Genos ist ein Rahmenwerk für die netzwerkinterne Bereitstellung verschiedener Anomalie-basierter Netzwerk-Intrusion-Detection-Systeme (A-NIDS). Es besteht aus drei Modulen:
Model Compiler: Übersetzt ein A-NIDS-Modell in eine Regelmenge, die effizient in P4-Tabellen auf Netzwerk-Switches bereitgestellt werden kann. Dafür wird ein modell-agnostischer Regelextraktionsalgorithmus verwendet, der die Multimodalität normaler Daten berücksichtigt.
Model Interpreter: Erklärt die Vorhersagen des A-NIDS-Modells, indem wichtige Merkmale identifiziert werden, die zu Anomalie-Erkennungen beitragen. Dies erfolgt effizient basierend auf den extrahierten Regeln.
Model Debugger: Aktualisiert die bereitgestellten Regeln inkrementell, um Fehlalarme zu beheben, ohne das gesamte Modell neu trainieren zu müssen. Dafür werden nur die betroffenen Regeln in den relevanten Teilräumen angepasst.
Zusätzlich realisiert Genos eine Extraktion von bidirektionalen Fluss-basierten Merkmalen direkt auf der Datenebene des Netzwerk-Switches, um komplexe Merkmale ohne Division zu verarbeiten.
Experimente zeigen, dass Genos eine Durchsatzleistung von 100 Gbps, hohe Interpretierbarkeit und triviale Aktualisierungskosten erreicht, bei gleichzeitig überlegener Erkennungsleistung im Vergleich zu bestehenden Ansätzen.
In eine andere Sprache
aus dem Quellinhalt
arxiv.org
Wichtige Erkenntnisse aus
by Ruoyu Li,Qin... um arxiv.org 03-29-2024
https://arxiv.org/pdf/2403.19248.pdfTiefere Fragen