Explainable Intrusion Detection Systems Using Competitive Learning Techniques

要約

人工知能 (AI) 対応の侵入検知における現在の最先端システムは、さまざまなブラック ボックス方式を使用しています。
これらのブラック ボックス メソッドは、通常、正確なモデルの作成に重点を置いたエラー ベース ラーニング (EBL) 手法を使用してトレーニングされます。
これらのモデルはパフォーマンス コストが高く、簡単に説明できません。
ホワイトボックスの競合学習 (CL) ベースの eXplainable Intrusion Detection System (X-IDS) は、これらの問題に対する潜在的な解決策を提供します。
CL モデルは、EBL アプローチとはまったく異なる学習パラダイムを利用します。
この異なる学習プロセスにより、CL ファミリのアルゴリズムは本質的に説明可能になり、リソースの消費が少なくなります。
このホワイト ペーパーでは、説明可能なシステムに対する DARPA の推奨事項に基づいた X-IDS アーキテクチャを作成します。
私たちのアーキテクチャでは、自己組織化マップ (SOM)、成長する自己組織化マップ (GSOM)、成長する階層的自己組織化マップ (GHSOM) などの CL アルゴリズムを活用しています。
結果のモデルをデータマイニングして、統計的および視覚的な説明を作成できます。
当社のアーキテクチャは、NSL-KDD および CIC-IDS-2017 ベンチマーク データセットを使用してテストされており、EBL モデルよりも 1% ～ 3% 低い精度を実現しています。
ただし、CL モデルは EBL モデルよりもはるかに説明可能です。
さらに、これらの CL ベースのモデルのサイズを大幅に削減できるプルーニング プロセスを使用します。
モデルを剪定することで、予測速度を上げることができます。
最後に、アーキテクチャによって生成された統計的および視覚的な説明を分析し、ユーザーが一連の説明をナビゲートするために使用できる戦略を提供します。
これらの説明は、ユーザーが侵入検知システム (IDS) で信頼を築くのに役立ち、ユーザーが IDS の有効性を高める方法を発見できるようにします。

要約(オリジナル)

The current state of the art systems in Artificial Intelligence (AI) enabled intrusion detection use a variety of black box methods. These black box methods are generally trained using Error Based Learning (EBL) techniques with a focus on creating accurate models. These models have high performative costs and are not easily explainable. A white box Competitive Learning (CL) based eXplainable Intrusion Detection System (X-IDS) offers a potential solution to these problem. CL models utilize an entirely different learning paradigm than EBL approaches. This different learning process makes the CL family of algorithms innately explainable and less resource intensive. In this paper, we create an X-IDS architecture that is based on DARPA’s recommendation for explainable systems. In our architecture we leverage CL algorithms like, Self Organizing Maps (SOM), Growing Self Organizing Maps (GSOM), and Growing Hierarchical Self Organizing Map (GHSOM). The resulting models can be data-mined to create statistical and visual explanations. Our architecture is tested using NSL-KDD and CIC-IDS-2017 benchmark datasets, and produces accuracies that are 1% – 3% less than EBL models. However, CL models are much more explainable than EBL models. Additionally, we use a pruning process that is able to significantly reduce the size of these CL based models. By pruning our models, we are able to increase prediction speeds. Lastly, we analyze the statistical and visual explanations generated by our architecture, and we give a strategy that users could use to help navigate the set of explanations. These explanations will help users build trust with an Intrusion Detection System (IDS), and allow users to discover ways to increase the IDS’s potency.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google