AutoGraphAD: バリエーショングラフトゥエンコーダーを用いた無教師学習に基づくネットワーク異常検出

arXiv:2511.17113v2 Announce Type: replace-cross 要約: ネットワーク侵入検知システム（NIDS）は、ネットワーク攻撃や侵入の検出に不可欠なツールです。無教師学習を用いた異常検出手法を拡張する研究はありますが、これらの手法は正確にラベル付けされたデータセットを必要とし、その取得は非常に高コストです。さらに、既存の公開データセットは攻撃の種類に限界があり、または陳腐化しており、多くのものでは不正確なラベル付けを含む不揃いなデータを持っています。ラベル付けされたデータへの依存を減らすために、我々は非均質バリエーショングラフトゥエンコーダーに基づくノベルな無教師学習異常検出手法 AutoGraphAD を提案します。AutoGraphAD は、ネットワーク活動を表す接続ノードと IP ノードから構成された非均質グラフで動作します。このモデルは、ラベル付けされたデータなしに無教師学習およびコントラスト学習を使用してトレーニングされます。その後、モデルの損失が重み付けされ、異常検出に使用される異常スコアと組み合わされます。総じて、AutoGraphAD は Anomal-E と同様の、場合によってはより良い結果をもたらす一方で、高コストのダウンストリーム異常検出器を必要としないという特徴を持っています。この結果、AutoGraphAD はトレーニングおよび推論の両方で約 1.18 および 1.03 桁の速度向上を実現し、運用デプロイに対して大きな利点を発揮します。

arXiv:2511.17113v2 Announce Type: replace-cross Abstract: Network Intrusion Detection Systems (NIDS) are essential tools for detecting network attacks and intrusions. While extensive research has explored the use of supervised Machine Learning for attack detection and characterisation, these methods require accurately labelled datasets, which are very costly to obtain. Moreover, existing public datasets have limited and/or outdated attacks, and many of them suffer from mislabelled data. To reduce the reliance on labelled data, we propose AutoGraphAD, a novel unsupervised anomaly detection based on a Heterogeneous Variational Graph Autoencoder. AutoGraphAD operates on heterogeneous graphs, made from connection and IP nodes that represent network activity. The model is trained using unsupervised and contrastive learning, without relying on any labelled data. The model's losses are then weighted and combined in an anomaly score used for anomaly detection. Overall, AutoGraphAD yields the same, and in some cases better, results than Anomal-E, but without requiring costly downstream anomaly detectors. As a result, AutoGraphAD achieves around 1.18 orders of magnitude faster training and 1.03 orders of magnitude faster inference, which represents a significant advantage for operational deployment.