《Computers and Electrical Engineering》:ADAP-GNN: Adaptive property-aware graph neural network for intrusion detection in IoT networks
編輯推薦:
物聯網網絡安全中基于圖神經網絡的入侵檢測框架研究提出ADAP-GNN,通過動態選擇GraphSAGE和GAT架構優化威脅識別�。實驗表明����,該框架在九個數據集上顯著提升檢測準確率并降低計算成本�����。
Mortada Termos|Zakariya Ghalmane|Mohamed-el-Amine Brahmia|Ahmad Fadlallah|Ali Jaber|Mourad Zghal
CESI LINEACT, UR 7527, 斯特拉斯堡, 法國
摘要
新的、復雜的攻擊正在威脅物聯網(IoT)網絡��,危及設備的安全性和可靠性�����。因此�,網絡入侵檢測系統(NIDS)對于保護這些網絡變得至關重要���,而基于人工智能的NIDS已成為一種有前景的解決方案�。深度學習的一個相對較新的子領域——圖神經網絡(GNNs),通過捕捉網絡數據中的復雜關系模式進一步推動了這一領域的發展�。像GraphSAGE這樣的架構在節點層面采用鄰居采樣技術����,而圖注意力網絡(GAT)則利用注意力機制來突出重要節點�,在各種應用中展現了出色的性能。然而����,這些架構在NIDS的背景下尚未得到充分探索���。此外���,沒有一種GNN架構在所有網絡中都是普遍最優的��,因為它們的性能取決于網絡的具體圖屬性����。為了解決這些問題����,我們提出了一個新框架���,包括兩個主要方面:(i)將GNN架構適配用于物聯網網絡的入侵檢測�����;(ii)根據物聯網網絡的圖屬性動態選擇最合適的GNN配置���,使用所謂的“自適應屬性感知圖神經網絡(ADAP-GNN)”�����。這種方法可以在含有大量惡意節點的數據集中安全地部署鄰居采樣,因為錯過關于罕見攻擊的信息的風險較低����。此外��,在中心性熵較高的網絡中,注意力機制也表現出優勢。實驗結果證明了屬性感知模型選擇對于開發強大的基于GNN的NIDS的重要性���,突顯了所提出方法的可適應性和有效性。
引言
在當今日益互聯的數字世界中,物聯網(IoT)的網絡安全變得至關重要��。識別潛在威脅和攻擊是確�����;ヂ摼W連接安全和數據保密性的關鍵步驟[1]��。用于識別威脅的主要工具之一是網絡入侵檢測系統(NIDS),它旨在持續監控網絡流量以檢測任何敵對活動[2]�����。隨著網絡威脅的演變和現代網絡的復雜性�,傳統的基于規則的NIDS方法難以跟上步伐���。這促使研究人員將重點轉向基于人工智能的NIDS����,這些系統使用異常檢測或訓練強大的分類器。
盡管機器學習(ML)和深度學習(DL)模型已經取得了顯著成果[3]�����,但它們僅限于孤立地檢查每個流量或作為短時間序列的一部分進行檢測����。如果不探索設備及其在網絡中的連接之間的關系模式,這些模型對結構化攻擊將毫無察覺�����,而這些攻擊在單個流量層面可能看起來是良性的[4]���。為了解決這一挑戰����,圖機器學習被用來為模型提供更廣闊的視角。一個針對圖形數據設計的深度學習模型子領域——圖神經網絡(GNNs)應運而生�;贕NN的NIDS由于能夠探索圖中的關系模式����,在與其他DL模型相比時展現了最先進的結果[5]���。圖神經網絡(GNNs)設計用于直接處理圖結構化數據���,其中節點代表實體����,邊表示它們之間的關系[6]。通過消息傳遞方法�,每個節點從其鄰居那里收集信息����,并用其特征及其連接提供的上下文更新自己的表示���。這一迭代過程使GNNs能夠學習出反映其在圖中位置的高維節點表示����。在網絡流量數據中,可以構建一個圖����,其中設備是節點�����,它們之間的流量是邊。將GNNs應用于這樣的圖可以有效地捕捉復雜交互��,使其成為網絡入侵檢測系統的強大工具[7]��。例如�,GNN模型在檢測PortScan攻擊方面表現更好���,攻擊者通過這種攻擊來識別開放的端口和脆弱的服務����。GNN有多種架構���,其中兩種廣泛采用的是GraphSAGE(Graph SAmple and AggreGatE)[8]和圖注意力網絡(GAT)[9]���。GraphSAGE利用鄰居采樣技術在大圖中實現可擴展的學習��,并訓練一個聚合函數以確保歸納性的節點嵌入�����。另一方面,GAT利用注意力機制為相鄰節點賦予權重��。
將圖神經網絡(GNNs)應用于網絡入侵檢測系統(NIDS)已經顯示出比傳統深度學習模型更優越的性能��,特別是因為物聯網數據可以自然地被建模為圖��。然而,現有文獻缺乏系統性的研究����,以確定哪種GNN架構最適合給定的物聯網網絡���,這取決于其拓撲屬性��。
我們的貢獻有兩個方面。首先����,我們解決了標準GNN架構(通常是節點中心的)與NIDS要求(以邊為中心)之間的不匹配問題��。雖然之前已經提出了E-GraphSAGE[10]來將GraphSAGE適配用于NIDS,但我們的工作更進一步�����,引入了E-GAT���,這是一種新的以邊為中心的圖注意力網絡變體����。這種適配并非簡單,需要重新設計關鍵架構組件,包括基于相鄰邊特征重新制定邊注意力機制以及修改消息傳遞和聚合過程�����。
其次����,我們提出了一個基于規則的選擇框架,根據物聯網網絡的圖屬性動態選擇最合適的GNN架構(無論是利用注意力機制的E-GAT�,還是采用鄰居采樣機制的E-GraphSAGE)�����。這種選擇基于兩個關鍵指標,這兩個指標反映了網絡的結構和安全特性:度中心性熵和攻擊者比例���。這些指標在節點層面計算,并被選中是因為它們直接影響兩種GNN機制的相對性能�����。我們的框架在訓練之前進行這種選擇����,確保了部署的便捷性、檢測性能的提升以及完全的可解釋性��;谝巹t的方法保證了透明度��,并避免了訓練或推理期間動態切換帶來的額外復雜性。與需要大量訓練時間和計算資源來探索大型設計空間的神經架構搜索方法不同�����。需要注意的是�,其他GNN變體,如GCN�����、GIN和圖變換器�,由于在基于邊的入侵檢測任務中的理論和實踐不兼容性,未包含在本研究中。
我們在本文中的貢獻包括:
- —
通過將鄰居采樣納入E-GraphSAGE模型來擴展用于NIDS的邊變體GNN����。
- —
提出了一種新的邊變體E-GAT�����,它結合了注意力機制以增強特征聚合和適應性。
- —
提出ADAP-GNN,這是一種基于規則的模型選擇算法,根據數據集和網絡的屬性選擇最合適的GNN配置。
- —
在九個NIDS數據集上進行了全面的實驗���。
- —
比較了不同模型的實時推理性能。
我們通過廣泛的實驗驗證了我們的框架����,比較了九個不同數據集中的不同GNN配置��。結果表明,我們的基于規則的選擇方法不僅提高了網絡入侵檢測的有效性��,而且在必要時還降低了計算成本����。
本文的其余部分組織如下:第2節回顧了相關工作。第3節詳細介紹了所使用的模型以及我們的方法和選擇算法��。第4節展示了實驗評估��,第5節對本文進行了總結。
相關研究
相關工作
本節回顧了在網絡入侵檢測系統(NIDS)中使用基于圖的方法的關鍵研究�����,從手工設計的復雜網絡度量到數據驅動的圖神經網絡(GNNs)���。之后��,提供了關于圖神經網絡以及學習節點有用表示的過程的背景信息��。最后,探討了現有的GNN架構搜索策略及其在入侵檢測背景下的局限性���。
提出的方法
在這項工作中�����,我們提出了可以利用鄰居采樣技術和注意力機制的以邊為中心的GNN變體實現。同時��,我們介紹了自適應屬性感知圖神經網絡(ADAP-GNN)��,這是一個根據數據集的圖屬性選擇最合適GNN配置的框架����。在本節中���,解釋了以邊為中心的GraphSAGE和GAT的變體�,即E-GraphSAGE和E-GAT模型。
實驗評估
在本節中�,展示了E-GraphSAGE和E-GAT在NIDS中的實驗評估�。此外�����,還在九個數據集上測試了提出的ADAP-GNN,這些數據集在規模��、拓撲和格式上各不相同���。首先描述了數據集及其屬性����。然后指定了實驗設置。最后�,展示了結果����,進行了分析���,并提供了見解和討論�����。
結論
本研究提出了ADAP-GNN����,這是一個輕量級且可解釋的自適應屬性感知框架��,用于增強物聯網環境中的網絡入侵檢測系統�。我們的方法利用領域特定的見解����,根據反映物聯網網絡結構和安全特性的圖派生指標來選擇最合適的GNN配置,從而實現明智的模型選擇。我們的第一個貢獻解決了標準節點中心GNN的局限性����。
利益沖突聲明
作者聲明他們沒有已知的財務利益或個人關系可能影響本文報告的工作�����。
致謝
這項工作得到了CESI EAST Region和Ektidar的支持��,這是一個旨在賦能青年的黎巴嫩項目����。
