Estrutura IDS Focada em Detecção de Ataques Desconhecidos Eficaz Baseada em usfAD

A rápida expansão de diversos sistemas de rede, incluindo a Internet das Coisas (IoT) e a Internet Industrial das Coisas (IIoT), levou a uma gama crescente de ameaças cibernéticas. Garantir uma proteção robusta contra essas ameaças requer a implementação de um Sistema de Detecção de Intrusões (IDS) eficaz. Por mais de uma década, os pesquisadores têm explorado técnicas de aprendizado de máquina supervisionado para desenvolver IDS que classifiquem tráfego normal e de ataque. No entanto, construir modelos de IDS eficazes usando aprendizado supervisionado requer um número substancial de amostras benignas e de ataque. Coletar um número suficiente de amostras de ataque provenientes de cenários da vida real não é possível, uma vez que os ataques cibernéticos ocorrem ocasionalmente. Além disso, IDS treinados e testados em conjuntos de dados conhecidos falham em detectar ataques de zero-day ou desconhecidos devido à rápida evolução dos padrões de ataque. Para enfrentar esse desafio, propomos duas estratégias de IDS baseadas em aprendizado semi-supervisionado onde amostras de treinamento de ataques não são necessárias: 1) treinar um modelo de aprendizado de máquina supervisionado usando amostras de ataque sintéticas dispersas aleatoriamente e uniformemente; 2) construir um modelo de Classificação de Uma Classe (OCC) que é treinado exclusivamente em tráfego de rede benigno. Implementamos ambas as abordagens e comparamos seus desempenhos usando 10 conjuntos de dados de IDS de referência recentes. Nossos achados demonstram que o modelo OCC baseado na técnica de detecção de anomalias de ponta chamada usfAD supera significativamente a classificação supervisionada convencional e outras técnicas baseadas em OCC quando treinado e testado considerando cenários da vida real, particularmente para detectar ataques anteriormente invisíveis.