Neuromorphic Cybersecurity with Semi-supervised Lifelong Learning
2508.04610v2
cs.LG, cs.AI, cs.ET, cs.NE
2025-08-09
Авторы:
Md Zesun Ahmed Mia, Malyaban Bal, Sen Lu, George M. Nishibuchi, Suhas Chelian, Srini Vasan, Abhronil Sengupta
Резюме на русском
## КОНТЕКСТ И ПРОБЛЕМАТИКА
Современные системы обнаружения сетевых вторжений (NIDS) сталкиваются с фундаментальным противоречием между необходимостью постоянной адаптации к новым видам киберугроз и риском катастрофического забывания ранее изученных паттернов. Традиционные ИИ-подходы, основанные на глубоком обучении, демонстрируют высокую точность при обучении на статических наборах данных, но теряют эффективность в условиях реального времени, где поток сетевого трафика непрерывно эволюционирует и появляются ранее неизвестные типы атак.
Ключевыми проблемами являются: во-первых, энергетическая неэффективность классических нейросетей, требующих значительных вычислительных ресурсов для обработки высокоскоростного трафика; во-вторых, неспособность к инкрементальному обучению без полного переобучения модели; в-третьих, отсутствие механизмов, позволяющих сохранить знания о старых атаках при изучении новых. Эти ограничения особенно критичны для встраиваемых систем и edge-устройств, где доступны ограниченные вычислительные ресурсы и энергия.
Нейроморфные вычисления, вдохновленные принципами работы биологического мозга, предлагают революционный подход к решению этих проблем. Импульсные нейронные сети (SNN) обеспечивают исключительную энергоэффективность за счет асинхронной обработки информации и sparse-кодирования, тогда как биологически правдоподобные механизмы пластичности позволяют реализовать непрерывное обучение в течение всего жизненного цикла системы. Однако до настоящего времени отсутствовали практические реализации SNN-архитектур, способных эффективно функционировать в динамических условиях кибербезопасности.
## ПРЕДЛОЖЕННЫЙ МЕТОД
Авторы предлагают двухуровневую иерархическую архитектуру нейроморфной системы обнаружения вторжений, которая решает проблему lifelong learning через разделение функций между статическим и динамическим компонентами. Первый уровень представляет собой статическую SNN, обученную на начальном наборе данных для первичной фильтрации потенциально вредоносного трафика. Эта сеть работает в режиме энергоэффективного инференса с высокой степенью разреженности активаций (до 95%), что критично для реального времени.
Когда статический классификатор обнаруживает подозрительную активность, активируется второй уровень - адаптивный динамический SNN-классификатор. Этот компонент реализует принципиально новый подход к continual learning через комбинацию двух биологически инспирированных механизмов. Первый механизм основан на Grow When Required (GWR)-подобной структурной пластичности, позволяющей динамически добавлять новые нейроны в ответ на появление неизвестных паттернов атак. Второй механизм - это разработанная авторами адаптивная правило Spike-Timing-Dependent Plasticity (Ad-STDP), которое модифицирует силу синаптических связей в зависимости от временных корреляций между нейронами.
Ad-STDP выходит за рамки классического STDP через введение метапараметров, которые автоматически регулируют скорость обучения для каждого синапса индивидуально. Это позволяет сохранять важные связи, отвечающие за распознавание известных атак, одновременно формируя новые связи для изучаемых угроз. Система использует semi-supervised подход: при наличии меток классов происходит обучение с учителем, в отсутствие меток - самообучение на основе кластеризации импульсных паттернов.
Для обработки сетевых данных разработан специализированный энкодер, преобразующий признаки сетевого трафика в временные импульсные последовательности. Этот процесс учитывает как статистические характеристики пакетов (размеры, временные интервалы), так и поведенческие паттерны (последовательности флагов TCP, частоты обращений к портам).
## ЭКСПЕРИМЕНТАЛЬНЫЕ РЕЗУЛЬТАТЫ
Экспериментальная валидация проводилась на стандартном наборе данных UNSW-NB15, содержащем 2.54 миллиона записей сетевого трафика с 49 типами атак, распределенных по 9 категориям. Для создания реалистичного сценария lifelong learning, исходный набор данных был разделен на 5 временных срезов, каждый из которых добавлял 20% новых типов атак, недоступных предыд
Abstract
Inspired by the brain's hierarchical processing and energy efficiency, this
paper presents a Spiking Neural Network (SNN) architecture for lifelong Network
Intrusion Detection System (NIDS). The proposed system first employs an
efficient static SNN to identify potential intrusions, which then activates an
adaptive dynamic SNN responsible for classifying the specific attack type.
Mimicking biological adaptation, the dynamic classifier utilizes Grow When
Required (GWR)-inspired structural plasticity and a novel Adaptive
Spike-Timing-Dependent Plasticity (Ad-STDP) learning rule. These bio-plausible
mechanisms enable the network to learn new threats incrementally while
preserving existing knowledge. Tested on the UNSW-NB15 benchmark in a continual
learning setting, the architecture demonstrates robust adaptation, reduced
catastrophic forgetting, and achieves $85.3$\% overall accuracy. Furthermore,
simulations using the Intel Lava framework confirm high operational sparsity,
highlighting the potential for low-power deployment on neuromorphic hardware.