Deep learning model transposition for network intrusion detection systems

As empresas procuram promover uma rápida digitalização de seus processos de negócio e novas funcionalidades disruptivas para obter vantagens competitivas sobre os seus concorrentes. Geralmente, isto resulta numa superfície de ataque mais ampla que atrai a exploração de atacantes. Como os orçamentos são escassos, uma das soluções de segurança mais populares que as empresas escolhem para investir é em NIDS. Como os NIDSs baseados em anomalias trabalham sobre uma baseline de atividade normal, uma das principais áreas de desenvolvimento é o treino de modelos de deep learning robustos o suficiente para que, dado um contexto de rede diferente, o sistema seja capaz de identificar com uma alta taxa precisão alguma intrusão. Neste estudo, propomos um NIDS baseado em anomalias usando um modelo empilhado de LSTMs de deep learning com uma nova técnica de pré-processamento que fornece features livres de contexto e supera a maioria dos trabalhos relacionados, obtendo mais de 99% de precisão sobre o dataset CICIDS2017. Também pode ser aplicado em diferentes ambientes de rede sem perder a precisão, pois utiliza features livres de contexto. Além disso, usando ataques de rede simulados, o nosso NIDS consegue detectar categorias específicas de intrusões.

Companies seek to promote a swift digitalization of their business processes and new disruptive features to gain advantage over their competitors. This often results in wider attack surface that attract attack exploitation. As budgets are thin, one of the most popular security solutions CISOs choose to invest is in NIDS. As anomaly-based NIDSs work over a baseline of normal and expected activity, one of the key areas of development is the training of deep learning classification models robust enough so that, given a different network context, the system is still capable of high-rate accuracy for intrusion detection. In this study, we propose an anomaly-based NIDS using a deep learning stacked-LSTM model with a novel pre-processing technique that gives it context-free features and outperforms most related works, obtaining over 99% accuracy over the CICIDS2017 dataset. It can also be applied to different environments without losing its accuracy since it uses context-free features. Moreover, using synthetic network attacks, our NIDS can detect specific categories of attacks.

Country

Portugal

Related Organizations

Iscte - Instituto Universitário de Lisboa
Portugal

Keywords

Memória de curto prazo longa, Network intrusion detection system (NIDS), Long short-term memory (LSTM), Intrusion detection, Deep learning, Anomaly detection, Sistemas de detecção de intrusão de rede, Detecção de anomalias, Detecção de intrusão, Domínio/Área Científica::Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática

Impact byBIP!

	selected citations These citations are derived from selected sources. This is an alternative to the "Influence" indicator, which also reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).	0
	popularity This indicator reflects the "current" impact/attention (the "hype") of an article in the research community at large, based on the underlying citation network.	Average
	influence This indicator reflects the overall/total impact of an article in the research community at large, based on the underlying citation network (diachronically).	Average
	impulse This indicator reflects the initial momentum of an article directly after its publication, based on the underlying citation network.	Average