关键基础设施中基于人工智能的入侵检测技术比较研究

原文标题：A Comparative Study of AI-based Intrusion Detection Techniques in Critical Infrastructures
原文作者：Otoum S, Kantarci B, Mouftah H
发表会议：ACM Transactions on Internet Technology (TOIT), 2021
原文链接：https://arxiv.org/ftp/arxiv/papers/2008/2008.00088.pdf
笔记作者：Morwind@SecQuan
笔记小编：ourren@SecQuan

相关背景

• WSN(无线传感器网络)节点和链路部署在开放自然环境下，容易被攻击者攻击，从而中断或操纵传输的数据
• IDS分类：
• 基于异常检测：可能检测出未知攻击，误报率较高
• 基于流量特征：规则匹配，未知攻击的误报率较高
• 两者混合：自适应的全监督学习
• 应用于WSN的基于人工智能的IDS：
• 分布式强化学习
• 强化学习与基于主机的IDS结合(系统调用序列，Markovian reward process)
• 在线聚类(Pursuit Reinforcement Competitive Learning)
• 自适应神经网络
• 基于数据流信息的面向流DDoS攻击检测
• 深度置信网络(Deep Belief Network)
• 结合DBN与支持向量机(DBN做特征选择，SVM做分类器)
• Discriminative Restricted Boltzmann Machine(半监督，异常检测)
• 结合自动编码器和DBN(自动编码器做降维和特征提取，DBN做分类)
• 分布式计算：雾到物计算，云计算(大规模机器学习)
• 基于分类(正常/恶意)：K-nearest neighbour and K-means，支持向量机
• 自适应机器学习：自动化和自适应测试原型(automated and adaptive testing prototype)，Adaptive Model Generation(AMG)，ASCH-IDS(论文作者自己的)
• 机器学习：
• 深度学习：
• 强化学习：

实验拓扑

• 简要说明：IDS共有N个簇，每一簇有C个传感器，Cluster Head负责统合传感器数据并且交给中心节点的IDS服务器，最后这些聚合的数据输入IDS模型

参与对比的IDS

• 机器学习
• 自适应监督和聚类混合入侵检测系统(Adaptively Supervised and Clustered Hybrid Intrusion Detection System)(作者自己的)
• 深度学习
• 受限玻尔兹曼机聚类IDS(Restricted Boltzmann Machine-based Clustered IDS)
• 强化学习
• 无模型特性
• 基于MDP的强化学习算法，被认为是一种改进的连接性的Q-Learning算法
• 无模型特性(model-free nature)
• 以非自适应的方式解决随机奖励问题
• 有不遵循当前policy独自学习的能力
• Q-Learning
• State-Action-Reward-State-Action Learning(SARSA)
• Temporal Difference learning

实验结果

• 测试设置
• 输入数据：KDDCup99
• 实验流程
• 实验结果
• 准确率
• 检出率
• 误报率
• ROC曲线
• Precision-Recall
• F1-Recall
• 结论
• QL-IDS有接近100%的检出率和准确率；
• 自适应机器学习与深度学习的性能相同，而基于机器学习的IDS框架在检测时间上几乎是基于深度学习的RBM-IDS框架的一半；
• 强化学习有着最好的precision-recall和F1分数，以及最大的ROC曲线面积

论文缺陷与个人思考

• 数据集使用KDDCup99是否合适？一方面该数据集已经十分陈旧，另一方面本论文的场景是无线传感器网络，该场景下的入侵流量与普通的网络入侵流量存在着一定差异，模型在一般网络入侵下的检测效率不能代表在本文场景下的检测效率；
• IDS模型的选择是否合理？本论文没有解释选取模型的原因，这五个模型是否代表了各个方向最优的效果、是否存在效果更好的模型尚待商榷。