ОЦІНКА ВПЛИВУ ОЗНАК У МОДЕЛЯХ ВИЯВЛЕННЯ АНОМАЛІЙ BGP НА ОСНОВІ SHAP

1
Національний університет «Львівська політехніка»
2
Lviv Polytechnic National University
3
Lviv branch of JSC "Ukrtelecom"

Класифікація аномалій з використанням Протоколу Граничного Шлюзу (BGP) є важливою для забезпечення стабільності та безпеки Інтернету, оскільки такі аномалії можуть порушувати роботу та надійність мережі. У попередніх дослідженнях цієї предметної області було проаналізовано вплив базових характеристик повідомлень оновлення BGP на моделі виявлення аномалій, проте описані підходи часто використовують методи з високою обчислювальною складністю, важкі для розуміння та можуть викликати труднощі при заміні наборів даних чи тренувальних моделей. У статті представлено новий підхід до оцінки важливості характеристик на основі методів SHAP (SHapley Additive Explanations), який пропонує спрощену, зрозумілу та ефективну альтернативу, спеціально розроблену для моделей класифікації на основі LSTM. Розроблено спеціалізований інструмент для ефективної оцінки впливу характеристик, який поєднує статистичний аналіз із візуалізаціями для підвищення розуміння результатів. Цей інструмент дозволяє оцінювати глобальний вплив характеристик для різних наборів даних, як позитивний, так і негативний. Крім того, він надає інформацію про вплив характеристик для кожного класу, демонструючи, як окремі характеристики по-різному впливають на виявлення різних типів аномалій. Для перевірки стабільності отриманих результатів були використані набори даних, що представлять декілька типів аномалій, такі як прямі, непрямі та збої. Такий рівень деталізації дозволяє дослідникам покращувати моделі LSTM для окремих категорій аномалій, зберігаючи загальну ефективність. Запропоновано структурований алгоритм покращення моделей класифікації аномалій BGP з врахування оцінки впливу характеристик. Проведено тести стабільності на різних наборах даних для підтвердження надійності ранжування характеристик, що додатково підсилює достовірність запропонованої методології. Описаний у статті підхід підвищує ефективність систем виявлення аномалій, дозволяючи дослідникам ідентифікувати критичні характеристики, впроваджувати нові метрики та вдосконалювати існуючі моделі LSTM, що, в свою чергу, дозволяє підвищити безпеку та стійкість інформаційно-комунікаційних мереж, ефективно вирішуючи нові виклики у сфері мережевої безпеки.

[1].    Rekhter, Y., Li, T. and Hares, S. (2006), ‘A border gateway protocol 4 (BGP-4)’, Internet Requests for Comments, RFC Editor, RFC 4271, January, available at: http://www.rfc-editor.org/rfc/rfc4271.txt (Accessed 25 November 2024). doi: 10.17487/RFC4271

[2].    Hammood, N.H., Al-Musawi, B. and Alhilali, A.H. (2022), ‘A survey of BGP anomaly detection using machine learning techniques’, in Pokhrel, S.R., Yu, M. and Li, G. (eds) Applications and Techniques in Information Security. ATIS 2021. Communications in Computer and Information Science, vol. 1554. Springer, Singapore. doi: 10.1007/978-981-19-1166-8_9

[3].    Al-Rousan, N.M. and Trajković, L. (2012), ‘Machine learning models for classification of BGP anomalies’, 2012 IEEE 13th International Conference on High Performance Switching and Routing, Belgrade, Serbia, pp. 103–108. Doi: 10.1109/HPSR.2012.6260835

[4].    Fonseca, P., Mota, E.S., Bennesby, R. and Passito, A. (2019), ‘BGP dataset generation and feature extraction for anomaly detection’, 2019 IEEE Symposium on Computers and Communications (ISCC), Barcelona, Spain, pp. 1–6. doi: 10.1109/ISCC47284.2019.8969619

[5].    Paiva, T.B., Siqueira, Y., Batista, D.M., Hirata, R. and Terada, R. (2021), ‘BGP anomalies classification using features based on AS relationship graphs’, 2021 IEEE Latin-American Conference on Communications (LATINCOM), Santo Domingo, Dominican Republic, pp. 1–6. doi: 10.1109/LATINCOM53176.2021.9647824

[6].    Lundberg, S.M. and Lee, S.-I. (2017) ‘A unified approach to interpreting model predictions’, in Guyon, I., Luxburg, U.V., Bengio, S., Wallach, H., Fergus, R., Vishwanathan, S. and Garnett, R. (eds) Advances in Neural Information Processing Systems 30. Curran Associates, Inc., pp. 4765–4774. doi: 10.48550/arXiv.1705.07874

[7].    Al-Musawi, B., Branch, P. and Armitage, G. (2017), ‘BGP anomaly detection techniques: A survey’, IEEE Communications Surveys & Tutorials, 19(1), pp. 377–396. doi: 10.1109/COMST.2016.2622240

[8].    RIPE (1999), ‘RIPE Network Coordination Centre’, available at: https://www.ripe.net/analyse/internet-measurements/routing-information-s... (Accessed: 30 November 2024).

[9].    RouteViews (2013), ‘University of Oregon RouteViews Project’, Eugene, OR., available at: http://www.routeviews.org (Accessed: 30 November 2024).

[10]. Paiva, T., ‘BGP anomaly classification dataset’, available at: https://github.com/thalespaiva/bgp-anomaly-classification/blob/main/data... (accessed: 30 November 2024).

[11]. Maruniak, S., ‘BFRank’, available at: https://github.com/MaruniakS/BFRank (Accessed: 15 December 2024).