Mejorando la detección de ataques de múltiples clases en redes neuronales gráficas a través de la reorganización de características
Autores: Le, Hong-Dang; Park, Minho
Idioma: Inglés
Editor: MDPI
Año: 2024
Acceso abierto
Artículo científico
2024
Mejorando la detección de ataques de múltiples clases en redes neuronales gráficas a través de la reorganización de características
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Tamaños de red
Esquemas de ataque
Sistemas de detección de intrusiones multi-clase
Aprendizaje profundo
Redes Neuronales Gráficas
Características de borde
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 35
Citaciones: Sin citaciones
A medida que crecen los tamaños de las redes, los esquemas de ataque no solo se vuelven más variados, sino que también aumentan en complejidad. Esta diversificación conduce a una proliferación de variantes de ataque, complicando la identificación y diferenciación de posibles amenazas. Mejorar la seguridad del sistema requiere la implementación de sistemas de detección de intrusiones de múltiples clases. Este enfoque permite la categorización del tráfico de red entrante en distintos tipos de intrusión e ilustra el ataque específico encontrado dentro de Internet. Numerosos estudios han aprovechado el aprendizaje profundo (DL) para los Sistemas de Detección de Intrusiones Basados en Red (NIDS), con el objetivo de mejorar la detección de intrusiones. Entre estos algoritmos de DL, las Redes Neuronales Gráficas (GNN) destacan por su capacidad para procesar eficientemente datos no estructurados, especialmente tráfico de red, lo que las hace particularmente adecuadas para aplicaciones de NIDS. Aunque los NIDS suelen monitorear flujos entrantes y salientes en una red, representados como características de borde en formato de grafo, los estudios tradicionales de GNN solo consideran características de nodo, pasando por alto las características de borde. Este descuido puede resultar en la pérdida de datos de flujo importantes y disminuir la capacidad del sistema para detectar ataques de manera efectiva. Para abordar esta limitación, nuestra investigación realiza varias contribuciones clave: (1) Enfatizar la importancia de las características de borde para mejorar GNN para la detección de intrusiones de múltiples clases, (2) Utilizar información de puerto, que es esencial para identificar ataques pero a menudo se pasa por alto durante el entrenamiento, (3) Reorganizar características incrustadas dentro del grafo. Al hacer esto, el grafo puede representar cerca de la red real, donde el nodo muestra información de identificación del extremo como direcciones IP y puertos; el borde contiene información relacionada con el flujo como Duración, Número de Paquetes/s y Longitud; (4) En comparación con los métodos tradicionales, nuestros experimentos demuestran mejoras significativas en el rendimiento en los conjuntos de datos CIC-IDS-2017 (98.32%) y UNSW-NB15 (96.71%).
Descripción
A medida que crecen los tamaños de las redes, los esquemas de ataque no solo se vuelven más variados, sino que también aumentan en complejidad. Esta diversificación conduce a una proliferación de variantes de ataque, complicando la identificación y diferenciación de posibles amenazas. Mejorar la seguridad del sistema requiere la implementación de sistemas de detección de intrusiones de múltiples clases. Este enfoque permite la categorización del tráfico de red entrante en distintos tipos de intrusión e ilustra el ataque específico encontrado dentro de Internet. Numerosos estudios han aprovechado el aprendizaje profundo (DL) para los Sistemas de Detección de Intrusiones Basados en Red (NIDS), con el objetivo de mejorar la detección de intrusiones. Entre estos algoritmos de DL, las Redes Neuronales Gráficas (GNN) destacan por su capacidad para procesar eficientemente datos no estructurados, especialmente tráfico de red, lo que las hace particularmente adecuadas para aplicaciones de NIDS. Aunque los NIDS suelen monitorear flujos entrantes y salientes en una red, representados como características de borde en formato de grafo, los estudios tradicionales de GNN solo consideran características de nodo, pasando por alto las características de borde. Este descuido puede resultar en la pérdida de datos de flujo importantes y disminuir la capacidad del sistema para detectar ataques de manera efectiva. Para abordar esta limitación, nuestra investigación realiza varias contribuciones clave: (1) Enfatizar la importancia de las características de borde para mejorar GNN para la detección de intrusiones de múltiples clases, (2) Utilizar información de puerto, que es esencial para identificar ataques pero a menudo se pasa por alto durante el entrenamiento, (3) Reorganizar características incrustadas dentro del grafo. Al hacer esto, el grafo puede representar cerca de la red real, donde el nodo muestra información de identificación del extremo como direcciones IP y puertos; el borde contiene información relacionada con el flujo como Duración, Número de Paquetes/s y Longitud; (4) En comparación con los métodos tradicionales, nuestros experimentos demuestran mejoras significativas en el rendimiento en los conjuntos de datos CIC-IDS-2017 (98.32%) y UNSW-NB15 (96.71%).