Riassunto analitico
Negli ultimi anni diverse tecniche di Graph Deep Learning (GDL) si sono dimostrate particolarmente efficaci nel trattare dati con una struttura a grafo. I dati utilizzati in Network Intrusion Detection possono essere naturalmente rappresentati in forma di grafo, considerando come nodi gli host della rete e come archi il traffico tra di essi. In questo modello, la classificazione del traffico malevolo può essere vista come classificazione di archi (edge classification). Le ultime ricerche nell'ambito della Network Intrusion Detection suggeriscono l'uso delle Graph Neural Network (GNN) per migliorare le performance di classificazione dei tradizionali algoritmi di Machine Learning (ML). Invece di analizzare i flussi di rete in maniera indipendente, questi nuovi algoritmi sono in grado di sfruttare le informazioni topologiche derivanti dal grafo di rete. In questo lavoro di tesi viene adattato alla edge-classification un celebre algoritmo di Graph Embedding non supervisionato chiamato adversarially regularized graph autoencoder (ARGA) per lo sviluppo di un innovativo Network Intrusion Detection System (NIDS). A differenza delle proposte esistenti, ARGA codifica le informazioni topologiche e quelle contenute nei nodi in una rappresentazione compatta nello spazio latente attraverso un autoencoder non supervisionato. Inoltre, viene sfruttata una fase di addestramento con una rete avversaria, seguendo i principi delle Generative Adversarial Network (GAN), per rendere più robusto l'embedding. Vengono inoltre proposte due varianti di ARGA chiamate ARVGA e ARVGA_AX entrambe basate su un autoencoder di tipo variational con l'obiettivo di regolarizzare lo spazio latente e di valutarne gli effetti sulle performance di classificazione. Il NIDS proposto in questo lavoro di tesi ha prodotto risultati soddisfacenti su tre dataset pubblici superando in performance di classificazione tre GNN che rappresentano l'attuale stato dell'arte della Network Intrusion Detection.
|
