Detection of Malicious Network Activity by Artificial Neural Network
Detección de actividades maliciosas en la red mediante redes neuronales artificiales
Este artículo presenta un enfoque de aprendizaje profundo para detectar comunicaciones maliciosas en una red informática. La comunicación interceptada se transforma en vectores de características de comportamiento que se reducen (mediante análisis de componentes principales y métodos de selección por pasos) y se normalizan para crear conjuntos de entrenamiento y prueba. A continuación, se utiliza una red neuronal artificial feed-forward como clasificador para determinar el tipo de comunicación maliciosa. Para entrenar la red neuronal se utilizaron tres algoritmos: el algoritmo de Levenberg-Marquardt, la regularización bayesiana y el algoritmo de retropropagación de gradiente conjugado escalado. La topología de red neuronal artificial propuesta, tras reducir el tamaño de los conjuntos de entrenamiento y prueba, logra una probabilidad de clasificación correcta del 81,5 % para cada tipo de comunicación maliciosa y del 99,6 % (y mejor) para la comunicación normal.
1. INTRODUCCIÓN
La detección, eliminación y prevención de incidentes de seguridad en el ciberespacio es un prerrequisito importante para el uso seguro y eficaz de la tecnología de la información en las economías globalmente conectadas [1, 2]. Este trabajo utiliza una red neuronal entrenada para buscar e identificar ataques en el ciberespacio, empleando para su funcionamiento comunicaciones de datos previamente entrenadas e interceptadas.
1. Definición del problema
El trabajo se centra en la búsqueda de actividad maliciosa en comunicaciones de datos interceptadas utilizando una red neuronal artificial entrenada. Para ello, implica el reconocimiento de tipos aprendidos de actividad maliciosa en comunicaciones capturadas hacia adelante obtenidas del conjunto de datos CSE-CIC-IDS2018 [3]. La idea detrás del enfoque es transformar los intercambios de datos coherentes entre los nodos de la red en vectores de características de comportamiento, que luego son preprocesados y utilizados para clasificar el tipo de ataque. Debido a la extracción necesaria de los intercambios de datos completos entre los nodos de la red en comunicación y al preprocesamiento necesario, el método está pensado para el análisis fuera de línea, a diferencia de los enfoques descritos en [4, 5], por ejemplo.
El desarrollo de los experimentos es el siguiente. Del conjunto de datos CSE-CIC-IDS2018, se extrajo un conjunto de entrenamiento compuesto por 1 800 registros (200 registros de tráfico normal y 200 registros de cada una de las 8 variantes de ataque) y un conjunto de prueba compuesto por 7 200 registros (800 registros de tráfico normal y hasta 800 registros de cada una de las 8 variantes de ataque). Cada registro contenía 77 parámetros de entrada.
Recursos
-
Formatopdf
-
Idioma:inglés
-
Tamaño:3742 kb