Methods and means to improve the efficiency of network traffic security monitoring based on artificial intelligence
Вантажиться...
Дата
2023
Автори
DOI
doi.org/10.20998/2079-0023.2023.02.11
Науковий ступінь
Рівень дисертації
Шифр та назва спеціальності
Рада захисту
Установа захисту
Науковий керівник
Члени комітету
Видавець
Національний технічний університет "Харківський політехнічний інститут"
Анотація
This paper aims to provide a solution for malicious network traffic detection and categorization. Remote attacks on computer systems are becoming more common and more dangerous nowadays. This is due to several factors, some of which are as follows: first of all, the usage of computer networks and network infrastructure overall is on the rise, with tools such as messengers, email, and so on. Second, alongside increased usage, the amount of sensitive information being transmitted over networks has also grown. Third, the usage of computer networks for complex systems, such as grid and cloud computing, as well as IoT and "smart" locations (e.g., "smart city") has also seen an increase. Detecting malicious network traffic is the first step in defending against a remote attack. Historically, this was handled by a variety of algorithms, including machine learning algorithms such as clustering. However, these algorithms require a large amount of sample data to be effective against a given attack. This means that defending against zero‑day attacks or attacks with high variance in input data proves difficult for such algorithms. In this paper, we propose a semi‑supervised generative adversarial network (GAN) to train a discriminator model to categorize malicious traffic as well as identify malicious and non‑malicious traffic. The proposed solution consists of a GAN generator that creates tabular data representing network traffic from a remote attack and a classifier deep neural network for said traffic. The main goal is to achieve accurate categorization of malicious traffic with a few labeled examples. This can also, in theory, improve classification accuracy compared to fully supervised models. It may also improve the model’s performance against completely new types of attacks. The resulting model shows a prediction accuracy of 91 %, which is lower than a conventional deep learning model; however, this accuracy is achieved with a small sample of data (under 1000 labeled examples). As such, the results of this research may be used to improve computer system security, for example, by using dynamic firewall rule adjustments based on the results of incoming traffic classification. The proposed model was implemented and tested in the Python programming language and the TensorFlow framework. The dataset used for testing is the NSL‑KDD dataset.
Ця стаття має на меті запропонувати рішення для виявлення та категоризації шкідливого мережевого трафіку. Віддалені атаки на комп'ютерні системи стають все більш поширеними та небезпечними в наш час. Це пов'язано з декількома факторами, деякі з яких наведені нижче. Поперше, зростає використання комп'ютерних мереж та мережевої інфраструктури в цілому за допомогою таких інструментів, як месенджери, електронна пошта тощо. По-друге, разом зі збільшенням використання зростає і обсяг конфіденційної інформації, що передається мережами. По-третє, зросло використання комп'ютерних мереж у складних системах, таких як електромережі, хмарні обчислення, а також Інтернет речей і "розумні" локації (наприклад, "розумне місто"). Виявлення шкідливого мережевого трафіку є першим кроком у захисті від віддаленої атаки. Історично це робилося за допомогою різних алгоритмів, в тому числі алгоритмів машинного навчання, таких як кластеризація. Однак ці алгоритми вимагають великої кількості вибіркових даних, щоб бути ефективними проти певної атаки. Це означає, що захист від атак нульового дня або атак з великою дисперсією вхідних даних виявляється складним для таких алгоритмів. У цій статті ми пропонуємо напівкеровану генеративну змагальну мережу (GAN) для навчання моделі дискримінатора для класифікації зловмисного трафіку, а також для ідентифікації зловмисного і нешкідливого трафіку. Запропоноване рішення складається з генератора GAN, який створює табличні дані, що представляють мережевий трафік від віддаленої атаки, і класифікатора глибокої нейронної мережі для цього трафіку. Основна мета – досягти точної категоризації шкідливого трафіку за допомогою невеликої кількості маркованих прикладів. Теоретично це також може підвищити точність класифікації порівняно з повністю контрольованими моделями. Це також може покращити ефективність моделі проти абсолютно нових типів атак. Отримана модель показує точність передбачення 91%, що нижче, ніж у звичайної моделі глибокого навчання, однак ця точність досягається на невеликій вибірці даних (менше 1000 маркованих прикладів). Таким чином, результати цього дослідження можуть бути використані для підвищення безпеки комп'ютерних систем, наприклад, за допомогою динамічного налаштування правил брандмауера на основі результатів класифікації вхідного трафіку. Запропонована модель була реалізована та протестована на мові програмування Python та фреймворку Tensorflow. Для тестування використовувався набір даних NSL-KDD.
Ця стаття має на меті запропонувати рішення для виявлення та категоризації шкідливого мережевого трафіку. Віддалені атаки на комп'ютерні системи стають все більш поширеними та небезпечними в наш час. Це пов'язано з декількома факторами, деякі з яких наведені нижче. Поперше, зростає використання комп'ютерних мереж та мережевої інфраструктури в цілому за допомогою таких інструментів, як месенджери, електронна пошта тощо. По-друге, разом зі збільшенням використання зростає і обсяг конфіденційної інформації, що передається мережами. По-третє, зросло використання комп'ютерних мереж у складних системах, таких як електромережі, хмарні обчислення, а також Інтернет речей і "розумні" локації (наприклад, "розумне місто"). Виявлення шкідливого мережевого трафіку є першим кроком у захисті від віддаленої атаки. Історично це робилося за допомогою різних алгоритмів, в тому числі алгоритмів машинного навчання, таких як кластеризація. Однак ці алгоритми вимагають великої кількості вибіркових даних, щоб бути ефективними проти певної атаки. Це означає, що захист від атак нульового дня або атак з великою дисперсією вхідних даних виявляється складним для таких алгоритмів. У цій статті ми пропонуємо напівкеровану генеративну змагальну мережу (GAN) для навчання моделі дискримінатора для класифікації зловмисного трафіку, а також для ідентифікації зловмисного і нешкідливого трафіку. Запропоноване рішення складається з генератора GAN, який створює табличні дані, що представляють мережевий трафік від віддаленої атаки, і класифікатора глибокої нейронної мережі для цього трафіку. Основна мета – досягти точної категоризації шкідливого трафіку за допомогою невеликої кількості маркованих прикладів. Теоретично це також може підвищити точність класифікації порівняно з повністю контрольованими моделями. Це також може покращити ефективність моделі проти абсолютно нових типів атак. Отримана модель показує точність передбачення 91%, що нижче, ніж у звичайної моделі глибокого навчання, однак ця точність досягається на невеликій вибірці даних (менше 1000 маркованих прикладів). Таким чином, результати цього дослідження можуть бути використані для підвищення безпеки комп'ютерних систем, наприклад, за допомогою динамічного налаштування правил брандмауера на основі результатів класифікації вхідного трафіку. Запропонована модель була реалізована та протестована на мові програмування Python та фреймворку Tensorflow. Для тестування використовувався набір даних NSL-KDD.
Опис
Ключові слова
cybersecurity, network security, malicious traffic identification, machine learning, generational adversarial networks, semi-supervised learning, кібербезпека, мережева безпека, ідентифікація шкідливого трафіку, машинне навчання, генеративні змагальні мережі, напівкероване навчання
Бібліографічний опис
Dremov A. K. Methods and means to improve the efficiency of network traffic security monitoring based on artificial intelligence / A. K. Dremov // Вісник Національного технічного університету "ХПІ". Сер. : Системний аналіз, управління та інформаційні технології = Bulletin of the National Technical University "KhPI". Ser. : System analysis, control and information technology : зб. наук. пр. – Харків : НТУ "ХПІ", 2023. – № 2 (10). – С. 73-78.