Phương Pháp Phát Sinh Dữ Liệu Tấn Công Đánh Lừa IDS Học Máy Dựa Trên Mạng Sinh Đối Kháng

RESEARCH CREW
8:59 25/11/2020

Trình phát hiện xâm nhập mạng (Network IDS) được xây dựng để phát hiện và cảnh báo khi hệ thống bị tấn công, từ đó có thể đưa ra các phản ứng phù hợp. Với sự bùng nổ của dữ liệu, các phương pháp học máy đã bắt đầu được áp dụng trong một số IDS khác nhau. Tuy nhiên, các hệ thống này cho tỉ lệ báo động giả cao cũng như dễ bị đánh lừa bởi các cuộc tấn công tinh vi như tấn công đối kháng. Vì vậy, cần phải liên tục kiểm tra và cải tiến các hệ thống này bằng cách mô phỏng các đột biến tấn công mạng trong thế giới thực. Trong nghiên cứu này, chúng tôi thiết kế và giới thiệu DIGFuPAS (Deceive IDS with GAN and Function-Preserving on Adversarial Samples), một bộ khung sinh ra dữ liệu các cuộc tấn công mạng có khả năng vượt qua được các hệ thống IDS, kể cả IDS học máy. Dựa trên Mô hình sinh đối kháng (GAN), DIGFuPAS tạo ra các luồng dữ liệu độc hại đột biến từ lưu lượng tấn công thực khiến IDS không thể phát hiện được. Mô hình được thực nghiệm trên bộ dữ liệu công khai CICIDS2017. Chúng tôi chỉ sửa đổi các thuộc tính phi đặc trưng (nonfunctional features) tương ứng của các loại tấn công để đảm bảo khả năng hoạt động của hành vi xâm nhập. Hiệu quả của mô hình được đánh giá thông qua độ chính xác và tỉ lệ phát hiện tấn công của IDS đối với lưu lượng tấn công thông thường và lưu lượng tấn công đối kháng. Trong tương lai, những luồng lưu lượng đối kháng này sẽ được dùng để tái huấn luyện IDS học máy, từ đó cải thiện khả năng phát hiện của IDS trước các cuộc tấn công tinh vi. Phương pháp này có thể được sử dụng cho việc kiểm tra, đánh giá khả năng phát hiện của IDS một cách liên tục một khi DIGFuPAS được tích hợp dưới dạng pipeline kiểm tra tự động tính bền vững cho các sản phẩm IDS phổ biến mã nguồn mở hoặc IDS thương mại.

TIN LIÊN QUAN