Network attack classification using convolutional neural networks and transfer learning

Abstract

Die sich ständig weiterentwickelnde und wachsende Anzahl von Netzwerkangriffen erfordert eine tiefere und genauere Klassifizierung des Netzwerkverkehrs. Intrusion Detection Systeme können maschinelle Lernmethoden verwenden, um Modelle für die Klassifizierung von Netzwerkdaten zu erstellen.. In dieser Arbeit verwenden wir Convolutional Neural Networks als ML-Modelle. Zu diesem Zweck stellen wir den Netzwerkverkehr als Bilder dar indem wir jedes der extrahierten Merkmale als Pixel repräsentieren. Die visuelle Darstellung von Netzwerkangriffen ist bisher nicht weit verbreitet, aber die Methode ermöglicht es in den Bildern die charakteristischen Merkmale für jeden Angriff zu erkennen. Für die Bildanalyse ist die Verwendung vortrainierte Modelle von CNNs eine erfolgereiche Methode. Dieser Ansatz wird Transfer-Learning genannt. Auf diese Weise verwenden wir die repräsentativsten Convolutional Neural Networks Architekturen für die Bildklassifizierung mit dem Transfer-Learning-Ansatz. Die Aufgabe von CNNs besteht darin, die Bilder in einer Form darzustellen, die einfacher zu verarbeiten ist, ohne dabei die Eigenschaften zu verlieren, was der Hauptansatz zur Erreichung einer guten Präzision ist. Für unsere Analyse verwenden wir drei Arten von Angriffen für die Klassifizierung aus einem aktuellen Datensatz (CICIDS2017) Datensatz: BotNet, DoS Hulk und FTP Patator Angriffe. In unseren Experimenten verwenden wir drei existierende CNN-Architekturen: Xception, ResNet und DenseNet. Zusätzlich trainieren wir ein eigenes Modell. Unsere Testergebnisse zeigen, dass wir für alle drei von uns verwendeten CNN-Architekturen, gute Ergebnisse erziehlen konnten. Mit den vortrainierten Modellen können wir einen F1 Score von über 0,95 erreichen. Der Zeitaufwand ist jedoch erheblich. Das eigene Modell arbeit wesentlich schneller und auch mit diesem Modell konnten wir mit den untersuchten Daten einen F1-Score von 0,95 erreichen.

The continuously evolving and increasing number of network attacks requires more in-depth and accurate network traffic classifiers. Intrusion detection systems can use machine learning methods to build models for the classification. The ML algorithms help us to see the wider picture of IDS systems and to go deeper with analysis over the Network systems. In this work, we use Convolutional Neural Networks as ML models. In order to do this, we represent network traffic as images by expressing every feature as a pixel. Visual representation of network attacks is not widely done, but in this way, we can see in the images the most important features that stick out for each attack. For the image analysis, a well-established method is to use pre-trained models of CNNs.This approach is called transfer learning. In this way, we use the most representative Convolutional Neural Networks architectures for image classification with the transfer learning approach. The role of CNN is to represent the images into a form that is easier to process without losing any of the features and to make the classification easier for bigger images. We use three types of attacks for classification from the CICIDS2017 dataset: BotNet, DoS Hulk, and FTP-Patator. For those attacks, we perform image representation and multi-classification. Our test results show that we got a F1-score above 0.95 for all three CNN architectures that we are using. We have also trained our model with the data. Our model works significantly faster and still achieves an F1 score of 0.95.