type
status
date
slug
summary
tags
category
icon
password
入侵检测系统的图神经网络综述:方法、趋势和挑战 2024
 

1.介绍

(传统方法没有用图更有优势,之前有综述但是没有更新的全面的文章。)
我们提出了一种分类法,将基于 GNN 的入侵检测分为三个主要类别:图构建任务、图分析任务和 GNN 模型部署方法
贡献:
  • 提供一个通用的设计流程
  • GNN在入侵检测的新分类方法
  • 定义四个Research Question(RQ)解决领域的主要问题
  • 未来工作
章节分布:
  • 第 2 节概括了图神经网络在入侵检测中的应用的系统调查的见解和发现,旨在回答与该领域相关的具体 RQ,并介绍了本文的研究方法。
  • 第 3 节介绍了入侵检测和图神经网络的基础知识,强调了采用图神经网络进行入侵检测背后的动机。
  • 第 4 节讨论了在入侵检测中应用图神经网络所面临的挑战。随后,
  • 第 5 节根据这些挑战对现有方法进行了分类,并根据对现有方法的调查,围绕四个 RQ 进行了详细讨论。
  • 第 6 节探讨了该领域当前的挑战并提出了未来研究的潜在方向
 

2.研究目标和方法论

2.1.研究目标

四个RQ
  1. GNN如何应用到入侵检测?(section 5.1)
  1. GNN的入侵检测问题如何定义?(5.2 5.3)
      2. 如何判断正常异常
  1. GNN的入侵检测需要注意哪些问题?
    1. 图构建方法。
    2. 学习算法的设计和实现。
    3. 模型性能和准确率。
    4. 实际部署。
  1. GNN的入侵检测的趋势?
    1. 在GNN中集成其他特征学习方法
    2. 动态图
    3. 模型缩小

2.2.研究方法

(人家从各种数据库搜索从2019年1月1日到2024年2月20日文章)搜索关键词:
For Scopus
For IEEE Xplore
For ScienceDirect
根据数据性质分为:静态图(历史)和动态图(实时)。分类方法又划分为:节点、边、图级别。此外,我们将来源图和系统调用图纳入我们的分类中,以满足基于主机的 IDS 的独特要求
 

3.研究背景

3.1.入侵检测

IDS 的有效性通常取决于其检测方法。基于签名的检测依赖于已知恶意活动的预定义模式。虽然它可以有效应对已知威胁,但它可能会忽略新威胁。相反,基于异常的检测建立了正常系统行为的基线并标记偏差。它有可能识别新的威胁,但也可能导致误报(Ye 等人,2002 年;Hwang 等人,2007 年)。
数据之间复杂的模式和交互很难使用序列或网格来描述,使得传统的深度学习模型无法处理此类非欧几里德结构。其次,深度神经网络通常依赖于大量昂贵的标记数据的可用性(Qi 和 Luo,2022;King 和 Huang,2023)

3.2.图神经网络

(图定义。静态图,动态图。消息传递机制。节点、边、图级别任务)

3.3.为什么使用GNN进行入侵检测?

  1. 数据结构属性。
      2. 虽然这些数据没有明确的图形结构,但它们本质上是相互关联的。传统的检测模型经常忽略这些结构关系(Duan et al., 2023),但 GNN 擅长识别它们并从中学习。
  1. 高阶交互
      2. GNN 促进多跳节点之间的信息流动,通过其独特的传播机制促进超越直接连接的交互(Cui 等人,2019)。例如,一旦恶意软件渗透到主机系统,整个环境就容易受到后续攻击。表现出类似信息传播模式的节点可能会受到损害,这种效应称为协同过滤。标准神经网络(例如 CNN 和 RNN)无法处理输入数据之间的连接,也无法捕获数据的潜在分布结构。这是因为它们将节点特征作为孤立的输入进行处理,而不考虑数据之间的结构相似性。它们的主要局限性是专注于一阶交互和孤立的数据分析。高阶交互代表了入侵检测中信息传输的关键模式。 GNN 的出现使得模型能够更有效地捕捉这些隐藏的模式。
  1. 行为监控信号
      2. 标记数据稀少,GNN 通过在学习过程中利用图结构内的行为监督信号来缓解这一问题,标记的节点行为会影响其他未标记数据。

4.GNN应用到入侵检测的挑战

  1. 数据如何构图?
  1. 应该从图结构中学习哪些特征?
  1. GNN部署问题?

4.1.图构建

精心设计的图结构可以揭示更多关于数据的高质量信息。(没说什么有用的建议,硬要说就一个:主机作为节点,边代表关系。。。)

4.2.网络设计

主要研究在消息传递机制上。如何从弱信息中推导出强模型的问题是模型架构设计中的关键研究挑战(Liu et al., 2023a)。

4.3.模型部署

GNN比CNN复杂,部署是个问题。。。
 

5.现有研究

三个问题:图构建、模型设计、模型部署
三个问题:图构建、模型设计、模型部署

5.1.Data2Graph

传统图构建:IP作为节点,数据包作为边。NetFlow数据:IP或网络设备作为节点,流量表示为边。PCAP数据:IP地址或端口作为节点,传输的数据包作为边。日志数据:节点表示用户、设备、应用程序等实体,边表示交互记录。还有其他如DNS、HTTP请求。以此产生 3 个新问题:
  1. GNN学习边嵌入进行数据包分类,节点嵌入不重要吗?
  1. 考虑不同类型的嵌入和合并格外的节点和边属性增强表示能力。
  1. 考虑到计算效率和模型性能,对全图还是子图采样学习。
 
(剩下部分罗列文章和使用到的技术。分为节点级别任务、边级别、图级别等)
 

6.未来工作

隐私问题
可解释性
鲁棒性和对抗攻击
转化为图数据时的优化
异构图发展
动态图算法
 
 
 
 
 
 
相关文章
TS-IDS: Traffic-aware self-supervised learning for IoT Network Intrusion Detection
Anomaly traffic detection in IoT security using graph neural networks
AddGraph: Anomaly Detection in Dynamic Graph Using Attention-based Temporal GCN
安全问题统计
Anomaly Detection in Dynamic Graphs via Transformer
信息安全顶级会议文章整理
A Comprehensive Survey on Graph Anomaly Detection with Deep LearningTS-IDS: Traffic-aware self-supervised learning for IoT Network Intrusion Detection
  • Valine