GMA-SAWGAN-GP：IDS検出性能を高めるための新規データ生成フレームワーク

Abstract

認識侵入検知システム（IDS）は、既知の攻撃に合わせて調整されることが多く、未知の脅威に対しては汎化性能が十分でないことがよくあります。本論文では、勾配ペナルティ付き自己注意強化ウォッサースタインGAN（Self-Attention-enhanced Wasserstein GAN with Gradient Penalty; WGAN-GP）に基づく新しい生成的拡張フレームワークであるGMA-SAWGAN-GPを提案します。生成器は離散的なフィールドをモデル化するためにGumbel-Softmaxによる正則化を用い、一方で、多層パーセプトロン（MLP）ベースのオートエンコーダがマニフォールド正則化器として機能します。軽量なゲーティングネットワークが、エントロピー正則化を介して敵対的損失と再構成損失のバランスを適応的に調整し、安定性を向上させるとともにモード崩壊を緩和します。自己注意機構により、各レコード内の特徴間における短期および長期の依存関係の両方を、Gumbel-Softmaxヘッドを通じてカテゴリ（分類）意味論を保持しながら捉えることができます。NSL-KDD、UNSW-NB15、CICIDS2017の3データセットに対して、代表的なIDSモデル5種類を用いて広範な実験を行った結果、GMA-SAWGAN-GPは既知の攻撃に対する検出性能を大幅に改善し、未知の攻撃への汎化も強化することが示されました。受信者動作特性（AUROC）と、5パーセントの偽陽性率における真陽性率（True Positive Rate）を用いたLeave-One-Attack-type-Out（LOAO）評価により、拡張データセットで訓練されたIDSモデルが、見えない攻撃シナリオにおいてより高い頑健性を達成することが確認されました。アブレーション研究により、各コンポーネントが性能向上に寄与していることが検証されています。ベースラインモデルと比較して、本提案フレームワークは2値分類精度を平均5.3パーセント、マルチクラス分類精度を2.2パーセント改善します。また、未知の攻撃におけるAUROCおよび5パーセントの偽陽性率における真陽性率は、3つのデータセットすべてで、それぞれ3.9パーセントおよび4.8パーセント増加します。総合的に、GMA-SAWGAN-GPは、混在タイプのネットワークトラフィックに対する生成的拡張のための効果的なアプローチを提供し、IDSの精度と頑健性を向上させます。