Autoencoders generalizáveis para detecção de intrusão

Resumo

Este trabalho visa investigar a robustez de autoencoders (AEs) para detecção de intrusão em tráfego de rede tabular quando o modelo é treinado no CIC-IDS-2017 e avaliado, sem ou com mínimo ajuste, no domínio distinto do UNSW-NB15. O pipeline projetado começa pela extração de flows diretamente dos PCAPs de ambos os corpora, produzindo 2 subconjuntos de dados contendo 84 features cada. A partir daí selecionamos e padronizamos um conjunto "núcleo" de ¿ 20variáveis comuns. O modelo baseia-se em dois AEs compactos (Vanilla e Variacional) dimensionados para equilibrar compressão e fidelidadeem um sistema de detecção de intrusão tabular. Para mitigar classes raras, introduzimos uma loss focal de reconstrução e adicionamos regularização MMDpara aproximar distribuições latentes entre domínios. As representações de ambos os AEs são empilhadas e passadas a um LightGBM raso, visando maximizar recall em classes minoritárias.A avaliação será baseada em 3-fold estratificado (CIC) seguido de teste zero-shot e few-shot no UNSW. Métricas-chave incluem F1-macro, MCC e PR-AUC e a significância dos ganhos sobre o baseline PCA+LightGBM será verificada com Wilcoxon signed-rank (¿ = 0,05). Espera-se mostrar que os AEs mantêm (ou recuperam com few-shot) pelo menos 95 % de recall global, com queda ¿ 10 p.p. na migração de domínio. (AU)