Evaluación comparativa de métodos de aprendizaje profundo para la detección de intrusiones en redes basada en el comportamiento
Autores: Antunes, Mário; Oliveira, Luís; Seguro, Afonso; Veríssimo, João; Salgado, Ruben; Murteira, Tiago
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Evaluación comparativa de métodos de aprendizaje profundo para la detección de intrusiones en redes basada en el comportamiento
Categoría
Gestión y administración
Subcategoría
Gestión de la tecnología y la inovación
Palabras clave
Seguridad de red
Sistemas de detección de intrusiones
Aprendizaje automático
Aprendizaje profundo
Conjunto de datos CSE-CIC-IDS2018
Redes neuronales convolucionales
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 1
Citaciones: Sin citaciones
La seguridad de la red abarca un amplio conjunto de tecnologías relacionadas con la detección de intrusiones. A pesar de la adopción masiva de sistemas de detección de intrusiones en la red basados en firmas (IDS), estos fallan en detectar ataques de día cero y exploits de vulnerabilidades previamente no vistas. Los IDS de red basados en comportamiento se han visto como una forma de superar las fallas de los IDS basados en firmas, principalmente a través de la implementación de métodos basados en aprendizaje automático, para tolerar nuevas formas de comportamiento normal de la red e identificar actividades maliciosas aún desconocidas. Se ha aplicado un amplio conjunto de métodos de aprendizaje automático para implementar IDS basados en comportamiento con resultados prometedores en la detección de nuevas formas de intrusiones y ataques. Han surgido técnicas innovadoras de aprendizaje automático, como las técnicas basadas en aprendizaje profundo, para procesar datos no estructurados, acelerar el proceso de clasificación y mejorar el rendimiento general obtenido por los sistemas de detección de intrusiones en la red basados en comportamiento. El uso de conjuntos de datos realistas de actividades de red normales y maliciosas es crucial para evaluar modelos de aprendizaje automático, ya que deben representar escenarios de red del mundo real y basarse en la actividad de red de computadoras realista. Este artículo tiene como objetivo evaluar el conjunto de datos CSE-CIC-IDS2018 y evaluar un conjunto de métodos basados en aprendizaje profundo, como redes neuronales convolucionales (CNN) y memoria a largo y corto plazo (LSTM). También se aplicaron métodos de autoencoder y análisis de componentes principales (PCA) para evaluar la reducción de características en el conjunto de datos original y sus implicaciones en el rendimiento general de detección. Los resultados revelaron la idoneidad de utilizar el conjunto de datos CSE-CIC-IDS2018 para evaluar modelos de aprendizaje profundo supervisados. También fue posible evaluar la robustez del uso de métodos CNN y LSTM para detectar actividad normal no vista y variaciones de ataques previamente entrenados. Los resultados revelan que los métodos de reducción de características disminuyeron el tiempo de procesamiento sin pérdida de precisión en el rendimiento general de detección.
Descripción
La seguridad de la red abarca un amplio conjunto de tecnologías relacionadas con la detección de intrusiones. A pesar de la adopción masiva de sistemas de detección de intrusiones en la red basados en firmas (IDS), estos fallan en detectar ataques de día cero y exploits de vulnerabilidades previamente no vistas. Los IDS de red basados en comportamiento se han visto como una forma de superar las fallas de los IDS basados en firmas, principalmente a través de la implementación de métodos basados en aprendizaje automático, para tolerar nuevas formas de comportamiento normal de la red e identificar actividades maliciosas aún desconocidas. Se ha aplicado un amplio conjunto de métodos de aprendizaje automático para implementar IDS basados en comportamiento con resultados prometedores en la detección de nuevas formas de intrusiones y ataques. Han surgido técnicas innovadoras de aprendizaje automático, como las técnicas basadas en aprendizaje profundo, para procesar datos no estructurados, acelerar el proceso de clasificación y mejorar el rendimiento general obtenido por los sistemas de detección de intrusiones en la red basados en comportamiento. El uso de conjuntos de datos realistas de actividades de red normales y maliciosas es crucial para evaluar modelos de aprendizaje automático, ya que deben representar escenarios de red del mundo real y basarse en la actividad de red de computadoras realista. Este artículo tiene como objetivo evaluar el conjunto de datos CSE-CIC-IDS2018 y evaluar un conjunto de métodos basados en aprendizaje profundo, como redes neuronales convolucionales (CNN) y memoria a largo y corto plazo (LSTM). También se aplicaron métodos de autoencoder y análisis de componentes principales (PCA) para evaluar la reducción de características en el conjunto de datos original y sus implicaciones en el rendimiento general de detección. Los resultados revelaron la idoneidad de utilizar el conjunto de datos CSE-CIC-IDS2018 para evaluar modelos de aprendizaje profundo supervisados. También fue posible evaluar la robustez del uso de métodos CNN y LSTM para detectar actividad normal no vista y variaciones de ataques previamente entrenados. Los resultados revelan que los métodos de reducción de características disminuyeron el tiempo de procesamiento sin pérdida de precisión en el rendimiento general de detección.