Deep learning model transposition for network intrusion detection systems

Abstract

Companies seek to promote a swift digitalization of their business processes and new disruptive features to gain advantage over their competitors. This often results in wider attack surface that attract attack exploitation. As budgets are thin, one of the most popular security solutions CISOs choose to invest is in NIDS. As anomaly-based NIDSs work over a baseline of normal and expected activity, one of the key areas of development is the training of deep learning classification models robust enough so that, given a different network context, the system is still capable of high-rate accuracy for intrusion detection. In this study, we propose an anomaly-based NIDS using a deep learning stacked-LSTM model with a novel pre-processing technique that gives it context-free features and outperforms most related works, obtaining over 99% accuracy over the CICIDS2017 dataset. It can also be applied to different environments without losing its accuracy since it uses context-free features. Moreover, using synthetic network attacks, our NIDS can detect specific categories of attacks.

As empresas procuram promover uma rápida digitalização de seus processos de negócio e novas funcionalidades disruptivas para obter vantagens competitivas sobre os seus concorrentes. Geralmente, isto resulta numa superfície de ataque mais ampla que atrai a exploração de atacantes. Como os orçamentos são escassos, uma das soluções de segurança mais populares que as empresas escolhem para investir é em NIDS. Como os NIDSs baseados em anomalias trabalham sobre uma baseline de atividade normal, uma das principais áreas de desenvolvimento é o treino de modelos de deep learning robustos o suficiente para que, dado um contexto de rede diferente, o sistema seja capaz de identificar com uma alta taxa precisão alguma intrusão. Neste estudo, propomos um NIDS baseado em anomalias usando um modelo empilhado de LSTMs de deep learning com uma nova técnica de pré-processamento que fornece features livres de contexto e supera a maioria dos trabalhos relacionados, obtendo mais de 99% de precisão sobre o dataset CICIDS2017. Também pode ser aplicado em diferentes ambientes de rede sem perder a precisão, pois utiliza features livres de contexto. Além disso, usando ataques de rede simulados, o nosso NIDS consegue detectar categorias específicas de intrusões.