Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] RNNSecureNet: Recurrent neural networks for Cyber security use-cases

Mohammed Harun Babu R, R. Vinayakumar|arXiv (Cornell University)|Jan 1, 2018
Network Security and Intrusion Detection参考文献 27被引用数 11
ひとこと要約

本論文では、Androidマルウェア分類、インcidnet検出、不正検出を含むサイバー・セキュリティ用途を想定したRNNベースのフレームワーク、RNNSecureNetを提案する。バッチ正規化とドロップアウトを用いたスタックされたRNN層による順序データモデリングにより、特にインシデント検出(99.7%の正確性)と不正検出(91.8%の正確性)において、SVMを上回る優れた正確性を達成し、RNNがセキュリティデータ内の複雑な順序パターンを学習する有効性を示している。

ABSTRACT

Recurrent neural network (RNN) is an effective neural network in solving very complex supervised and unsupervised tasks. There has been a significant improvement in RNN field such as natural language processing, speech processing, computer vision and other multiple domains. This paper deals with RNN application on different use cases like Incident Detection, Fraud Detection, and Android Malware Classification. The best performing neural network architecture is chosen by conducting different chain of experiments for different network parameters and structures. The network is run up to 1000 epochs with learning rate set in the range of 0.01 to 0.5.Obviously, RNN performed very well when compared to classical machine learning algorithms. This is mainly possible because RNNs implicitly extracts the underlying features and also identifies the characteristics of the data. This helps to achieve better accuracy.

研究の動機と目的

  • 順方向ニューラルネットワーク(RNN)が、マルウェア検出、インシデント検出、不正検出といったサイバー・セキュリティ用途において効果的であるかどうかを評価すること。
  • SVMのような古典的機械学習モデルと比較して、RNNが複雑で進化するサイバー脅威を検出する能力を評価すること。
  • セキュリティ応用に最適なRNNアーキテクチャ、ハイパーパramータ(学習率、層の深さ、ユニット数)および正則化手法を同定すること。
  • RNNが従来の手法よりも、生のセキュリティデータから階層的で順序的な特徴をより効果的に学習できることを示すこと。

提案手法

  • ハイパーパramータチューニング後に1~7層のスタックされた再帰層を備えた深層RNNアーキテクチャを提案し、各層に768ユニットを設定した。
  • 過学習を防ぎ、学習を加速するためにバッチ正規化とドロップアウト(0.001)を採用した。
  • 二値分類タスク(マルウェアおよびインシデント検出)にはバイナリ・クロスエントロピー損失を、多クラス分類タスク(不正検出)にはカテゴリカル・クロスエントロピー損失を用いた。
  • 分類損失を最小化するために確率的勾配降下法(SGD)を最適化手法として採用した。
  • 10分割交差検証と700~1000エポックの学習を用いて、最適な学習率(0.01)とネットワーク深さ(マルウェア検出には6層、インシデント/不正検出には3層)を特定した。
  • 訓練の入力シーケンスとして、APKファイルからのAPIコールシーケンス、UTMログおよび合成金融データからのイベント/ログシーケンスを用いた。

実験結果

リサーチクエスチョン

  • RQ1APIコールシーケンスに基づくAndroidマルウェア検出において、RNNはSVMのような古典的機械学習モデルを上回ることができるか?
  • RQ2統合脅威管理(UTM)ログにおける順序パターンのモデリングに関して、RNNはどの程度有効であるか?
  • RQ3従来の分類器と比較して、RNNは金融取引における不正検出の正確性をどの程度向上させることができるか?
  • RQ4異なるサイバー・セキュリティ用途に最適なRNNアーキテクチャ(深さ、幅、学習率)は何か?

主な発見

  • インシデント検出においてRNNは99.7%の正確性を達成し、SVMの99.3%を上回り、優れた順序パターン学習能力を示した。
  • 不正検出においてRNNは91.8%の正確性とFスコアを達成し、SVM(91.7%の正確性、91.7%のFスコア)をわずかに上回った。
  • Androidマルウェア分類においてRNNは74.1%の正確性を達成し、SVMの72.3%を上回り、複雑なマルウェア行動の検出が向上した。
  • マルウェア検出には6層のRNNアーキテクチャが最適であったのに対し、インシデントおよび不正検出には3層のRNNが最適であった。
  • 最適な学習率は0.01であった。これより高い値(例:0.05)は正確性の低下を引き起こし、ハイパーパramータチューニングへの感受性を示した。
  • バッチ正規化とドロップアウトの使用により、特に大規模なセキュリティデータセットで学習された深層RNNにおける過学習が顕著に低減された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。