2025-11-24T00:49:17.627941

Interoperability and Explicable AI-based Zero-Day Attacks Detection Process in Smart Community

Sayduzzaman, Rahman, Tamanna et al.
Systems, technologies, protocols, and infrastructures all face interoperability challenges. It is among the most crucial parameters to give real-world effectiveness. Organizations that achieve interoperability will be able to identify, prevent, and provide appropriate protection on an international scale, which can be relied upon. This paper aims to explain how future technologies such as 6G mobile communication, Internet of Everything (IoE), Artificial Intelligence (AI), and Smart Contract embedded WPA3 protocol-based WiFi-8 can work together to prevent known attack vectors and provide protection against zero-day attacks, thus offering intelligent solutions for smart cities. The phrase zero-day refers to an attack that occurs on the day zero of the vulnerability's disclosure to the public or vendor. Existing systems require an extra layer of security. In the security world, interoperability enables disparate security solutions and systems to collaborate seamlessly. AI improves cybersecurity by enabling improved capabilities for detecting, responding, and preventing zero-day attacks. When interoperability and Explainable Artificial Intelligence (XAI) are integrated into cybersecurity, they form a strong protection against zero-day assaults. Additionally, we evaluate a couple of parameters based on the accuracy and time required for efficiently analyzing attack patterns and anomalies.
academic

Взаимодействие и объяснимый искусственный интеллект для обнаружения атак нулевого дня в умных сообществах

Основная информация

  • ID статьи: 2408.02921
  • Название: Interoperability and Explicable AI-based Zero-Day Attacks Detection Process in Smart Community
  • Авторы: Mohammad Sayduzzaman, Anichur Rahman, Jarin Tasnim Tamanna, Dipanjali Kundu, Tawhidur Rahman
  • Категория: cs.CR (Криптография и безопасность)
  • Дата публикации: Август 2024 г. (препринт arXiv)
  • Ссылка на статью: https://arxiv.org/abs/2408.02921

Аннотация

В данной статье предлагается структура обнаружения атак нулевого дня на основе взаимодействия и объяснимого искусственного интеллекта (XAI), специально разработанная для сред умных сообществ. Исследование направлено на решение ограничений традиционных систем защиты от вторжений (IDPS) при обнаружении неизвестных атак нулевого дня путем интеграции передовых технологий, включая мобильную связь 6G, Интернет всего (IoE), искусственный интеллект и WiFi-8 на основе протокола WPA3, для создания многоуровневой системы безопасности. Метод достигает значительных улучшений в точности и времени обнаружения благодаря применению технологии XAI для выявления неизвестных моделей атак.

Исследовательский контекст и мотивация

Основные проблемы

  1. Проблема обнаружения атак нулевого дня: Атаки нулевого дня используют неизвестные уязвимости, которые традиционные системы обнаружения на основе сигнатур не могут идентифицировать из-за отсутствия известных характеристик атак
  2. Проблемы взаимодействия систем: Существующие системы безопасности не имеют эффективного взаимодействия и не могут сформировать единый механизм обмена информацией об угрозах
  3. Требования безопасности умных сообществ: Конвергентное применение новых технологий, таких как 6G, IoE и WiFi-8, создает новые проблемы безопасности

Значимость исследования

  • Атаки нулевого дня являются наиболее угрожающим типом кибератак, способным вызвать утечки данных, атаки программ-вымогателей и значительные экономические потери
  • Быстрое развитие умных городов и умных сообществ требует более интеллектуальных и адаптивных механизмов защиты
  • Традиционные системы IDPS имеют ограниченную эффективность при столкновении с полиморфными вредоносными программами и сложными техниками уклонения

Ограничения существующих методов

  1. Системы обнаружения на основе сигнатур: Не могут обнаружить неизвестные модели атак, неэффективны против полиморфных вредоносных программ
  2. Системы обнаружения аномалий: Требуют исторических данных, имеют компромисс между чувствительностью и уровнем ложных срабатываний
  3. Традиционные методы машинного обучения: Недостаточная точность при обнаружении атак нулевого дня, отсутствие интерпретируемости

Основные вклады

  1. Предложена трёхуровневая архитектура структуры обнаружения атак нулевого дня: включая универсальный уровень (взаимодействие), промежуточный уровень (XAI+ML) и финальный уровень обнаружения (IDPS)
  2. Инновационное применение технологии XAI для распознавания моделей атак нулевого дня: реализация извлечения характеристик неизвестных моделей атак через анализ значений SHAP
  3. Реализована схема взаимодействия с интеграцией нескольких технологий: интеграция технологий 6G, IoE и WiFi-8 для обмена информацией об угрозах в реальном времени
  4. Проверка эффективности метода на нескольких наборах данных: повышение точности до 94,89% по сравнению с существующими методами при одновременном значительном сокращении времени вычислений

Подробное описание метода

Определение задачи

Входные данные: Данные о сетевом трафике и системной активности в реальном времени из сетей 6G, устройств IoE и точек доступа WiFi-8 Выходные данные: Результаты обнаружения атак нулевого дня и оповещения о безопасности Ограничения: Необходимо минимизировать уровень ложных срабатываний и время отклика при обеспечении высокой точности обнаружения

Архитектура модели

1. Универсальный уровень (Generic Layer)

  • Функция: Реализация взаимодействия между 6G, IoE и WiFi-8
  • Основной механизм: Обмен информацией об угрозах в реальном времени
  • Обработка данных: Обработка примерно 100 ЗБ данных ежедневно

2. Промежуточный уровень (Intermediate Layer) - основное инновационное решение

  • Извлечение характеристик XAI: Использование анализа значений SHAP для извлечения 15 оптимальных характеристик из 45 исходных
  • Двойной механизм обнаружения:
    • Анализ моделей атак: обнаружение неизвестных моделей атак нулевого дня
    • Обнаружение аномалий: идентификация известных типов атак
  • Формула расчёта значений SHAP: 
    f(x) = Σ(i=1 to P) φᵢ + Ex[f(x)]
    где φᵢ — значение SHAP для характеристики i

3. Финальный уровень обнаружения (Final Detection Layer)

  • Интеграция IDPS: Традиционная система защиты от вторжений
  • Механизм принятия решений: Финальное определение на основе информации о моделях атак, предоставленной промежуточным уровнем
  • Стратегия реагирования: Автоматическая изоляция подозрительных пользователей или трафика

Технические инновации

  1. Обнаружение нулевого дня на основе XAI: Первое систематическое применение технологии объяснимого ИИ для распознавания неизвестных моделей атак нулевого дня
  2. Многоуровневая архитектура защиты: Реализация полного процесса от сбора данных до финального обнаружения через трёхуровневую архитектуру
  3. Улучшенное взаимодействие: Обеспечение бесшовного сотрудничества между гетерогенными системами безопасности
  4. Информация об угрозах в реальном времени: Поддержка обмена информацией об угрозах в реальном времени между платформами и сетями

Экспериментальная установка

Наборы данных

  1. NSL-KDD: Стандартный набор данных для обнаружения сетевых вторжений, используется для классификации атак
  2. UNSW-NB15: Извлечение характеристик сетевого трафика, содержит образцы современных сетевых атак
  3. ToN-IoT: Набор данных сетевой безопасности в среде IoT

Метрики оценки

  • Точность (Accuracy): (TP + TN) / (TP + TN + FP + FN)
  • Время обнаружения: Время обработки алгоритмом и задержка отклика
  • Уровень ложных срабатываний: Доля ложноположительных обнаружений
  • Коэффициент распознавания моделей атак: Способность обнаружения новых моделей атак

Методы сравнения

  • Sarhan et al. (MLP + RF): 85,5% точность
  • Hindy et al. (SVM + Autoencoders): 92,96% точность
  • Kumar et al. (Hitter + Graph): 88,98% точность
  • Koroniotis et al. (Decision Tree): 93,2% точность

Детали реализации

  • Данные обучения: Три класса атак — Normal, DoS, Fuzzers
  • Сценарии тестирования: Обнаружение новых атак Backdoor
  • Выбор характеристик: Сокращение с 45 до 15 ключевых характеристик
  • Выбор модели: Сравнение нескольких алгоритмов ML (AdaBoostM1, RandomSubspace и др.)

Результаты экспериментов

Основные результаты

  1. Общая точность: 94,89%, превосходит все методы сравнения
  2. Обнаружение моделей атак: AdaBoostM1 показывает лучшие результаты при обнаружении моделей атак нулевого дня
  3. Обнаружение аномалий: RandomSubspace достигает наивысшей точности при обнаружении обычных аномалий
  4. Вычислительная эффективность: LogitBoost и DecisionTable значительно сокращают время вычислений после применения XAI

Абляционные эксперименты

  • Проверка эффективности XAI: Точность всех моделей ML повышается после применения XAI
  • Анализ временной эффективности: Технология XAI значительно сокращает время вычислений, особенно для алгоритмов LogitBoost и DecisionTable

Анализ случаев

Эксперимент успешно обнаружил атаки Backdoor, не встречавшиеся на этапе обучения, что доказывает эффективность метода при обнаружении атак нулевого дня. Через анализ значений SHAP система может идентифицировать критические комбинации характеристик, приводящие к атакам.

Экспериментальные находки

  1. Важность характеристик: Анализ XAI выявил 15 наиболее критических сетевых характеристик для обнаружения атак
  2. Адаптивность модели: Различные алгоритмы ML демонстрируют улучшенную способность к обобщению после усиления XAI
  3. Производительность в реальном времени: Система способна обеспечивать обнаружение в реальном времени при сохранении высокой точности

Связанные работы

Основные направления исследований

  1. Обнаружение нулевого дня на основе эвристического анализа: Выявление аномалий через анализ поведения
  2. Методы глубокого обучения: Использование нейронных сетей для распознавания моделей
  3. Применение федеративного обучения: Совместное обучение в распределённых средах
  4. Обнаружение на основе информации об угрозах: Использование внешних источников информации для улучшения обнаружения

Преимущества данной работы

  • Интеграция нескольких технологий: Первое систематическое объединение взаимодействия, XAI и обнаружения нулевого дня
  • Высокая практичность: Ориентация на требования развёртывания в реальных умных сообществах
  • Превосходная производительность: Превосходит существующие методы как по точности, так и по эффективности

Выводы и обсуждение

Основные выводы

  1. Предложенная трёхуровневая архитектура эффективно решает ограничения традиционных систем IDPS при обнаружении атак нулевого дня
  2. Технология XAI способна успешно распознавать неизвестные модели атак, предоставляя новый подход к обнаружению атак нулевого дня
  3. Механизм взаимодействия значительно повышает способность многосистемной совместной защиты
  4. Эксперименты подтверждают значительные преимущества метода в точности и эффективности

Ограничения

  1. Ограничения набора данных: Существующие наборы данных могут не полностью отражать сложность реальных сетевых сред
  2. Требования к вычислительным ресурсам: Анализ XAI и обработка в реальном времени требуют значительных вычислительных ресурсов
  3. Сложность развёртывания: Архитектура с интеграцией нескольких технологий может столкнуться с проблемами совместимости при практическом развёртывании
  4. Противодействие атакующих: Статья недостаточно рассматривает противодействующие атаки, направленные на системы XAI

Направления будущих исследований

  1. Расширение масштаба наборов данных: Создание более крупных и разнообразных наборов данных атак нулевого дня
  2. Оптимизация эффективности алгоритмов: Дальнейшее снижение вычислительной сложности анализа XAI
  3. Повышение устойчивости к противодействию: Улучшение способности системы противостоять противодействующим атакам
  4. Проверка практического развёртывания: Верификация производительности системы в реальных средах умных сообществ

Глубокая оценка

Достоинства

  1. Высокая инновационность: Первое систематическое применение технологии XAI к обнаружению атак нулевого дня, обладает высокой академической ценностью
  2. Хорошая практичность: Ориентация на реальные потребности приложений в умных сообществах, обладает хорошими перспективами применения
  3. Полные эксперименты: Всесторонняя экспериментальная проверка на нескольких стандартных наборах данных
  4. Превосходная производительность: Достигнуты значительные улучшения как в точности, так и в эффективности

Недостатки

  1. Недостаточный теоретический анализ: Отсутствует теоретическое объяснение эффективности XAI при обнаружении нулевого дня
  2. Отсутствие проверки практического развёртывания: Система не проверена в реальных средах
  3. Недостаточный анализ безопасности: Недостаточный анализ собственной безопасности системы и способности противостояния атакам
  4. Отсутствие анализа затрат и выгод: Отсутствуют подробные данные о затратах на развёртывание и обслуживание

Влияние

  1. Академический вклад: Предоставляет новый технический путь для области обнаружения атак нулевого дня
  2. Практическая ценность: Имеет важное значение для защиты сетевой безопасности умных городов и умных сообществ
  3. Продвижение технологии: Может служить технической справкой для соответствующих продуктов и решений в области безопасности

Применимые сценарии

  1. Безопасность умных сообществ: Применимо для защиты сетевой безопасности крупномасштабных умных сообществ
  2. Корпоративная сетевая безопасность: Может быть применено в системах обнаружения вторжений корпоративного уровня
  3. Защита критической инфраструктуры: Применимо для защиты критической инфраструктуры, такой как энергетика и транспорт
  4. Безопасность устройств IoT: Может быть расширено для мониторинга безопасности крупномасштабных устройств IoT

Список литературы

Статья цитирует 50 связанных работ, охватывающих важные исследования в нескольких областях, включая обнаружение атак нулевого дня, машинное обучение, сетевую безопасность и безопасность IoT, обеспечивая прочную теоретическую основу для исследования.

Общая оценка: Это инновационная исследовательская работа в области обнаружения атак нулевого дня, которая предоставляет новое решение для защиты сетевой безопасности умных сообществ путём объединения технологии XAI с механизмом взаимодействия. Хотя в теоретическом анализе и проверке практического развёртывания ещё есть место для совершенствования, технические инновации и результаты экспериментов демонстрируют эффективность и практическую ценность данного метода.