تركيبي از روش هاي تفسير پذير براي تشخيص حملات شبكه

ENIXMA: ENsemble of EXplainable Methods for Detecting Network Attacks

امروزه اينترنت يكي از قسمت‌هاي اصلي جامعه را تشكيل مي‌دهد. با توجه به فراگير بودن اينترنت، در دسترس بودن آن يك امر ضروري به شمار مي‌رود. از طرفي مهاجمان به دنبال از دسترس خارج كردن خدمات اينترنتي و سوءاستفاده از شركت‌هاي خدمات اينترنتي هستند. مهاجمان از ابزار‌ها و روش‌هاي مختلف جهت حمله به شبكه‌ها و زيرساخت‌هاي شركت‌هاي ارائه كننده خدمات استفاده مي‌كنند. به آن حملات، ناهنجاري در ترافيك شبكه نيز گفته مي‌شود. به طور‌كلي، ناهنجار‌ها يا حملات، رويداد‌هاي شبكه هستند كه از رفتار عادي مورد انتظار، منحرف مي‌شوند و از نظر امنيتي مشكوك هستند. روش‌هاي بسيار متنوعي براي شناسايي حملات در شبكه ارائه شده اند. از مهم‌ترين چالش‌هاي روش‌هاي پيشين مي‌توان به دقت پايين و عدم تفسير پذيري اشاره نمود. در اين مقاله، ما سعي نموديم كه تركيبي از روش‌هاي پايه را براي شناسايي حملات به كار گيريم و دقت شناسايي حملات را در مجموعه‌داده‌ متوازن شده به 89 درصد برسانيم. اين دقت در مقايسه با كارهاي پيشين ۳ درصد رشد داشته است. به منظور حل چالش تفسير پذيري، روش‌هاي SHAP، LIME و درخت تصميم را اعمال نموده و ويژگي‌هاي اثرگذار در شناسايي حملات را شناسايي نموديم. روش پيشنهادي، علاوه بر دقت و تفسير پذيري بالا، سرعت بالاتري نسبت به روش‌هاي پيشين دارد.

Today, the Internet is a major part of society. Given the ubiquity of the Internet, its availability is a must. Attackers, on the other hand, seek to make Internet services inaccessible and exploit Internet service companies. Attackers use various tools and methods to attack the networks and infrastructure of service companies. These attacks are also called network traffic anomalies. In general, malfunctions or attacks are network events that deviate from normal expected behavior and are suspicious of security. In general, anomalies or attacks are network events that deviate from expected normal behavior and are suspicious from a security point of view. Many different methods have been proposed to detect attacks in the network. One of the most important challenges of the previous methods is the low accuracy and lack of interpretability. In this paper, we tried to use a combination of basic methods to detect attacks and achieve 89% attack detection accuracy in the balanced dataset. This accuracy has increased by 3% compared to previous works. In order to solve the challenge of interpretability, we applied SHAP, LIME and decision tree methods and identified the effective features in detecting attacks. The proposed method, in addition to high accuracy and interpretability, has a higher speed than previous works.