Channel-Centric Spatio-Temporal Graph Networks for Network-based Intrusion Detection
2024 (engelsk)Independent thesis Advanced level (degree of Master (Two Years)), 20 poäng / 30 hp
OppgaveAlternativ tittel
Kanalcentrerade Spatiotemporala Grafnätverk för Nätverksbaserad Intrångsdetektering (svensk)
Abstract [en]
The increasing threat that cyberattacks pose to critical digital infrastructures requires the definition of methods that can reliably detect or prevent them in the face of their escalating complexity and frequency. In this thesis, we study a widespread type of cyberattack, namely network intrusion attacks, and provide a detailed exploration of existing machine learning-based systems designed for their detection, primarily focusing our study on recently proposed systems that provide high classification performance across multiple datasets. A common aspect of the studied methods is that they apply Graph Neural Networks (GNNs), which they frequently define to consider an explicit representation of the temporal aspects associated with the network data. The first contribution of this thesis is a description of potential limitations of the considered methods concerning their graph and temporal representations, which leads us to propose alternative formulations that aim to avoid those limitations. As a result, we introduce a novel architecture, namely Channel-Centric Spatio-Temporal Graph Networks (CCSTGN), which builds on the previously introduced alternative representations and is designed in order to allow its consideration in different applications of network analysis, thus not being restricted to network-intrusion detection. Another contribution of this thesis is the presentation of a comprehensive data preprocessing procedure, which identifies and builds up on other potential limitations of previous approaches. Lastly, we present a detailed experimental evaluation of our proposed CCSTGN architecture using different learning strategies, from which we conclude that our proposal is able to outperform
multiple existing GNN-based methods according to various classification metrics and that the data preprocessing procedure is of significant importance for the performance of the models.
Abstract [sv]
Det ökande hot som cyberattacker utgör mot kritiska digitala infrastrukturer kräver att man definierar metoder som på ett tillförlitligt sätt kan upptäcka eller förhindra dem mot bakgrund av deras eskalerande komplexitet och frekvens. I den här avhandlingen studerar vi en utbredd typ av cyberattacker, nämligen nätverksintrångsattacker, och ger en detaljerad undersökning av befintliga maskininlärningsbaserade system som är utformade för att upptäcka dem, främst med fokus på nyligen föreslagna system som ger hög klassificeringsprestanda över flera dataset. En gemensam aspekt av de studerade metoderna är att de tillämpar grafneurala nätverk (GNN), som ofta definieras för att ta hänsyn till en uttrycklig representation av de temporala aspekter som är förknippade med nätverksdata. Det första bidraget i denna avhandling är en beskrivning av potentiella begränsningar hos de undersökta metoderna när det gäller deras grafiska och temporala representation, vilket leder oss till att föreslå alternativa formuleringar som syftar till att undvika dessa begränsningar. Som ett resultat introducerar vi en ny arkitektur, nämligen Channel-Centric Spatio-Temporal Graph Networks (CCSTGN), som bygger på de tidigare introducerade alternativa representationerna och är utformad för att möjliggöra dess övervägande i olika tillämpningar av nätverksanalys, vilket inte är begränsat till detektering av nätverksintrång. Ett annat bidrag i denna avhandling är presentationen av ett omfattande dataförberedelseförfarande, som identifierar och bygger på andra potentiella begränsningar av tidigare metoder. Slutligen presenterar vi en detaljerad experimentell utvärdering av vår föreslagna CCSTGN-arkitektur med hjälp av olika inlärningsstrategier, varifrån vi drar slutsatsen att vårt förslag kan överträffa flera befintliga GNN-baserade metoder enligt olika klassificeringsmått och att dataförbehandlingsförfarandet är av betydande betydelse för modellernas prestanda.
sted, utgiver, år, opplag, sider
Stockholm: KTH Royal Institute of Technology , 2024. , s. 97
Serie
TRITA – EECS-EX ; 2024:279
Emneord [en]
Graph Neural Networks, Network-based Intrusion Detection, Temporal Graph Networks, Cybersecurity, Machine Learning
Emneord [sv]
Grafneurala Nätverk, Nätverksbaserad Intrångsdetektering, Temporala Grafnätverk, Cybersäkerhet, Maskininlärning
HSV kategori
Identifikatorer
URN: urn:nbn:se:kth:diva-350823OAI: oai:DiVA.org:kth-350823DiVA, id: diva2:1885073
Presentation
2024-06-10, via Zoom https://kth-se.zoom.us/j/69284990184, -, Stockholm, 15:00 (engelsk)
Veileder
Examiner
2024-08-132024-07-212024-08-13bibliografisk kontrollert