An Algorithm for the Initial Detection of Malicious Traffic Based on the Autoencoder Reconstruction Error and a Variational Model: the Influence of the Error Distribution Density on the Performance Indicators of the Models

The emergence of new sophisticated types of attacks forces the community of computer security researchers to constantly improve detection tools and response methods. The present study explores different factors of autoencoders and variational models that influence their effectiveness in identifying novel attack types and malicious network traffic. The general idea of the proposed algorithm is to construct a confidence interval for the reconstruction error of the training sample, based on which a decision is made on the maliciousness of a particular traffic. Additional emphasis was placed on selecting an appropriate error metric to minimize the overlap between the density distributions of reconstruction errors for normal and malicious traffic. In the study of the variational model, the effect of the t-distribution on the quality of detecting new types of attacks was investigated. The studies were conducted on the CIC-IDS2017 dataset of the Canadian Cybersecurity Institute, containing up to 14 types of traffic and attacks. The experimental results show that with a competent selection of the error measure and the threshold values of the confidence interval, our models outperform existing analogues in various performance indicators.

Появление новых изощрённых типов атак вынуждает сообщество исследователей в области компьютерной безопасности постоянно совершенствовать инструменты обнаружения и методы реагирования. В данном исследовании рассматриваются различные факторы, влияющие на эффективность автокодировщиков и вариационных моделей при выявлении новых типов атак и вредоносного сетевого трафика. Общая идея предлагаемого алгоритма заключается в построении доверительного интервала для ошибки восстановления обучающей выборки, на основе которого принимается решение о вредоносной природе конкретного трафика. Особое внимание было уделено выбору подходящей метрики ошибок, чтобы минимизировать перекрытие распределений плотности ошибок восстановления для обычного и вредоносного трафика. При изучении вариационной модели было исследовано влияние t-распределения на качество обнаружения новых типов атак. Исследования проводились на наборе данных CIC-IDS2017 Канадского института кибербезопасности, содержащем до 14 типов трафика и атак. Результаты эксперимента показывают, что при грамотном выборе меры погрешности и пороговых значений доверительного интервала наши модели превосходят существующие аналоги по различным показателям эффективности.

Авторы
Djeguede A.M. 1
Журнал
Вестник Пермского университета. Математика. Механика. Информатика
Издательство
Пермский государственный национальный исследовательский университет
Номер выпуска
2
Язык
Английский
Страницы
47-64
Статус
Опубликовано
Год
2025
Организации
  • 1 RUDN University
Ключевые слова
autoencoders; Variational models; zero-day attacks detection; reconstruction error; автокодировщики; вариационные модели; обнаружение атак нулевого дня; ошибка реконструкции
Цитировать
ГОСТ MLA RIS BibTex
Поделиться

Другие записи

АКТУАЛЬНЫЕ ПРОБЛЕМЫ МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ И ВНЕШНЕЙ ПОЛИТИКИ В ХХI ВЕКЕ

Монография
Аватков В.А., Апанович М.Ю., Борзова А.Ю., Бордачев Т.В., Винокуров В.И., Волохов В.И., Воробьев С.В., Гуменский А.В., Иванченко В.С., Каширина Т.В., Матвеев О.В., Окунев И.Ю., Поплетеева Г.А., Сапронова М.А., Свешникова Ю.В., Фененко А.В., Феофанов К.А., Цветов П.Ю., Школярская Т.И., Штоль В.В. ...
Общество с ограниченной ответственностью Издательско-торговая корпорация "Дашков и К". 2018. 411 с.