Например, Бобцов

Ресурсно-эффективное обнаружение сетевых атак с использованием селективной State Space Models

Аннотация:

Введение. Распространение уязвимых устройств интернет вещей приводит к увеличению количество атак на такие устройства и требует разработки точных и ресурсно-эффективных средств их выявления. Существующие модели системы обнаружения вторжений плохо адаптируются к разным наборам данных. Представлено решение этой проблемы на основе архитектуры Edge-Mamba — «легковесной модели» на базе линейно-временной селективной State Space-архитектуры. Приведена оценка возможности переносить модели между гетерогенными наборами данных и обеспечивать их работу на конечных устройствах в реальном времени. Метод. Предложенная модель основана на селективной State Space-архитектуре и обеспечивает линейную сложность обработки последовательностей. Адаптация модели для анализа сетевого трафика происходит путем кодирования 74 признаков и за счет применения двух блоков модели пространства состояний. Такое построение позволяет снизить вычислительные затраты и одновременно сохранить высокую точность классификации атак. Основные результаты. Эксперименты выполнены на современных наборах данных CICIDS-2017, TII-SSRC-23. Показано, что архитектура Edge-Mamba достигает на наборе данных TII-SSRC-23 точность 99 % при задержке 0,15 мс, а на наборе данных CICIDS-2017 — 98 % при задержке 2,4 мс. При переносе модели с одного набора данных на другой без дообучения точность классификации составляет 65 %, а дообучение (fine-tuning) на 10 % целевого набора повышает точность до 99 % без увеличения времени классификации. Обсуждение. Таким образом, предложенная модель демонстрирует сопоставимую или более высокую точность по сравнению с существующими подходами. При многоклассовой классификации архитектура Edge-Mamba превзошла CNN-BiLSTM и Transformer на 1–3 % по величине macro-F1, сохраняя меньшую задержку. Модель сохраняет эффективность работы на ресурсно-ограниченных устройствах. Представленная модель сочетает точность и возможность переноса модели на другие наборы данных, что делает ее применимой для систем обнаружения вторжений на сетевых шлюзах, хабах интернет вещей и в контейнеризированной инфраструктуре.

Ключевые слова:

Статьи в номере