[GNN + flujo condensado] NE-GConv: una red convolucional de gráfico de borde de nodo ligero para la detección de intrusiones

Título del trabajo

Título en chino : NE-GConv: una red convolucional de gráfico de borde de nodo ligero para la detección de intrusiones
Revista publicada : Computers & Security
Año de publicación : 2023-5
Autores : Tanzeela Altaf, Xu Wang, Wei Ni
latex Cita :

@article{altaf2023ne,
  title={NE-GConv: A lightweight node edge graph convolutional network for intrusion detection},
  author={Altaf, Tanzeela and Wang, Xu and Ni, Wei and Liu, Ren Ping and Braun, Robin},
  journal={Computers \& Security},
  volume={130},
  pages={103285},
  year={2023},
  publisher={Elsevier}
}

Resumen

Los dispositivos con recursos limitados se han convertido en la herramienta elegida por los ciberdelincuentes para lanzar ciberataques. El sistema de detección de intrusos en la red (NIDS) juega un papel vital en la detección de ataques a la red. La técnica de red neuronal gráfica (GNN) de última generación aprende a través de datos estructurados en gráficos, que pueden capturar la influencia de la red, y ha logrado amplios resultados en la detección de ataques a la red. Sin embargo, la mayoría de los métodos GNN se limitan a considerar las características de los nodos o las características de los bordes.

Nuestro método propuesto supera esta limitación al proponer un marco de red convolucional de gráfico de borde de nodo (NEGConv) equipado con características de nodo y borde. Entre ellos, la dirección IP y el número de puerto se combinan para formar un gráfico de red, y las características del nodo y el borde se definen a partir del contenido del mensaje y los datos de flujo de la red, respectivamente. Luego, se diseña un modelo de dos capas que clasifica implícitamente los bordes mediante el uso de características de nodo y borde de forma explícita. Por lo tanto, el modelo es sensible a la intrusión tanto del contenido del paquete como del flujo de la red. Además, nuestro marco aborda la limitación de dispositivos livianos mediante el uso de una unidad de selección de características antes de NEGConv y minimizando la cantidad de capas ocultas en NE-GConv. Los resultados experimentales muestran que nuestro modelo supera a otros modelos GNN en términos de precisión y tasa de falsos positivos, y es computacionalmente eficiente.

Problemas existentes

1. Los modelos tradicionales funcionan mal en la detección y requieren muchos recursos en términos de costo computacional y memoria.
2. Los modelos GNN existentes se limitan a considerar características de nodo o características de borde

contribución en papel

1. Se propone una nueva estructura gráfica para capturar de manera integral las relaciones de tráfico de la red, donde los nodos se denominan hosts y los bordes se denominan comunicación entre nodos. Las entidades de datos de red tienen asociaciones estructurales con nodos o bordes. Nos referimos a las características de nivel de aplicación/contenido de paquete de red como características de nodo y a los flujos de red como características de borde, respectivamente. Esto captura las características de tráfico de los hosts y las conexiones de flujo en la estructura del gráfico de red.
2. Se propone un modelo de convolución de gráfico de borde de nodo de dos capas (NE-GConv) que es sensible a la intrusión de características de borde y nodo. Se define una nueva función de agregación para aprender, agregar y generalizar características de nodo y borde (carga y flujo) durante la fase de paso de mensajes de NE-GConv.
3. Desarrollamos un marco IDS liviano para satisfacer las necesidades de implementación de dispositivos con recursos limitados. El marco IDS emplea el algoritmo de Eliminación de características recursivas (RFE) para seleccionar el conjunto de características de entrada mínimo para NE-GConv e implementa una arquitectura eficiente de dos capas en NE-GConv.

El método del papel para resolver los problemas anteriores:

1. Se propone un modelo GNN ligero
2. El nuevo modelo propuesto puede aprender, agregar y generalizar en nodos y bordes simultáneamente.

Tareas de la tesis:

Detección de intrusiones, clasificación binaria: el problema de clasificación de nivel de borde de los gráficos

1. Marco IDS

• Unidad de preprocesamiento de datos : limpieza de datos, codificación de etiquetas, normalización de características.
• Unidad de construcción de gráficos : Composición
• Unidad de selección de características : esta unidad realiza tareas de selección de características al filtrar las mejores características del conjunto de datos original utilizando técnicas RFE.
• Unidad de entrenamiento : entrenar el modelo
• Unidad de evaluación : Esta unidad se encarga de probar y evaluar el modelo entrenado propuesto.

2. Construcción de gráficos

• Nodo $V$ : host, emparejando IP-Port para representar el host, a fin de construir un nodo gráfico
• Característica de nodo $F_{}$: incluye observaciones específicas del host, como campos de carga. Conexión del nodo de origen al nodo de destino
• 边$E$ : Hay un borde entre dos hosts que se comunican
• Características de borde $F_{}$: como la duración del flujo, el número de paquetes y la hora de llegada

Dado que los ataques pueden ocurrir a nivel de host y de red , es fundamental incluir funciones de nodo y borde para identificar anomalías.

3. NE-GConv

Específicamente, se utilizan dos capas de GCN mejorado. Los bordes del gráfico se dividen en dos tipos: maliciosos y normales. El objetivo de la tarea es clasificar los tipos de borde del gráfico.

GCN mejorado:

La función de paso de mensajes de GCN tradicional solo considera las características del nodo agregado. Para lograr el efecto sinérgico de las funciones de nodo y las funciones de borde en el modelo, el modelo GConv estándar debe modificarse para incluir funciones de borde. Así que reconstruya una fórmula de agregación:

$$AGG(F\_{}_{v_{}},F_{v_{}},F_{{mi}_{}})=\underset{v_{}\in {norte}_{}\left(v_{}\right)\cup \left(v_{}\right)}{}{F}_{{mi}_{}}◦F_{v_{}}$$
donde ◦ representa una operación por elementos. Por ejemplo, suponga que los nodos 1 y 2, y 1 y 3 son adyacentes. Entonces $F_{{mi}_{}}$La dimensión es [1, edge_feature], $F_{v_{}}$La dimensión es [1, node_feature]; $F_{{mi}_{}}$La dimensión es [1, edge_feature], $F_{v_{}}$La dimensión es [1, node_feature]; $F_{{mi}_{}}$La dimensión es [1, edge_feature], $F_{v_{}}$Las dimensiones son [1, node_feature];. Realice operaciones elementales en ellos, a saber, $F_{{mi}_{}}$◦ $F_{v_{}}$+ $F_{{mi}_{}}$◦ $F_{v_{}}$+ $F_{{mi}_{}}$◦ $F_{v_{}}$( Nota: aquí solo cuando edge_feature==node_feature puede completar la multiplicación por elementos ). La dimensión del resultado calculado es [1, edge_feature]

Nota: vj v_j en esta fórmula$v_{}$incluido el nodo propio

El flujo de algoritmo específico es el siguiente:

Resumir

1. Pros y contras de la disertación

   ventaja:

   1. Se mejoró el GCN tradicional para poder agregar características de nodo y características de borde

   defecto:

   1. La innovación necesita ser estudiada.La multiplicación y adición de las características de los nodos y las características de los bordes una por una debe garantizar que las dimensiones de las características de los nodos y las características de los bordes sean las mismas, y no existe una base teórica para multiplicar una por una.
   2. La discusión no es profunda, por ejemplo: no se discute el tipo específico de estructura de gráfico, y diferentes gráficos son adecuados para diferentes modelos, y la escala del gráfico no se discute.
   3. Las características del huésped no están muy claras.

Siento que este artículo tiene un gran problema: la teoría del punto de innovación no funciona en absoluto. El número de nodos en el gráfico debe ser el mismo que el número de bordes, y el número de características del nodo debe ser el mismo que el número de bordes para correr a través de la red neuronal.