Desarrollando detección de intrusiones basada en host en varios dominios
Autores: Ajayi, Oluwagbemiga; Gangopadhyay, Aryya; Erbacher, Robert F.; Bursat, Carl
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Desarrollando detección de intrusiones basada en host en varios dominios
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Transformación digital
Industrias
Ciberseguridad
Aprendizaje automático
Detección de intrusiones
Enfoque de múltiples dominios
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 29
Citaciones: Sin citaciones
La transformación digital ha seguido teniendo un impacto notable en las industrias, creando nuevas posibilidades y mejorando el rendimiento de las existentes. Recientemente, hemos visto más implementaciones de sistemas ciberfísicos y el Internet de las cosas (IoT) como nunca antes. Sin embargo, la ciberseguridad a menudo es una idea secundaria en el diseño e implementación de muchos sistemas; por lo tanto, suele haber una introducción de nuevas superficies de ataque a medida que se despliegan nuevos sistemas y aplicaciones. El aprendizaje automático ha sido útil para crear modelos de detección de intrusiones, pero es impráctico crear modelos de detección de ataques con un rendimiento aceptable para cada infraestructura informática individual y los diversos escenarios de ataque debido al costo de recopilar datos etiquetados de calidad y entrenar modelos. Por lo tanto, hay una necesidad de desarrollar modelos que puedan aprovechar el conocimiento disponible en un dominio fuente de alto recurso para mejorar el rendimiento de un modelo de dominio objetivo de bajo recurso. En este trabajo, proponemos un enfoque novedoso basado en el aprendizaje profundo entre dominios para la detección de ataques en Sistemas de Detección de Intrusos basados en el Host (HIDS). Específicamente, desarrollamos un método para la selección de dominios fuente candidatos entre un grupo de posibles dominios fuente calculando la puntuación de similitud que un dominio objetivo registra al emparejarse con un dominio fuente potencial. Luego, utilizando diferentes técnicas de combinación de espacios de incrustación de palabras y enfoque de aprendizaje por transferencia, aprovechamos el conocimiento de un modelo de dominio fuente que funciona bien para mejorar el rendimiento de un modelo similar en el dominio objetivo. Para evaluar nuestro enfoque propuesto, utilizamos el Conjunto de Datos de Detección de Intrusos de Leipzig (LID-DS), un conjunto de datos HIDS registrado en un sistema operativo moderno que consta de diferentes escenarios de ataque. Nuestro enfoque de cruce de dominios propuesto registró una mejora significativa en los dominios objetivo en comparación con los resultados de los experimentos de en-dominio. Basándonos en los resultados, el puntaje F2 del dominio objetivo CWE-307 mejoró del 80% en el enfoque de en-dominio al 87% en el enfoque entre dominios, mientras que el dominio objetivo CVE-2014-0160 mejoró del 13% al 85%.
Descripción
La transformación digital ha seguido teniendo un impacto notable en las industrias, creando nuevas posibilidades y mejorando el rendimiento de las existentes. Recientemente, hemos visto más implementaciones de sistemas ciberfísicos y el Internet de las cosas (IoT) como nunca antes. Sin embargo, la ciberseguridad a menudo es una idea secundaria en el diseño e implementación de muchos sistemas; por lo tanto, suele haber una introducción de nuevas superficies de ataque a medida que se despliegan nuevos sistemas y aplicaciones. El aprendizaje automático ha sido útil para crear modelos de detección de intrusiones, pero es impráctico crear modelos de detección de ataques con un rendimiento aceptable para cada infraestructura informática individual y los diversos escenarios de ataque debido al costo de recopilar datos etiquetados de calidad y entrenar modelos. Por lo tanto, hay una necesidad de desarrollar modelos que puedan aprovechar el conocimiento disponible en un dominio fuente de alto recurso para mejorar el rendimiento de un modelo de dominio objetivo de bajo recurso. En este trabajo, proponemos un enfoque novedoso basado en el aprendizaje profundo entre dominios para la detección de ataques en Sistemas de Detección de Intrusos basados en el Host (HIDS). Específicamente, desarrollamos un método para la selección de dominios fuente candidatos entre un grupo de posibles dominios fuente calculando la puntuación de similitud que un dominio objetivo registra al emparejarse con un dominio fuente potencial. Luego, utilizando diferentes técnicas de combinación de espacios de incrustación de palabras y enfoque de aprendizaje por transferencia, aprovechamos el conocimiento de un modelo de dominio fuente que funciona bien para mejorar el rendimiento de un modelo similar en el dominio objetivo. Para evaluar nuestro enfoque propuesto, utilizamos el Conjunto de Datos de Detección de Intrusos de Leipzig (LID-DS), un conjunto de datos HIDS registrado en un sistema operativo moderno que consta de diferentes escenarios de ataque. Nuestro enfoque de cruce de dominios propuesto registró una mejora significativa en los dominios objetivo en comparación con los resultados de los experimentos de en-dominio. Basándonos en los resultados, el puntaje F2 del dominio objetivo CWE-307 mejoró del 80% en el enfoque de en-dominio al 87% en el enfoque entre dominios, mientras que el dominio objetivo CVE-2014-0160 mejoró del 13% al 85%.