Isolation forest como um modelo alternativo para o primeiro estágio de uma abordagem multiestágio para detecção de intrusão

Abstract

O uso da Internet aumentou significativamente na última década, levando ao crescimento de cibercrimes. Para identificar intrusões, existem sistemas de detecção de intrusão, ou intrusion detection systems (IDSs) em inglês, que utilizam duas abordagens principais: a detecção base- ada em assinatura, que é precisa para ataques conhecidos, e a detecção baseada em anomalias, que pode identificar novos ataques utilizando técnicas de machine learning (ML). Entre os algoritmos de ML, existem decision tree, que classifica dados com um conjunto de regras, e random forest, que utiliza múltiplas decision trees. Ambos possuem uma complexidade de treinamento quadrática e, geralmente, tempo de inferência mais altos na identificação de da- dos benignos em comparação com modelos de classificação binária, como os modelos one-class. Para contornar isso, abordagens multiestágio foram desenvolvidas. A abordagem de [3] utiliza um estágio inicial com um autoencoder (AE) para identificar dados benignos e encaminhar os maliciosos para random forest, reduzindo os tempos de inferência de dados benignos e treina- mento. A abordagem de [8] acrescenta um terceiro estágio para corrigir decisões do primeiro estágio e utiliza One-Class Support Vector Machine (OCSVM) no primeiro estágio. Quanto mais rápido um sistema de detecção de intrusão identifica uma ameaça, mais cedo pode ser feita uma intervenção. As abordagens propostas em [3] e [8] apresentaram tempos de inferência de 7 a 8 segundos, enquanto random forest levou 1,5 segundo. Por isso, este trabalho propõe uma abordagem multiestágio de três estágios, que utiliza o algoritmo isolation forest no primeiro estágio, visando um tempo de inferência menor em comparação com os modelos propostos em [3] e [8].