Formulating Subgroup Discovery as a Quantum Optimization Problem for Network Security

Questo articolo introduce una nuova pipeline potenziata quantisticamente che formula la scoperta di sottogruppi per il rilevamento delle intrusioni di rete come un problema di ottimizzazione binaria quadratica senza vincoli (QUBO), dimostrando che l'algoritmo quantistico approssimato di ottimizzazione (QAOA) su hardware IBM può identificare pattern di attacco interpretabili e competitivi basati su più caratteristiche che gli euristiche classiche spesso trascurano, stabilendo al contempo empiricamente il limite di scalabilità imposto dal rumore dei dispositivi NISQ.

L'essenziale

Immagina di essere una guardia di sicurezza che cerca di individuare un ladro in una stazione ferroviaria enorme e affollata. La stazione dispone di migliaia di telecamere, sensori e scanner dei biglietti, tutti che generano un flusso costante di dati.

Il Problema: La Guardia "Scatola Nera"
Attualmente, la maggior parte dei sistemi di sicurezza (chiamati Sistemi di Rilevamento delle Intrusioni) sono come guardie altamente addestrate ma silenziose. Sono eccellenti nell'individuare il ladro e suonare l'allarme. Tuttavia, non riescono a spiegare perché. Dicono semplicemente: "Ladro!", senza dirti se è stato perché la persona correva, indossava un cappello rosso o portava un tipo specifico di borsa. Nella cybersecurity, questa mancanza di spiegazione rende difficile per gli analisti umani comprendere come si è verificato l'attacco o come prevenirlo la prossima volta.

La Soluzione: Trovare la "Ricetta" per un Ladro
Questo articolo introduce un nuovo metodo chiamato Scoperta di Sottogruppi. Invece di chiedere semplicemente "È questo un ladro?", chiede: "Quale combinazione specifica di tratti rende qualcuno simile a un ladro?"

• Analogia: Invece di segnalare semplicemente una persona, il sistema cerca di trovare una regola del tipo: "Se qualcuno indossa un cappello rosso E porta uno zaino E corre, c'è il 99% di probabilità che sia un ladro."
• L'obiettivo è trovare queste "ricette" (regole) che siano facili da comprendere per gli esseri umani.

La Sfida: L'Ago nel Fienile
Il problema è che ci sono troppe combinazioni possibili. Se si hanno 41 tratti diversi (come colore del cappello, velocità, tipo di borsa, ecc.), il numero di regole possibili è astronomico.

• Analogia: Immagina di cercare la ricetta perfetta per una torta provando ogni possibile combinazione di ingredienti. Un computer tradizionale cerca di farlo assaggiando una ricetta alla volta, aggiungendo un ingrediente, assaggiando di nuovo e conservando solo le migliori. Questo è veloce, ma è "goloso". Se un singolo ingrediente ha un sapore sgradevole da solo (come il sale in una torta), il computer lo scarta, anche se quel sale avrebbe reso la torta straordinaria se mescolato con il cioccolato in seguito. Manca le combinazioni della "salsa segreta".

Il Tocco Quantistico: Il "Super-Scanner Magico"
Gli autori hanno provato a utilizzare un Computer Quantistico per risolvere questo problema.

• Analogia: Mentre il computer tradizionale assaggia le ricette una alla volta, il computer quantistico è come uno scanner magico che può assaggiare tutte le ricette possibili contemporaneamente (utilizzando un concetto chiamato sovrapposizione). Non si blocca scartando ingredienti "cattivi" solo perché sembrano sgradevoli da soli; vede come funzionano insieme nell'intera miscela.

Come l'hanno Fatto

1. La Mappa (QUBO): Hanno tradotto il problema della ricerca della migliore "ricetta per ladri" in una mappa matematica chiamata QUBO. Pensa a questo come trasformare la ricerca della migliore ricetta per una torta in un paesaggio di colline e valli, dove la valle più profonda è la regola migliore.
2. L'Algoritmo (QAOA): Hanno utilizzato un algoritmo quantistico specifico (QAOA) per far rotolare una palla giù per questo paesaggio per trovare la valle più profonda.
3. L'Hardware: Hanno eseguito questo su un vero computer quantistico (la macchina "Pittsburgh" di IBM) disponibile nel cloud.

Cosa Hanno Scoperto

• Su Piccola Scala Funziona Bene: Quando hanno testato con un piccolo numero di caratteristiche (10-15 "ingredienti"), il computer quantistico ha trovato regole quasi buone quanto la risposta perfetta (98% - 99% di accuratezza).
• Il Muro del Rumore: Man mano che aggiungevano più caratteristiche (fino a 30), il computer quantistico ha iniziato a commettere errori.
  • Analogia: Immagina che il computer quantistico sia uno strumento molto sensibile. Man mano che l'esperimento diventa più grande, il "rumore statico" nella stanza diventa più forte, coprendo il segnale. A 30 caratteristiche, il rumore era così forte che il computer non riusciva più a trovare la risposta giusta.
• La Salsa Segreta: La parte più entusiasmante è che il computer quantistico ha trovato alcune "ricette per ladri" che il computer tradizionale ha completamente ignorato.
  • Esempio: Il computer tradizionale ha ignorato una combinazione specifica di "tipo di servizio" e "conteggio delle connessioni" perché nessuno dei due sembrava sospetto da solo. Il computer quantistico ha visto che insieme, erano un indicatore perfetto di un attacco. Una di queste regole uniche era accurata al 99,6% nell'individuare un tipo specifico di attacco informatico (chiamato R2L).

La Conclusione
Questo articolo non afferma che i computer quantistici siano attualmente più veloci o migliori nel fermare gli hacker rispetto ai computer normali. In effetti, il computer quantistico ha impiegato molto più tempo per eseguire l'operazione.

Invece, dimostra che i computer quantistici possono trovare schemi che i computer tradizionali perdono. Ha mostrato che guardando tutte le possibilità contemporaneamente, i metodi quantistici possono scoprire regole complesse e nascoste che aiutano gli esseri umani a comprendere meglio gli attacchi informatici. Tuttavia, affinché ciò funzioni su dati reali e massicci, i computer quantistici devono diventare molto più silenziosi (meno rumorosi) e più potenti.

Riassunto in una Frase:
I ricercatori hanno utilizzato un computer quantistico per trovare "ricette" nascoste per gli attacchi informatici che i computer tradizionali hanno perso, dimostrando che i metodi quantistici possono scoprire schemi complessi, anche se l'hardware attuale è ancora troppo rumoroso per gestire problemi molto grandi.

Sommario tecnico

1. Enunciato del Problema

I Sistemi di Rilevamento delle Intrusioni di Rete (IDS) si basano tipicamente su modelli di apprendimento automatico a scatola nera che raggiungono un'alta accuratezza di classificazione ma mancano di spiegabilità. Gli analisti della cybersecurity necessitano di regole interpretabili per comprendere perché un traffico specifico viene segnalato come malevolo.

La Scoperta di Sottogruppi (SD) affronta questo problema individuando regole congiuntive interpretabili (sottogruppi) che caratterizzano le interazioni tra le caratteristiche associate al traffico di attacco. Tuttavia, trovare sottogruppi ottimali è un problema di ottimizzazione combinatoria NP-difficile.

• La Sfida: All'aumentare del numero di caratteristiche ($n$), lo spazio di ricerca cresce esponenzialmente ($C(n, k)$).
• Limitazione Classica: Le euristiche classiche standard, come la Ricerca a Fascio (Beam Search), utilizzano una potatura avida. Estendono i sottogruppi una caratteristica alla volta, mantenendo solo i candidati con il punteggio più alto. Questo approccio spesso trascura modelli critici di interazione multi-caratteristica in cui le singole caratteristiche appaiono deboli in isolamento ma sono altamente discriminative se combinate.
• L'Obiettivo: Formulare la SD come un problema di ottimizzazione combinatoria risolvibile da algoritmi quantistici, mirando specificamente alla scoperta di regole di attacco interpretabili e ad alta precisione che le euristiche classiche potano.

2. Metodologia

Gli autori propongono una pipeline potenziata quantisticamente che codifica l'obiettivo della SD in un problema di Ottimizzazione Binaria Quadratica Senza Vincoli (QUBO) e lo risolve utilizzando l'Algoritmo Quantistico di Ottimizzazione Approssimata (QAOA) sull'hardware IBM Quantum (ibm_pittsburgh).

A. Preprocessing dei Dati (NSL-KDD)

• Dataset: Utilizza il benchmark NSL-KDD (41 caratteristiche, 4 tipi di attacco: DoS, Probe, R2L, U2R).
• Binarizzazione: Le caratteristiche vengono standardizzate e convertite in binario $\{0, 1\}$ tramite sogliatura. Le caratteristiche categoriali subiscono una codifica one-hot con filtraggio consapevole della cardinalità per gestire i budget di qubit.
• Obiettivo: Etichetta binaria (Normale vs Attacco).

B. Formulazione QUBO

L'innovazione centrale è la codifica della metrica Weighted Relative Accuracy (WRAcc) in una matrice QUBO.

• Obiettivo: Massimizzare la WRAcc, che bilancia la copertura (numero di record) e il contrasto (deviazione dal tasso di attacco di base).
• Adattamento ai Minimi Quadrati: Poiché la WRAcc non è intrinsecamente quadratica, gli autori adattano un modello di regressione ai minimi quadrati per approssimare il paesaggio WRAcc sui sottoinsiemi di caratteristiche.
  • $Q^* = \arg\min_Q \sum (x^T Q x - (-WRAcc(x)))^2$
• Penalità di Cardinalità: Viene inclusa una penalità additiva per forzare la soluzione a selezionare esattamente $K$ caratteristiche.
• Mappatura Ising: Il QUBO viene convertito in un Hamiltoniano di Ising ($H_C$) con campi locali ($h_i$) e termini di accoppiamento ($J_{ij}$), consentendo la generazione di porte di entanglement non banali a due qubit (termini ZZ) sull'hardware.

C. Esecuzione Quantistica (QAOA)

• Algoritmo: QAOA con profondità $p$ (strati).
• Hardware: Eseguito su ibm_pittsburgh (qubit superconduttori) per conteggi di qubit compresi tra 10 e 30.
• Ottimizzazione: Utilizza l'ottimizzatore classico COBYLA con avvio caldo (utilizzando i parametri dalla profondità $p$ per inizializzare $p+1$) e strategie multi-start.
• Mitigazione degli Errori: Impiega il Disaccoppiamento Dinamico (sequenza XY4) e il Twirling delle porte di Pauli per mitigare il rumore.

D. Framework di Valutazione

Il documento introduce un framework di Rapporto di Approssimazione Duale:

1. $r_5$ (Qualità dell'Hamiltoniano): Rapporto tra l'energia di Ising campionata migliore e l'energia dello stato fondamentale vero.
2. $r_6$ (Qualità dell'Applicazione): Rapporto tra la migliore WRAcc trovata da QAOA (alla cardinalità target) e la WRAcc di verità fondamentale esaustiva.

• Linee di Base: Confrontato con l'Enumerazione Esaustiva (verità fondamentale per piccoli $n$) e la Ricerca a Fascio (euristica standard).

3. Contributi Chiave

1. Prima Formulazione QUBO per la SD: Questo è il primo lavoro che trasforma la Scoperta di Sottogruppi in un problema QUBO, permettendo agli algoritmi quantistici di ottimizzare direttamente la qualità delle regole interpretabili (WRAcc) piuttosto che solo l'accuratezza di classificazione.
2. Nuova Mappatura QUBO-WRAcc: Sviluppo di un approccio di regressione ai minimi quadrati per adattare il paesaggio WRAcc, garantendo che l'Hamiltoniano risultante abbia un accoppiamento fuori diagonale sufficiente per generare entanglement sull'hardware.
3. Limite di Scalabilità Empirico NISQ: Fornisce dati misurati su come le prestazioni di QAOA degradano con il numero di qubit su hardware reale, stabilendo un limite di fedeltà pratico per istanze QUBO dense.
4. Scoperta di Sottogruppi "Unici Quantistici": Dimostra che QAOA può trovare modelli di interazione multi-caratteristica che la Ricerca a Fascio avida pota sistematicamente a causa dei loro punteggi intermedi deboli.

4. Risultati Chiave

• Qualità dell'Adattamento QUBO: L'approssimazione ai minimi quadrati ha raggiunto un $R^2 = 0.989$ e una correlazione di Spearman $\rho = 0.899$ rispetto al vero paesaggio WRAcc, confermando la validità della codifica quadratica.
• Prestazioni di Scalabilità Hardware (a profondità $p=1$):
  • 10 Qubit: $r_6 = 0.983$ (Altamente competitivo con la verità fondamentale).
  • 15 Qubit: $r_6 = 0.971$.
  • 20 Qubit: $r_6 = 0.855$.
  • 25 Qubit: $r_6 = 0.624$.
  • 30 Qubit: $r_6 = 0.039$ (Le prestazioni crollano a causa del dominio del rumore).
  • Osservazione: Il simulatore senza rumore ha mantenuto $r_6 = 1.0$ su tutte le scale, confermando che la degradazione è dovuta al rumore hardware, non a un fallimento algoritmico.
• Sottogruppi Esclusivi di QAOA:
  • QAOA ha scoperto sottogruppi a 6 caratteristiche che coinvolgono combinazioni di dst_host_srv_diff_host_rate, service_ftp_data e conteggi di connessione che la Ricerca a Fascio ha mancato.
  • Precisione: Questi sottogruppi unici hanno raggiunto una precisione di test del 99,6% sugli attacchi R2L (il che significa che il 99,6% delle connessioni corrispondenti erano attacchi confermati).
  • IDS Ibrido: In un sistema ibrido a due livelli (regole QAOA + XGBoost), il sistema potenziato quantisticamente ha raggiunto un Tasso di Rilevamento (DR) del 12,61% per gli attacchi R2L, superando la linea di base classica (9,32%).

5. Significato e Limitazioni

Significato:

• Spiegabilità: Il lavoro sposta il focus dalla previsione a "scatola nera" alla scoperta di regole a "scatola bianca", fornendo agli analisti logiche azionabili e ad alta precisione per rilevare specifici tipi di attacco.
• Completezza della Ricerca: Dimostra che la sovrapposizione quantistica può esplorare simultaneamente l'intero spazio combinatorio, trovando modelli "ago nel pagliaio" che le euristiche classiche avide potano.
• Benchmarking: Stabilisce una linea di base rigorosa e misurata per l'ottimizzazione combinatoria quantistica nella cybersecurity, andando oltre le proiezioni teoriche per arrivare a dati empirici sull'hardware.

Limitazioni:

• Rumore Hardware: I dispositivi quantistici intermedi su scala rumorosa (NISQ) attuali limitano la dimensione pratica del problema a circa 20-25 qubit per QUBO densi. Oltre questo limite, il rumore sopraffà il segnale.
• Tempo di Esecuzione: La pipeline end-to-end (inclusi i tempi di coda cloud e la trasposizione) richiede da minuti a ore, mentre la Ricerca a Fascio classica richiede millisecondi. Il vantaggio è attualmente nella copertura/completezza, non nella velocità.
• Età del Dataset: Lo studio si basa su NSL-KDD, un dataset un po' datato. Il lavoro futuro richiede validazione su dataset moderni e ad alta dimensionalità (es. CICIDS2017).

Conclusione:
Sebbene la pipeline non offra ancora un vantaggio computazionale in termini di velocità rispetto ai metodi classici, dimostra la fattibilità dell'uso dell'ottimizzazione quantistica per scoprire regole di sicurezza interpretabili e ad alta precisione che le euristiche classiche mancano. Il lavoro fornisce una roadmap critica per come il vantaggio quantistico nella cybersecurity potrebbe manifestarsi in futuro: non attraverso una classificazione più veloce, ma attraverso una scoperta superiore di firme di attacco complesse e multi-caratteristica.