One-Class Intrusion Detection with Dynamic Graphs
2508.12885v1
cs.LG, cs.AI
2025-08-20
Авторы:
Aleksei Liuliakov, Alexander Schulz, Luca Hermes, Barbara Hammer
Резюме на русском
## Контекст
В последние годы цифровизация приобрела масштабы, которые повлияли на все сферы человеческой деятельности. Это проявляется в увеличении количества сетевых устройств и усложнении сетевых структур. Такое развитие повлекло за собой повышение риска атак на сети, таких как массовый доступ к конфиденциальным данным, деформация правил сетевого трафика и другие формы вторжений. Атаки в сетях могут привести к неизбежным финансовым потерям, потерей доверия клиентов и даже к угрозам безопасности национального уровня. Машинное обучение, особенно в сфере обнаружения вторжений, приобрело важное значение в современном мире. Однако, наиболее распространенные методы, такие как One-Class Support Vector Machine (OC-SVM), сталкиваются с проблемами, такими как невозможность обнаружения неизвестных угроз. Наша мотивация заключается в том, чтобы разработать метод, который бы учитывал особенности сетевых данных и мог обнаруживать неизвестные вторжения.
## Метод
Мы предлагаем метод динамической моделирования графов, который включает в себя несколько ключевых компонент:
1. **Техника моделирования графов**: Мы представляем сетевой трафик в виде динамического графа, где узлы представляют устройства, а ребра — связи между ними. Это позволяет хранить структуру сети и динамические изменения в ней.
2. **Динамический граф свертки (TGN)**: Мы используем модель TGN для получения функциональных представлений узлов в графе. Она учитывает связи между узлами и их динамические изменения во времени.
3. **Метод одного класса**: Мы применяем метод одного класса, такой как SVDD (Support Vector Data Description), для обнаружения аномалий. Этот подход позволяет определять "нормальное" поведение сети и выделять те изменения, которые выходят за ее пределы.
## Результаты
Мы проводили эксперименты на реальных данных об открытом доступе, включая CICIDS и UNSW-NB15. Метод TGN-SVDD показал свою превосходность над сравнимыми методами по метрикам F1-score и AUC. Мы также проверили его на более сложной версии данных, и он по-прежнему демонстрировал высокую точность. Эти результаты подтверждают то, что TGN-SVDD эффективен в обнаружении неизвестных аномалий в сети.
## Значимость
Метод TGN-SVDD имеет широкие перспективы применения в сфере сетевой безопасности. Он может использоваться для защиты от атак на сети, таких как DDoS, MITM, и другие. Одним из его преимуществ является то, что он может обнаруживать неизвестные вторжения, что значительно повышает безопасность. Будущие исследования будут направлены на улучшение скорости вычислений и расширение применения этого метода к более сложным сете
Abstract
With the growing digitalization all over the globe, the relevance of network
security becomes increasingly important. Machine learning-based intrusion
detection constitutes a promising approach for improving security, but it bears
several challenges. These include the requirement to detect novel and unseen
network events, as well as specific data properties, such as events over time
together with the inherent graph structure of network communication. In this
work, we propose a novel intrusion detection method, TGN-SVDD, which builds
upon modern dynamic graph modelling and deep anomaly detection. We demonstrate
its superiority over several baselines for realistic intrusion detection data
and suggest a more challenging variant of the latter.
Ссылки и действия
Дополнительные ресурсы: