Machine learning (ML)-based network intrusion detection system (NIDS) plays a critical role in discovering unknown and novel threats in a large-scale cyberspace. It has been widely adopted as a mainstream hunting method in many organizations, such as financial institutes, manufacturing companies and government agencies. However, there are two challenging issues in the existing designs: 1) achieving excellent performance of threat detection is often at the cost of a large number of false positives, leading to the problem of alert fatigue and 2) the interpretability of detection results is low, making it difficult for the security analyst to obtain the insight of threats and take prompt actions against the attacks. To tackle the above issues, in this paper we propose a defense mechanism, DarkHunter, that includes three parts: stream processor, detection engine and incident analyzer. The stream processor converts raw network packet streams into data records of a set of statistical features that can be effectively used for learning; The detection engine leverages an efficient ensemble neural network (EnsembleNet) to identify anomalous network traffic; The incident analyzer applies a correlation analysis to filter out the mis-predictions from EnsembleNet, traces each detected threat from its statistical representation back to its source traffic flow to enhance its intelligibility and prioritizes the threats to be responded to minimize security risks. Our evaluations, based on the UNSW-NB15 testbed, show that DarkHunter significantly outperforms state-of-the-art ML-based NIDS designs by achieving higher accuracy, higher detection rate, higher precision, higher F1 score while keeping lower false alarm rate.


翻译:机器学习(ML)基于网络入侵探测系统(NIDS)在发现大规模网络网络空间的未知和新威胁方面发挥着关键作用,它在许多组织,如金融机构、制造公司和政府机构被广泛采用为主流狩猎方法,但现有设计中有两个具有挑战性的问题:(1) 威胁探测的出色性能往往以大量假正数为代价,导致戒备疲劳问题;(2) 检测结果的可解释性较低,使安全分析员难以了解各种威胁并针对袭击迅速采取行动。为了解决上述问题,我们在本文件中提议了一种精确的防御机制,包括三个部分:流处理器、检测引擎和事件分析器。 流处理器将原始网络包流转换为一套统计特征的数据记录,这些统计特征可以有效地用于学习; 检测引擎利用一个高效的元素神经网络(EnsemplleNet)来识别反常现象网络的流量; 事件分析员采用更高的关联性分析方法,从错误的准确度中过滤错误的精确度,从EndHunhelsemretretrestrational Suprelations report-

0
下载
关闭预览

相关内容

Networking:IFIP International Conferences on Networking。 Explanation:国际网络会议。 Publisher:IFIP。 SIT: http://dblp.uni-trier.de/db/conf/networking/index.html
Linux导论,Introduction to Linux,96页ppt
专知会员服务
78+阅读 · 2020年7月26日
强化学习最新教程,17页pdf
专知会员服务
176+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【哈佛大学商学院课程Fall 2019】机器学习可解释性
专知会员服务
103+阅读 · 2019年10月9日
CCF C类 | DSAA 2019 诚邀稿件
Call4Papers
6+阅读 · 2019年5月13日
IEEE | DSC 2019诚邀稿件 (EI检索)
Call4Papers
10+阅读 · 2019年2月25日
人工智能 | SCI期刊专刊信息3条
Call4Papers
5+阅读 · 2019年1月10日
强化学习的Unsupervised Meta-Learning
CreateAMind
17+阅读 · 2019年1月7日
Unsupervised Learning via Meta-Learning
CreateAMind
42+阅读 · 2019年1月3日
计算机类 | ISCC 2019等国际会议信息9条
Call4Papers
5+阅读 · 2018年12月25日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
Hierarchical Disentangled Representations
CreateAMind
4+阅读 · 2018年4月15日
【推荐】YOLO实时目标检测(6fps)
机器学习研究会
20+阅读 · 2017年11月5日
【推荐】RNN/LSTM时序预测
机器学习研究会
25+阅读 · 2017年9月8日
Arxiv
24+阅读 · 2020年3月11日
Clustered Object Detection in Aerial Images
Arxiv
5+阅读 · 2019年8月27日
Deep Learning for Generic Object Detection: A Survey
Arxiv
13+阅读 · 2018年9月6日
VIP会员
相关资讯
CCF C类 | DSAA 2019 诚邀稿件
Call4Papers
6+阅读 · 2019年5月13日
IEEE | DSC 2019诚邀稿件 (EI检索)
Call4Papers
10+阅读 · 2019年2月25日
人工智能 | SCI期刊专刊信息3条
Call4Papers
5+阅读 · 2019年1月10日
强化学习的Unsupervised Meta-Learning
CreateAMind
17+阅读 · 2019年1月7日
Unsupervised Learning via Meta-Learning
CreateAMind
42+阅读 · 2019年1月3日
计算机类 | ISCC 2019等国际会议信息9条
Call4Papers
5+阅读 · 2018年12月25日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
17+阅读 · 2018年12月24日
Hierarchical Disentangled Representations
CreateAMind
4+阅读 · 2018年4月15日
【推荐】YOLO实时目标检测(6fps)
机器学习研究会
20+阅读 · 2017年11月5日
【推荐】RNN/LSTM时序预测
机器学习研究会
25+阅读 · 2017年9月8日
Top
微信扫码咨询专知VIP会员