PHÁT HIỆN XÂM NHẬP MẠNG SỬ DỤNG MẠNG NƠ-RON ĐỒ THỊ VỚI ĐẶC TRƯNG NÚT VÀ CẠNH

Abstract

Bài báo này trình bày một phương pháp mới sử dụng mạng nơ-ron đồ thị với cơ chế tập trung và nhúng kết hợp cả nút và cạnh để phát hiện xâm nhập mạng. Nhờ khả năng tận dụng thông tin toàn diện về hoạt động mạng bằng cách kết hợp nhúng nút và cạnh trong đồ thị, mô hình đề xuất có thể học được các mối quan hệ phức tạp giữa các luồng dữ liệu mạng. Kết hợp với cơ chế học tập trung mạnh mẽ của mô hình mạng nơ-ron đồ thị tập trung (GAT), mô hình đồ thị đề xuất có thể học được nhiều thông tin hữu ích trong đồ thị biểu diễn mạng với các luồng dữ liệu giàu thông tin. Mỗi nút trong đồ thị đại diện cho một luồng dữ liệu mạng, được khởi tạo bằng các đặc trưng của luồng dữ liệu. Các cạnh của đồ thị được xây dựng dựa trên mối quan hệ giữa các luồng dữ liệu có chung địa chỉ IP nguồn. Kết quả thực nghiệm trên tập dữ liệu tiêu chuẩn CIC IDS 2017 cho thấy, mô hình đề xuất có hiệu năng vượt trội hơn các phương pháp học máy truyền thống và học sâu, cũng như mô hình mạng nơ-ron đồ thị đơn giản.