela; Gaur, Loveleen; Stankovic, Miomir; Rahman, Md Anisur
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Ciberseguridad en ciudades inteligentes: detección de decisiones opuestas sobre anomalías en el comportamiento de la red informática
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Tecnologías urbanas
Ciberseguridad
Sistemas de detección de intrusiones
Detección de anomalías
Aprendizaje automático
Normalización
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 34
Citaciones: Sin citaciones
El aumento del uso de tecnologías urbanas en ciudades inteligentes plantea nuevos desafíos y problemas. La ciberseguridad se ha vuelto cada vez más importante ya que muchos componentes críticos de los sistemas de información y comunicación dependen de ella, incluidas diversas aplicaciones e infraestructuras cívicas que utilizan tecnologías basadas en datos y redes informáticas. Los sistemas de detección de intrusiones monitorean las redes informáticas en busca de actividades maliciosas. Los sistemas de detección de intrusiones basados en firmas comparan el patrón de tráfico de red con un conjunto de firmas de ataques conocidos y no pueden identificar ataques desconocidos. Los sistemas de detección de intrusiones basados en anomalías monitorean el tráfico de red para detectar cambios en el comportamiento de la red e identificar ataques desconocidos. El mayor obstáculo para la detección de anomalías es la construcción de un modelo de normalidad estadística, lo cual es difícil porque se requiere una gran cantidad de datos para estimar el modelo. Los clasificadores binarios basados en aprendizaje automático supervisado son excelentes herramientas para clasificar los datos como normales o anormales. La selección de características y la escala de características se realizan para eliminar datos redundantes e irrelevantes. De las 24 características del conjunto de datos Kyoto 2006+, se consideran nueve características numéricas esenciales para el entrenamiento del modelo. Se utilizan la normalización Min-Max en el rango [0,1] y [-1,1], la estandarización Z-score y una nueva normalización tangente hiperbólica para la escala. La normalización tangente hiperbólica se basa en la estrategia de amortiguamiento de Levenberg-Marquardt y la linearización de la función tangente hiperbólica con un gradiente de pendiente estrecha alrededor de cero. Debido a la capacidad de clasificación comprobada, en este estudio se utilizó una red neuronal feedforward, un árbol de decisiones, una máquina de vectores de soporte, un vecino más cercano y modelos de vecino más cercano ponderado. La precisión general disminuyó en menos del 0,1 por ciento, mientras que el tiempo de procesamiento se redujo en más de la mitad. Los resultados muestran un claro beneficio de la escala TH en cuanto al tiempo de procesamiento. Independientemente de la precisión de los clasificadores, sus decisiones a veces pueden diferir. Nuestro estudio describe un detector de decisiones conflictivas basado en una operación XOR realizada en las salidas de dos clasificadores, la red neuronal feedforward más rápida y el modelo de vecino más cercano ponderado más preciso pero más lento. Los resultados muestran que se detectan hasta un 6% de decisiones diferentes.
Descripción
El aumento del uso de tecnologías urbanas en ciudades inteligentes plantea nuevos desafíos y problemas. La ciberseguridad se ha vuelto cada vez más importante ya que muchos componentes críticos de los sistemas de información y comunicación dependen de ella, incluidas diversas aplicaciones e infraestructuras cívicas que utilizan tecnologías basadas en datos y redes informáticas. Los sistemas de detección de intrusiones monitorean las redes informáticas en busca de actividades maliciosas. Los sistemas de detección de intrusiones basados en firmas comparan el patrón de tráfico de red con un conjunto de firmas de ataques conocidos y no pueden identificar ataques desconocidos. Los sistemas de detección de intrusiones basados en anomalías monitorean el tráfico de red para detectar cambios en el comportamiento de la red e identificar ataques desconocidos. El mayor obstáculo para la detección de anomalías es la construcción de un modelo de normalidad estadística, lo cual es difícil porque se requiere una gran cantidad de datos para estimar el modelo. Los clasificadores binarios basados en aprendizaje automático supervisado son excelentes herramientas para clasificar los datos como normales o anormales. La selección de características y la escala de características se realizan para eliminar datos redundantes e irrelevantes. De las 24 características del conjunto de datos Kyoto 2006+, se consideran nueve características numéricas esenciales para el entrenamiento del modelo. Se utilizan la normalización Min-Max en el rango [0,1] y [-1,1], la estandarización Z-score y una nueva normalización tangente hiperbólica para la escala. La normalización tangente hiperbólica se basa en la estrategia de amortiguamiento de Levenberg-Marquardt y la linearización de la función tangente hiperbólica con un gradiente de pendiente estrecha alrededor de cero. Debido a la capacidad de clasificación comprobada, en este estudio se utilizó una red neuronal feedforward, un árbol de decisiones, una máquina de vectores de soporte, un vecino más cercano y modelos de vecino más cercano ponderado. La precisión general disminuyó en menos del 0,1 por ciento, mientras que el tiempo de procesamiento se redujo en más de la mitad. Los resultados muestran un claro beneficio de la escala TH en cuanto al tiempo de procesamiento. Independientemente de la precisión de los clasificadores, sus decisiones a veces pueden diferir. Nuestro estudio describe un detector de decisiones conflictivas basado en una operación XOR realizada en las salidas de dos clasificadores, la red neuronal feedforward más rápida y el modelo de vecino más cercano ponderado más preciso pero más lento. Los resultados muestran que se detectan hasta un 6% de decisiones diferentes.