Un novedoso estructura de aprendizaje profundo de dos etapas para la detección de anomalías en el flujo de red
Autores: Kao, Ming-Tsung; Sung, Dian-Ye; Kao, Shang-Juh; Chang, Fu-Min
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Un novedoso estructura de aprendizaje profundo de dos etapas para la detección de anomalías en el flujo de red
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Ciberataques
Detección de anomalías
Aprendizaje profundo
Modelo GRU
DAE
Precisión
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 27
Citaciones: Sin citaciones
Los ciberataques desconocidos han aparecido constantemente. Se han propuesto varias técnicas de detección de anomalías basadas en aprendizaje semisupervisado para detectar estos ciberataques desconocidos. Entre ellas, el esquema del Auto-Codificador de Ruido (DAE) funciona mejor que otros en precisión pero no es lo suficientemente bueno en precisión. Este documento propone una nueva estructura de aprendizaje profundo de dos etapas para la detección de anomalías en el flujo de red mediante la combinación de los modelos de Unidad Recurrente de Puerta (GRU) y DAE. Al utilizar la detección de anomalías supervisada con un mecanismo de selección para ayudar en la detección de anomalías semisupervisada, se mejora la precisión y la exactitud del sistema de detección de anomalías. En la estructura propuesta, primero utilizamos el modelo GRU para analizar el flujo de red y luego tomamos el resultado de la función Softmax como puntaje de confianza. Cuando el puntaje es igual o mayor al umbral de confianza predefinido, el modelo GRU emite el flujo como un resultado positivo, sin importar si el flujo se clasifica como normal o anormal. Cuando el puntaje es menor que el umbral de confianza, el modelo GRU emite el flujo como un resultado negativo y pasa el flujo al modelo DAE para su clasificación. DAE luego determina un umbral de error de reconstrucción aprendiendo el patrón de los flujos normales. En consecuencia, el flujo es normal o anormal dependiendo de si está por debajo o por encima del umbral de error de reconstrucción. Se realiza un experimento comparativo utilizando el conjunto de datos NSL-KDD como referencia. Los resultados revelaron que la precisión utilizando el esquema propuesto es un 0,83% mejor que DAE. La precisión utilizando el enfoque propuesto es del 90,21%, que es mejor que Random Forest, Naïve Bayes, Red Neuronal Convolucional Unidimensional, Auto-Codificador de dos etapas, etc. Además, el enfoque propuesto también se aplica al entorno de red definida por software (SDN). Al adoptar nuestro enfoque en el entorno de SDN, la precisión y la medida F se mejoran significativamente.
Descripción
Los ciberataques desconocidos han aparecido constantemente. Se han propuesto varias técnicas de detección de anomalías basadas en aprendizaje semisupervisado para detectar estos ciberataques desconocidos. Entre ellas, el esquema del Auto-Codificador de Ruido (DAE) funciona mejor que otros en precisión pero no es lo suficientemente bueno en precisión. Este documento propone una nueva estructura de aprendizaje profundo de dos etapas para la detección de anomalías en el flujo de red mediante la combinación de los modelos de Unidad Recurrente de Puerta (GRU) y DAE. Al utilizar la detección de anomalías supervisada con un mecanismo de selección para ayudar en la detección de anomalías semisupervisada, se mejora la precisión y la exactitud del sistema de detección de anomalías. En la estructura propuesta, primero utilizamos el modelo GRU para analizar el flujo de red y luego tomamos el resultado de la función Softmax como puntaje de confianza. Cuando el puntaje es igual o mayor al umbral de confianza predefinido, el modelo GRU emite el flujo como un resultado positivo, sin importar si el flujo se clasifica como normal o anormal. Cuando el puntaje es menor que el umbral de confianza, el modelo GRU emite el flujo como un resultado negativo y pasa el flujo al modelo DAE para su clasificación. DAE luego determina un umbral de error de reconstrucción aprendiendo el patrón de los flujos normales. En consecuencia, el flujo es normal o anormal dependiendo de si está por debajo o por encima del umbral de error de reconstrucción. Se realiza un experimento comparativo utilizando el conjunto de datos NSL-KDD como referencia. Los resultados revelaron que la precisión utilizando el esquema propuesto es un 0,83% mejor que DAE. La precisión utilizando el enfoque propuesto es del 90,21%, que es mejor que Random Forest, Naïve Bayes, Red Neuronal Convolucional Unidimensional, Auto-Codificador de dos etapas, etc. Además, el enfoque propuesto también se aplica al entorno de red definida por software (SDN). Al adoptar nuestro enfoque en el entorno de SDN, la precisión y la medida F se mejoran significativamente.