Utilización de técnicas de aprendizaje profundo para la detección efectiva de ataques de día cero

El aprendizaje automático (ML) y el aprendizaje profundo (DL) se han utilizado para construir sistemas de detección de intrusiones (IDS). El aumento tanto en el número como en la gran variedad de nuevos ciberataques representa un desafío enorme para las soluciones IDS que dependen de una base de datos de firmas de ataques históricas. Por lo tanto, la demanda industrial de IDS robustos capaces de detectar ataques de día cero está en aumento. La investigación actual sobre la detección de ataques de día cero basada en outliers presenta altas tasas de falsos negativos, lo que limita su uso y rendimiento prácticos. Este artículo propone una implementación de autoencoder para la detección de ataques de día cero. El objetivo es construir un modelo IDS con alta sensibilidad (recall) manteniendo la tasa de errores de omisión (falsos negativos) en un mínimo aceptable. Se utilizan dos conjuntos de datos bien conocidos de IDS para la evaluación: CICIDS2017 y NSL-KDD. Para demostrar la eficacia de nuestro modelo, comparamos sus resultados con una Máquina de Vectores de Soporte de una clase (One-Class SVM). El manuscrito destaca el rendimiento de una One-Class SVM cuando los ataques de día cero son distintivos respecto al comportamiento normal. El modelo propuesto se beneficia enormemente de las capacidades de codificación-decodificación de los autoencoders. Los resultados muestran que los autoencoders son adecuados para detectar ataques complejos de día cero. Se demuestra una precisión en la detección de día cero de entre 89 y 99% para el conjunto de datos NSL-KDD y de entre 75 y 98% para el conjunto CICIDS2017. Finalmente, el artículo describe el compromiso observado entre la sensibilidad (recall) y la tasa de falsos positivos.