[論文レビュー] AutoIDS: Auto-encoder Based Method for Intrusion Detection System
AutoIDS は二つの自動エンコーダのカスケード(スパース AE と通常の AE)を用い、正常トラフィックで訓練して半教師ありで侵入を検出し、NSL-KDD で 90.17% の精度を達成、計算負荷を削減。
Intrusion Detection System (IDS) is one of the most effective solutions for providing primary security services. IDSs are generally working based on attack signatures or by detecting anomalies. In this paper, we have presented AutoIDS, a novel yet efficient solution for IDS, based on a semi-supervised machine learning technique. AutoIDS can distinguish abnormal packet flows from normal ones by taking advantage of cascading two efficient detectors. These detectors are two encoder-decoder neural networks that are forced to provide a compressed and a sparse representation from the normal flows. In the test phase, failing these neural networks on providing compressed or sparse representation from an incoming packet flow, means such flow does not comply with the normal traffic and thus it is considered as an intrusion. For lowering the computational cost along with preserving the accuracy, a large number of flows are just processed by the first detector. In fact, the second detector is only used for difficult samples which the first detector is not confident about them. We have evaluated AutoIDS on the NSL-KDD benchmark as a widely-used and well-known dataset. The accuracy of AutoIDS is 90.17\% showing its superiority compared to the other state-of-the-art methods.
研究の動機と目的
- 署名だけに頼るのではなく異常検知で侵入検知を動機づける。
- 正常トラフィックのみから学習する半教師ありアプローチを開発する。
- 二段階検出器カスケードにより検出精度を高めつつ計算コストを削減する。
- 未知の攻撃に対する方法の一般化能力を標準ベンチマークで示す。
提案手法
- 軽量なスパース auto-encoder (SAE) と従来の auto-encoder (AE) のカスケードを提案する。
- 両方の検出器を正常トラフィックのみに対して訓練し、正常なトラフィック表現を学習する。
- D1 (SAE) は潜在表現のスパース性を τ_min および τ_max の閾値で活用し、Normal、Anomaly、Unknown のサンプルをフラグ付けして高速な早期拒否を可能にする。
- D2 (AE) は再構成誤差と閾値 thr_AE(ROC分析で設定)を用いて、D1 で Unknown と判定されたサンプルのうち正常か異常かを判別する。
- 大規模なトラフィックを D1 で処理し、不確定なサンプルのみを D2 に渡して精度と速度のバランスを取る。
- 二つの特徴空間(D1 のスパース性と D2 の再構成誤差)を利用して全体的な識別性を向上させる。
実験結果
リサーチクエスチョン
- RQ1AutoIDS は訓練データとして正常トラフィックのみを用いて正確に異常を検出できるか(半教師あり学習)?
- RQ2スパース SAE と AE のカスケードは、それぞれの検出器を単独で使用する場合と比較して検出精度を向上させ、フローあたりの平均処理時間を短縮するか?
- RQ3未知/見知らぬ攻撃に対して AutoIDS は最先端の異常ベース IDS メソッドと比較してどのように性能を発揮するか?
- RQ4閾値設計(tau_min, tau_max, thr_AE)が検知性能と ROC 特性に与える影響は?
主な発見
- AutoIDS は NSL-KDD で 90.17% の精度を達成し、KDDTrain+ で訓練し KDDTest+ でテスト、いくつかの最先端の異常ベース手法を上回る。
- AutoIDS は NSL-KDD の未知攻撃への一般化が、訓練が正常データのみに焦点を当てた比較で示されたように、いくつかの監視付き手法よりも良い。
- アブレーション研究は、2検出器カスケード(D1 はスパース性、D2 は再構成誤差)を用いると、いずれか単独の検出器よりも精度、リコール、F-score が高いことを示した。
- カスケードは実行時間を短縮する:受信フローごとの平均テスト時間は AutoIDS(D1S→D2R)で 137 μs、D2R で 195 μs、D1R で 202 μs。
- thr_AE の ROC ベースの閾値選択はリコールと偽陽性のトレードオフを最適化し、頑健な異常検知に寄与。
- AutoIDS はほとんどのサンプルを高速な D1 ステージで処理する恩恵を受け、正確だがコストの高い D2 ステージは難しいケースに留めておく。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。