تشخیص لحظه ای ترافیک مخرب و ناهنجاری در شبکه های سازمانی با استفاده از یادگیری عمیق

با گسترش سریع زیرساخت های شبکه ای سازمانی و ظهور حملات پیشرفته و روز صفر، روش های سنتی تشخیص نفوذ مبتنی بر امضا و قوانین ایستا دیگر کارایی لازم را ندارند و نرخ مثبت کاذب (FPR) بالایی تولید می کنند. این مقاله یک چارچوب جامع مبتنی بر هوش مصنوعی برای تشخیص لحظه ای ترافیک مخرب ارائه می دهد که ترکیبی از تکنیک های یادگیری نظارت شده (Supervised)، یادگیری بدون نظارت (Unsupervised) و یادگیری عمیق جریان محور (Deep Packet Inspection-free) است. مدل های پیشنهادی شامل شبکه های کانولوشنی یک بعدی (D-CNN) و ترانسفورمرهای جریان محور بر پایه داده های NetFlow/IPFIX و همچنین گراف های دانش شبکه (Network Knowledge Graph) با استفاده از GNN هستند. ارزیابی بر روی دیتاست های واقعی سازمانی و بنچمارک های CIC-CICIDS۲۰۱۸، UNSW-NB۱۵ و IoT۲۳ نشان می دهد دقت تشخیص بالای ۹۹.۳، نرخ مثبت کاذب پایین و توانایی تشخیص بیش از ۹۲% حملات روز صفر حاصل شده است. همچنین راهکارهای عملی برای مقابله با حملات خصمانه (Adversarial Attacks)، کمبود داده برچسب دار و مقیاس پذیری در محیط های با ترافیک چند صد گیگابیتی ارائه شده است.