Reliable Feature Selection for Adversarially Robust Cyber-Attack Detection

要約

サイバーセキュリティの脅威が増大しているため、高品質のデータを使用して、ノイズの多いデータや欠落したデータを発生させずに、ネットワーク トラフィック分析用の機械学習 (ML) モデルをトレーニングすることが不可欠になっています。
サイバー攻撃の検出に最も関連する機能を選択することで、サイバーセキュリティ システムで使用されるモデルの堅牢性と計算効率の両方を向上させることができます。
この研究では、複数の方法を組み合わせてそれらを複数のネットワーク データセットに適用する、特徴の選択とコンセンサスのプロセスを示します。
2 つの異なる特徴セットが選択され、通常のトレーニングと敵対的トレーニングで複数の ML モデルをトレーニングするために使用されました。
最後に、敵対的回避の堅牢性ベンチマークを実行して、さまざまな機能セットの信頼性と、敵対的な例に対するモデルの感受性に対するそれらの機能セットの影響を分析しました。
より多くのデータ多様性を備えた改良されたデータセットを使用し、最適な時間関連の特徴とより具体的な特徴セットを選択し、敵対的トレーニングを実行することにより、ML モデルは敵対的に堅牢な一般化を実現できました。
モデルの堅牢性は、通常のトラフィック フローへの一般化が影響を受けることなく、誤ったアラームが増加することなく、また多くの計算リソースを必要とせずに大幅に向上したため、企業のコンピュータ ネットワークにおける不審なアクティビティや混乱したトラフィック フローを確実に検出できるようになりました。

要約(オリジナル)

The growing cybersecurity threats make it essential to use high-quality data to train Machine Learning (ML) models for network traffic analysis, without noisy or missing data. By selecting the most relevant features for cyber-attack detection, it is possible to improve both the robustness and computational efficiency of the models used in a cybersecurity system. This work presents a feature selection and consensus process that combines multiple methods and applies them to several network datasets. Two different feature sets were selected and were used to train multiple ML models with regular and adversarial training. Finally, an adversarial evasion robustness benchmark was performed to analyze the reliability of the different feature sets and their impact on the susceptibility of the models to adversarial examples. By using an improved dataset with more data diversity, selecting the best time-related features and a more specific feature set, and performing adversarial training, the ML models were able to achieve a better adversarially robust generalization. The robustness of the models was significantly improved without their generalization to regular traffic flows being affected, without increases of false alarms, and without requiring too many computational resources, which enables a reliable detection of suspicious activity and perturbed traffic flows in enterprise computer networks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google