earticle

영어

A tokenizer, which is a key component of the Transformer model, lacks the ability to effectively comprehend nu merical data. Therefore, to develop a Transformer-based intrusion detection model that can operate within a real-w orld network environment by training packet payloads as sentences, it is necessary to convert the hexadecimal pack et payloads into a character-based format. In this study, we applied three character encoding methods to convert pa cket payloads into numeric or character format and analyzed how detection performance changes when training the m on transformer architecture. The experimental dataset was generated by extracting packet payloads from PCAP fi les included in the UNSW-NB15 dataset, and the RoBERTa was used as the training model. The experimental resul ts demonstrate that the ISO-8859-1 encoding scheme achieves the highest performance in both binary and multi-cla ss classification. In addition, when the number of tokens is set to 512 and the maximum number of epochs is set to 15, the multi-class classification accuracy is improved to 88.77%.

한국어

트랜스포머 모델의 핵심 요소인 토크나이저는 숫자 형태의 데이터를 제대로 이해하지 못한다. 따라서 패킷 페이로드 를 문장처럼 학습하여 실제 네트워크에서 동작 가능한 트랜스포머 기반의 침입탐지 모델을 구축하기 위해서는 16진수 형태의 패킷 페이로드를 문자 형태로 변환하는 것이 필요하다. 이러한 문제 인식 하에 본 연구에서는 3종의 문자 인코 딩 방식을 적용하여 패킷 페이로드를 숫자 및 문자 형태로 변환한 후 트랜스포머 모델에 학습시키면서 모델의 탐지성 능이 어떻게 달라지는지를 분석하였다. 성능 분석 실험을 위한 데이터세트는 UNSW-NB15 데이터세트에 포함된 PCAP 파일에서 패킷 페이로드를 추출하여 구성하였으며, 학습 모델은 RoBERTa를 사용하였다. 실험 결과, ISO-8859-1 인코딩이 이진분류 및 다중분류에서 가장 우수한 성능을 달성하는 것으로 확인되었으며, 토큰의 수를 512 개로 설정하고 최대 에포크를 15회로 증가한 경우에 다중분류 정확도가 88.77%까지 향상되었다.