Combining dynamic and static host intrusion detection features using variational long short-term memory recurrent autoencoder

Несмотря на многие преимущества систем обнаружения вторжения на хосте (HIDS), они в основном не приняты в мейнстримных стратегиях кибербезопасности. В отличие от мониторящих сетевой трафик систем обнаружения вторжения HIDS являются последним рубежом обороны операционной системы от потенциальной атаки. Однa из основных причин такого состояния дел — низкая эффективность адекватной защиты от атак нулевого дня. Поскольку число атак уязвимостей нулевого дня и связанных с ними атак растет, для современной HIDS становится критически необходимым уметь им противостоять. В настоящей работе рассмотрен подход с использованием вариационного рекуррентного автокодировщика с долгой краткосрочной памятью (variational long short-term memory — recurrent autoencoder), который увеличивает эффективность обнаружения атак нулевого дня. Разработанная модель реализована с использованием TensorFlow, и проверена ее работа на известных наборах данных ADFA-LD и UNM. Также проведено сравнение с другими подходами, опубликованными в наиболее известных статьях по данной тематике.