آموزش در داده‌های نامتوازن با استفاده از روش آموزش با داده محدود مبتنی بر فیلتر DEKF برای بهبود تشخیص نفوذ حملات سایپری

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانشجوی دکتری،دانشگاه صنعتی مالک اشتر ، تهران، ایران

2 استادیار،دانشگاه صنعتی مالک اشتر ، تهران، ایران

چکیده

در حالی که تکنیک‌های یادگیری ماشین به منظور بهبود سیستم تشخیص نفوذ حملات سایبری به شکلی گسترده مورد استفاده قرار می‌گیرند، چالش‌های متعدد، به ویژه در زمینه مدیریت مجموعه‌داده‌‌های نامتوازن و تشخیص حملات نادر مانند R2L و U2R به دلیل ناکافی بودن تعداد نمونه‌های آنها در مجموعه‌داده‌‌های آموزشی، به قوت خود باقی هستند. مجموعه‌داده‌‌های نامتوازن، چالشی رایج و همیشگی در هنگام ارزیابی عملکرد سیستم تشخیص نفوذ بوده و اغلب منجر به انحراف به سمت کلاس اکثریت می‌شوند؛ این عامل به نوبه خود، مانع از شناسایی حملات کلاس‌های اقلیت خواهد شد. طبقه‌بندی کننده‌های نیز یادگیری ماشین که عمدتاً مبتنی بر دقت هستند، قادر به شناسایی حملات سایبری نادر نخواهند بود. به علاوه، همپوشانی کلاس‌ها انتخاب ویژگی را پیچیده‌تر کرده و مانع تشخیص دقیق نفوذ خواهد ‌شود. ما در این مقاله، برای مقابله با این چالش‌ها، راهکاری ارائه می‌کنیم که منشأ آن در آموزش با داده محدود، به ویژه یادگیری متا مدل آگنوستیک MAML نهفته است. الگوریتم MAML سنتی محدودیت‌هایی دارد که از آن جمله می‌توان به همگرایی کُند و الزامات محاسباتی اشاره کرد. به منظور ارتقای عملکرد MAML، این مقاله فیلتر کالمن گسترش‌یافته جداشده از گره NDEKF را به عنوان جایگزینی برای گرادیان نزولی در حلقۀ داخلی معرفی می‌کند. الگوریتم NDEKF باعث بهینه‌سازی آموزش MAML، تسریع همگرایی و بهبود تعمیم خواهد شد. فیلتر فوق محاسبات را ساده‌تر و آن را برای شبکه‌های عصبی عمیق بهینه‌سازی می‌کند. برای حل معضل داده‌های نامتوازن در سیستم تشخیص نفوذ از ترکیب دو الگوریتم MAML و NDEKF تحت عنوان MAML- NDEKF استفاده شده است. این رویکرد پیشنهادی، بر روی مجموعه‌داده‌ NSL-KDD ارزیابی می‌شود. بعد از اعمال این رویکرد، همگرایی به سرعت بهبود می‌یابد، قابلیت تعمیم افزایش پیدا می‌کند و در مقایسه با الگوریتم اصلی MAML، هنگام رویارویی با مجموعه‌داده‌ پراکنده و ناپایداری مانند NSL-KDD دقت بالاتری حاصل می‌گردد. چارچوب پیشنهادی ما به طور خاص، پیشرفت‌های قابل توجهی در زمینه تشخیص دقیق حملات R2L و U2R نشان داده است. نرخ دقت تشخیص حملات R2L و U2R در این رویکرد علی‌رغم کاهش تعداد دوره‌های آموزش، بیشتر از MAML اصلی بوده و به ترتیب از 61% به 75% و از 51% به 66% افزایش یافته است.

کلیدواژه‌ها

موضوعات

عنوان مقاله [English]

DEKF-Driven Few-Shot Class Imbalance Learning to Enhance Cyber Attack Detection

نویسندگان [English]

  • Fatat Saleh 1
  • Kourosh Dadashtabar Ahmadi 2
  • Mohammad Ali Keyvanrad 2
1 PhD student, Malek Ashtar University of Technology , Tehran, Iran
2 Assistant Professor, Malek Ashtar University of Technology, Tehran, Iran
چکیده [English]

The escalating use of networks and the internet has led to a surge in cyber threats, making it imperative to develop sophisticated intrusion detection systems (IDS) capable of safeguarding against these malicious intrusions. While machine learning techniques have been extensively employed to enhance IDS, challenges persist, notably in handling imbalanced datasets and rare attack detection such as R2L and U2R due to the small number of their samples in the training dataset. Imbalanced datasets, a common challenge in IDS evaluation, often skew toward majority classes, hindering the detection of minority class attacks. Existing machine learning classifiers, primarily accuracy-driven, struggle to excel at identifying rare attacks, which are often more catastrophic. Moreover, overlapping classes complicate feature selection, further impeding accurate detection. To tackle these challenges, this article proposes a solution rooted in Few-Shot Learning, particularly MAML. Traditional MAML has limitations, including slow convergence and computational demands. To enhance MAML's performance, the article introduces the Node Decoupled Extended Kalman Filter (NDEKF) as an alternative to gradient descent in the inner loop. NDEKF optimizes MAML training, offering faster convergence and improved generalization. The DEKF (Decoupled Extended Kalman Filter) variant simplifies calculations, making it suitable for deep neural networks. The combination of MAML and NDEKF, termed NDEKF-based MAML, is applied to address the imbalanced data problem in IDS. The proposed approach is evaluated on the NSL-KDD dataset, demonstrating its potential to improve rare attack detection in intrusion detection systems. By adopting this approach, we achieved improved convergence speed, enhanced ability to generalize, and higher accuracy compared to the original MAML algorithm when dealing with a sparse and unstable dataset such as NSL-KDD. Particularly, our framework demonstrated significant advancements in accurately detecting rare U2R and R2L attacks. The accuracy rates for R2L and U2R attacks using our proposed framework surpassed those of the original MAML, increasing from 61% to 75% and from 51% to 66%, respectively, even with a reduced number of training epochs.

کلیدواژه‌ها [English]

  • : Intrusion detection system
  • Class Imbalance Learning
  • Few Shot Learning MAML
  • Decoupled Extended Kalman Filter
پدافند الکترونیکی و سایبری
دوره 12، شماره 3 - شماره پیاپی 47
شماره پیا پی 47 پاییز 1403
آبان 1403

فایل ها

سابقه مقاله

  • تاریخ دریافت: 03 خرداد 1403
  • تاریخ بازنگری: 16 شهریور 1403
  • تاریخ پذیرش: 16 مهر 1403
  • تاریخ انتشار: 01 آبان 1403

هم رسانی

ارجاع به این مقاله

آمار