Modelo colaborativo basado en aprendizaje federado para correlación de alertas y reconocimiento de escenarios de ataque
Autores: Alkhpor, Hadeel K.; Alserhani, Faeiz M.
Idioma: Inglés
Editor: MDPI
Año: 2023
Acceso abierto
Artículo científico
2023
Modelo colaborativo basado en aprendizaje federado para correlación de alertas y reconocimiento de escenarios de ataque
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Ataques planificados
Amenaza persistente avanzada
APT
Modelos de aprendizaje federados
Sistemas de detección de intrusiones
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 39
Citaciones: Sin citaciones
Los ataques planeados y dirigidos, como la amenaza persistente avanzada (APT), son formas altamente sofisticadas de ataque. Involucran numerosos pasos y tienen la intención de permanecer dentro de un sistema durante un período prolongado antes de avanzar a la siguiente etapa de acción. Anticipar los próximos comportamientos de los atacantes es una tarea desafiante y crucial debido a la naturaleza sigilosa de los escenarios de ataque avanzados, además de los posibles altos volúmenes de alertas falsas generadas por diferentes herramientas de seguridad como los sistemas de detección de intrusiones (IDS). Modelos inteligentes capaces de establecer una correlación entre alertas individuales para reconstruir escenarios de ataque y extraer una visión holística de las actividades de intrusión son necesarios para explotar los vínculos ocultos entre las diferentes etapas de ataque. Los modelos de aprendizaje federado realizados en entornos distribuidos han logrado implementaciones exitosas y confiables. Las alertas de los dispositivos de seguridad distribuidos pueden ser utilizadas de manera colaborativa basándose en varios modelos de aprendizaje para construir un modelo federado. Por lo tanto, proponemos un sistema de detección inteligente que emplea modelos de aprendizaje federado para identificar escenarios de ataque avanzados como APT. Las características extraídas de las alertas son preprocesadas y diseñadas para producir un modelo con alta precisión y menos falsos positivos. Realizamos entrenamiento en cuatro modelos de aprendizaje automático en un aprendizaje centralizado; estos modelos son XGBoost, Random Forest, CatBoost y un modelo de aprendizaje en conjunto. Para mantener la privacidad y garantizar la integridad del modelo global, el modelo propuesto se ha implementado utilizando el aprendizaje federado de redes neuronales convencionales (CNN_FL) en varios clientes durante el proceso de actualización de pesos. Los hallazgos experimentales indican que el aprendizaje en conjunto alcanzó la mayor precisión del 88.15% en el contexto de aprendizaje centralizado. CNN_FL ha demostrado una precisión del 90.18% en la detección de varios ataques de APT mientras mantiene una baja tasa de falsas alarmas.
Descripción
Los ataques planeados y dirigidos, como la amenaza persistente avanzada (APT), son formas altamente sofisticadas de ataque. Involucran numerosos pasos y tienen la intención de permanecer dentro de un sistema durante un período prolongado antes de avanzar a la siguiente etapa de acción. Anticipar los próximos comportamientos de los atacantes es una tarea desafiante y crucial debido a la naturaleza sigilosa de los escenarios de ataque avanzados, además de los posibles altos volúmenes de alertas falsas generadas por diferentes herramientas de seguridad como los sistemas de detección de intrusiones (IDS). Modelos inteligentes capaces de establecer una correlación entre alertas individuales para reconstruir escenarios de ataque y extraer una visión holística de las actividades de intrusión son necesarios para explotar los vínculos ocultos entre las diferentes etapas de ataque. Los modelos de aprendizaje federado realizados en entornos distribuidos han logrado implementaciones exitosas y confiables. Las alertas de los dispositivos de seguridad distribuidos pueden ser utilizadas de manera colaborativa basándose en varios modelos de aprendizaje para construir un modelo federado. Por lo tanto, proponemos un sistema de detección inteligente que emplea modelos de aprendizaje federado para identificar escenarios de ataque avanzados como APT. Las características extraídas de las alertas son preprocesadas y diseñadas para producir un modelo con alta precisión y menos falsos positivos. Realizamos entrenamiento en cuatro modelos de aprendizaje automático en un aprendizaje centralizado; estos modelos son XGBoost, Random Forest, CatBoost y un modelo de aprendizaje en conjunto. Para mantener la privacidad y garantizar la integridad del modelo global, el modelo propuesto se ha implementado utilizando el aprendizaje federado de redes neuronales convencionales (CNN_FL) en varios clientes durante el proceso de actualización de pesos. Los hallazgos experimentales indican que el aprendizaje en conjunto alcanzó la mayor precisión del 88.15% en el contexto de aprendizaje centralizado. CNN_FL ha demostrado una precisión del 90.18% en la detección de varios ataques de APT mientras mantiene una baja tasa de falsas alarmas.