شناسایی حملات روز صفر با استفاده از یادگیری مبتنی بر گراف

حملات روز صفر به دلیل رفتار ناشناخته و نبود سازوکارهای دفاعی تهدیدی جدی محسوب می شوند، در حالی که روش های یادگیری عمیق در شناسایی حملات شناخته شده عملکرد موثری دارند. اغلب این روش ها مبتنی بر یادگیری نظارت شده عمل می کنند که مستلزم وجود مجموعه داده های برچسب خورده ی زیاد است و در برابر حملات روز صفر کارایی محدودی دارد. در مقابل، روش های نیمه نظارتی و بدون نظارت به طور ذاتی از استحکام بالاتری برخوردارند و برای شناسایی ناهنجاری ها از طریق تشخیص انحراف از الگوی رفتاری عادی مناسب تر هستند. علاوه بر این، روش های موجود غالبا بر بسته ها یا جریان های شبکه تمرکز دارند و ساختار کلی شبکه و تعامل میان گره ها را نادیده می گیرند. پیشرفت های اخیر در شبکه های عصبی گرافی (GNN) این چالش را با لحاظ شدن توپولوژی شبکه-شامل رفتار گره ها و تعاملات میان یال ها- تا حدی برطرف کرده اند. با این حال، بیشتر روش های مبتنی بر شبکه های عصبی گرافی همچنان نظارت شده بوده و در شناسایی حملات روز صفر محدودیت دارند. در این پژوهش، مدل نیمه نظارتی مبتنی بر خودرمزگذار گرافی (Graph-Autoencoder) ارائه شده است که با لحاظ کردن توپولوژی شبکه به شناسایی ناهنجاری ها می پردازد. نتایج حاصل از آزمایش نشان می دهد که با استفاده از دید کلی داده شده نسبت به شبکه در رویکردهای مبتنی بر گراف و در نظر گرفتن نقش گره های مبدا و مقصد در طبقه بندی یال ها، بهبود قابل توجه عملکرد شناسایی در مقایسه با روش های مبتنی بر جریان حاصل می شود. این بهبود نرخ از دست رفتن حملات را به طور چشمگیری کاهش داده و گامی موثر در جهت پیشرفت سامانه های شناسایی حملات روز صفر محسوب می شود.