文摘

随着互联网访问和连接,它变得重要和艰巨的,以保护网络和不同的设备物联网(物联网)的恶意攻击。入侵检测系统(ids)基于监督机器学习(ML)方法需要大量的标签样本。然而,异常行为的数量远远低于正常的行为,更不用说,恶意行为样本的照片可以作为训练数据集拦截实际上是有限的。因此,它是一个关键的研究课题进行少量的异常行为的异常检测样品。本文提出了一种异常检测模型与几个few-shot检测异常样本来解决这个问题基于卷积神经网络(CNN)和autoencoder (AE)。该模型主要由CNN-based监督pretraining模块和AE-based数据重建模块。只有少数异常样本利用pretrain模块建立提取深度的结构特性。数据重建模块简单选择的深层功能正常样本作为训练数据。也存在一些有效的注意机制pretraining模块。通过pretraining小样本,提高异常检测的准确性与仅仅训练与AE正常样本。 The simulation results prove that this solution can solve the above problems occurring in network behavior anomaly detection. In comparison to the original AE model and other clustering methods, the proposed model advances the detection results in a visible way.

1。介绍

网络应用在人们的生活中扮演不可或缺的角色与大量的设备连接到互联网;网络安全是吸引更多的关注。随着计算机网络技术的不断发展,网络威胁越来越复杂。根据统计预测,物联网将增加的设备从270亿年到750亿年到2025年,组成一个规模巨大的网络接入设备(1]。与此同时,网络攻击的数量将迅速上升,这也解释了为什么网络攻击检测被研究人员广泛的关注。有一些入侵检测系统尤其是在互联网上识别恶意行为,提高警报(2]。然而,检测过程往往是复杂网络环境在现实生产。目前,大多数方法,比如ML-based模型,总是需要大量的标记样本完成培训过程。然而,只有有限数量的恶意行为可以拦截训练数据。因此,few-shot检测是迫切需要的。更严重的是,一个新的攻击模式很难预测之前在它出现之前,这需要良好的敏感检测能力模型的未知类型的恶意的网络流量。关注这一问题,本文还采用大量的正常行为和异常行为的样本在pretraining样本,适用于实际few-shot学习场景。

主要有两种方法来恶意网络行为检测,传统的商业方法和ML-based的(3]。一般而言,他们都需要提取必要的信息或特征基于专业意识。深度数据包检测(DPI),出口,行为和统计方法,几种常用的传统方法(4,5]。这些方法依赖于强大的单一的服务特点,善于准确识别特定的威胁。然而,如果发生一些新的威胁,新业务功能和规则提取的需要,使传统的方法很难识别恶意行为规则和不稳定的特性。相比之下,毫升方法通常采取业务特性从不同的维度,因此提供了更好的泛化。

然而,从业务的角度来看,有一个限制,毫升的性能模型总是取决于特性工程结果手工分析的基础上,这使得我们的功能挖掘任务重。同时,培训数据也依赖于有关网络安全专业知识和攻击。因此,研究人员需要更多集中在工程工作特性,这意味着一个巨大的挑战异常检测的效率。除此之外,一些方法试图加密信息传输的过程中(6,7),这使得加密流量的特征提取更加困难。与传统的机器学习算法相比,深度学习(DL)模型在提取特征都有自己的优势。例如,CNN-based模型可以直接获得深工程特性没有手动功能,数据处理,显示一个更好的空间分布。这是CNN的一个原因是pretraining选择过程。与所有深度学习算法,模型还提出了消除了手动特征提取的过程。除了这个,模型将不再需要大量的异常样本进行监督学习。pretraining模型在检测过程中,只需要少量的异常样本实现好随后的无监督异常检测的性能。通过这样做,few-shot检测的问题也可以解决。

本文的贡献可以概括如下:(1)提出了一种基于CNN和AE网络恶意行为检测模型(DFAE),这不仅可以实现良好的检测结果在少量的训练样本异常但还提供一定指导意义对于真正的异常检测场景的数量远远大于正常样本的异常样本。(2)大幅提高了AE检测结果通过使用深的输出特性从CNN-based pretraining模型作为训练数据。(3)提高异常检测结果精度,召回,F1-score可用在三个数据集通过添加一个有效的注意机制到每个块CNN。

本文的其余部分安排如下。一些相关工作安排2。节3介绍的详细结构模型和方法的具体过程。也有一些关于该模型基本知识。部分4分析该模型产生的结果和一些比较实验。部分5总结了纸。

网络流量作为基本手段记录网络行为过程包含了几乎所有的完全访问的信息从源主机到目的主机(8),可以捕捉和收集数据包捕获(PCAP)文件(9在大多数实现)。这是因为数据保留和一般的完整性(10,11]。一般来说,从源数据中提取有效的信息和有效的业务功能是网络异常行为检测的第一步12]。同样,本文选择PCAP文件的三个不同的数据集和从文件中提取有效的信息下面的异常检测。

目前,有许多基于机器学习的网络流量异常检测方法。他们中的许多人关注业务特性和采用传统机器学习的方法。与此同时,一些研究人员倾向于使用神经网络来提取深特性检测没有任何人工的过程(5]。也有研究关注不同的异常检测结果输出不同的传统算法在数据集NSL-KDD [13,14]。Negandhi等人采用监督学习算法训练网络攻击检测模型基于随机森林。模型减少了输入特征的数量在一个有效的特征选择机制,不仅提高运行速度,而且实现精度高(15]。衬衣等人提出了一个ML-based多层框架的目的是促进安全的网络系统,其目的是在适用性对数据驱动的智能决策和保护网络系统和设备从网络攻击16]。阿特利提出了一个交通分类方法,识别正常交通和加密流量通过分析网络基于决策树(DT)和流动K最近的邻居(资讯)算法17]。工作由D 'hooge耶认为异常检测的结果和机器学习算法为基础不理想在不同的数据集18),它提供了一种研究动力增加与有限的数据模型的泛化。无一例外,这些花费很多时间在特征提取方法。这就是为什么基于神经网络的方法是广泛用于异常检测的任务。

研究由曾庆红等人提出了一个轻量级的框架没有人工干预和私人信息但是借助深度学习加密流量分类和入侵检测(19]。该模型在20.]Thapa等人研究了基于分类和回归树(CART)和CNN和表现良好在10倍交叉验证和独立的测试数据集CIC-IDS2017 [21]。与其他方法相比,该模型提出在NSL-KDD Javaid雇佣了一个自学的学习技术,因此,提高了精度和召回率(22]。陈等人提出了一个网络流量分类模型度量的基础上学习,获得了更好的性能在一些可用数据集通过添加添加剂角保证金损失嵌入在CNN (23]。交通基于文本卷积神经网络分类方法被歌et al .,预计的模型执行更好,因为添加一个新的损失函数(24]。朱等人提出了一个长期短期记忆——(LSTM)基于异常检测方法25]。杜等人提出了基于恶意负载检测和基于目标检测识别算法深入学习网络(26]。与此同时,强化学习(RL) [27,28)是广泛应用于资源调度应用于异常检测(29日]。这些方法基于深度学习做出很多贡献网络安全异常检测任务。然而,没有一个人提出一个好的解决方案问题中提到的部分1,包括缺乏异常的样本标记以及新的异常行为的识别。

领域的网络异常检测和其他类似的一些方法试图解决类失衡通过修改模型结构形成的ML算法。太少的问题标记样本的异常行为揭示了不平衡负样本和积极的。布达等人分析了不平衡问题在图像分类任务和调查一些解决方案30.]。至于瑞达和Erothi,他们对传统ML方法评估基准NSL_KDD类不平衡的数据集的影响(31日]。顾等人提出了一个semisupervised加权K——检测方法来解决问题,监督学习方法需要丰富的带安全标签的数据时32]。变分的基础上autoencoder (VAE)、徐等人得出的一个名叫甜甜圈的无监督异常检测算法,它非常先进的异常检测的结果(33]。此外,一些数据扩增方法提出在检测应用程序(使用来解决这个问题34,35]。本文根据理论数据扩充和无监督学习的想法,我们建议与监督pretraining网络流量异常检测模型,它使用一些异常样本。

3所示。模型和方法

3.1。异常检测框架

这个模型目标附加一个优越的网络流量异常检测结果数据的情况下一些恶意行为负样本。为了完成实验演示和解释,我们把整个过程分为三个部分。如图1有数据处理,监督pretraining autoencoder培训过程。除此之外,还有一些比较实验。相似性和K方法方法是后来解释说。在图中,一个比较方法,AE中提到的实验方法,第三部分是训练过程的输入是没有pretraining原始数据。另一个是整个deep-feature-based autoencoder没有任何注意机制。我们还利用原始数据的相似性度量之间的距离测试样本和良性样本中心确定测试是否异常。更重要的是,K——聚类模型是用作比较的方法以同样的方式。证明了该模型的有效性的比较结果与结果的四个方法。


图1
异常检测过程的框架。数据处理与十六进制数字矩阵转换原始数据。监督pretraining完成few-shot培训和提供深刻的特性,可用于autoencoder培训过程和数据重建过程可以完成。

网络行为记录为PCAP文件通常是通过网络流量的方法。PCAP文件包含了一系列的十六进制数字。一般来说,它不容易理解原始数字在短时间内。数字在刚性定位总是代表着特定的含义,从而需要的业务意义被一些分析软件。数据处理的目的是将从PCAP原始数据转换成矩阵。一定长度的数量将从PCAPs形状数据矩阵。这一步后,监督pretraining过程将训练分类器寻找特征空间的一个更大的样本不同类别之间的距离。然后,深pretraining特性输出模块将输入autoencoder仅供数据重建与良性的数据。数据重建模型聚合时,样品可以导入到模型来评估重建效果和检测异常样本。从图可以看出1异常样本的输出(图中红色的示例输出AE)通常比正常细胞更不同于输入(图中的蓝色的示例输出AE)。因为只有正常交通数据用于训练在这个过程中,模型的学习除了重建正常的交通能力,这意味着异常数据的重建过程不能完成。autoencoder训练过程中,重建率阈值将被设置,如90%,从0到100%。如果样品重建率不小于阈值,样品将被视为正常;否则,它将被视为异常。上面提到的这三个过程是紧随其后的是检测结果的实现。还值得注意的是,只有几个异常样本在第二pretraining过程实现的目标实现异常检测与少量的负样本。

3.2。模型结构的Deep-Feature-Based Autoencoder
3.2.1之上。CNN和AE的引入

本节将介绍美国有线电视新闻网(CNN)的基本结构,AE,提出的基本网络模型。CNN在很多应用中有杰出的表现,特别是在图像区域(36,37]。Autoencoder是一个无监督模式,广泛应用于数据降维特征提取和数据增加38]。数据23说明CNN和AE的简单结构。典型的CNN网络总是包含几个卷积层、汇聚层,和完全连接层。大致说来,一个回旋的层的主要功能是提取功能,它可以获得许多有效的无需任何人工干预。卷积层总是作为一开始整个网络的结构。卷积核的大小可以定义提取局部特征具有不同大小和不同的卷积核可以代表不同的功能。然后从卷积的结果输出层被一个非线性映射操作,这通常是通过激活等功能修正线性单元(ReLU),双曲正切,和乙状结肠功能(39,40]。汇聚层的主要目的是减少当前数据的维数,这实际上是抽样的过程。池层不仅保留了主要特征,而且大大降低了模型的计算。马克斯池和平均池两个主要操作在这一层。一个计算当地的最大单位和其他数据的平均特性映射。FC层决定哪一类是真正的结果。


图2
CNN的基本模型。

图3
AE基本模型。

AE是由两层组成,也就是说,一个编码器和译码器。AE是降维的无监督学习方法的类型和特征提取。编码器主要编码原始数据和输出的样本降维,而主要解码器解码编码矢量恢复原样品。这样的两个过程可以被视为一个数据重建进程。CNN、FC LSTM等等可行被选为AE的基础网络。

3.2.2。注意机制

本文的模型结合了CNN和AE在大多数试验已经达到一个好的结果。但是,它不显示数据集的一小部分表现突出,因此仍有改进的空间,有效的注意机制是添加到模型中。当注意力机制提出了DL模型,它借鉴人类注意力机制。观察整个情况后,人们倾向于关注一些更重要的领域,也就是模型需要掌握的技能和提高注意力机制下再进一步。摘要频道关注与卷积块结束(41]。我们尝试使用三个全球净初池方法,即马克斯池,池、平均和最大池平均分担。图4展开的操作过程的注意机制。


图4
在该模型通道结构的关注。注意机制平均池采用本文用实心矩形指示和其他关注机制与马克斯池或max和平均池不习惯用虚线矩形表示。

根据细节,一个回旋的块的输入可以被定义为 和输出 ,在哪里 , , , 的宽度和高度是输入和输出卷积的结果块。 表示输入和输出通道组块。我们使用 指学习的过滤内核,在哪里 的参数吗 - - - - - - 过滤器。因此,输出可以写成 ,在哪里

符号 表示卷积; 接下来,卷积块的输出 送入关注模块。首先,池操作转换 规模 作为 ,在哪里 通过计算

方程(2)和(3全球池)表示两个不同的方法:平均池和马克斯池。图4显示效果的评估在三种不同情况下的使用仅仅是马克斯池,使用仅仅是平均池,用平均池最大池在实验。池平均结果是最好的。因此,其他两种方法将不会详细讨论。后,数据将跨越两个完全连接层ReLU和乙状结肠。我们定义为 ,在哪里 是参数被定义为16。如果 是完全连接操作, 表示ReLU激活过程 表示乙状结肠激活过程; 可以计算为

最后,我们定义 随着channel-wise标量乘法 地图和输入功能 此外,注意模块的输出 ,可计算的吗

在这里,我们采用均方误差(MSE) 的损失函数,可以计算 在哪里 预测的概率 - - - - - -th类别, 表明预测结果 显示真实的结果。通过关注机制,功能地图频道的体重 可以被收购,这可以被视为一个self-attention函数对渠道的关系并不仅限于当地接受域卷积过滤器是响应。

3.2.3。Deep-Feature-Based Autoencoder

部分3.2。13.2。2详细描述了该模型的基本结构。我们可以将模型划分为四个处理模块。他们监督深特征提取模块(SDFE),无监督数据重建模块(USDR),渠道关注模块(CA),检测结果输出模块(卓特)。实际上,CA的一部分SDFE USDR卓特是决定的一部分。这个详细的过程描述在图的长度5


图5
模型结构的细节deep-feature-based autoencoder。

作为节4.2描述,将原始数据转换成一个矩阵与数据从0到255的宽度是28和高度为28。因此,输入可以写成 接下来,卷积数据将穿过第一层。输出通道设置为32和卷积内核尺寸是9。ReLU是激活函数。除此之外,第一个池内核大小是2。毕竟这些流程上面所提到的,我们有 每一层的计算过程可以概括如下: 在哪里 表示结果, 意味着一个卷积操作, 指与2-size池内核池操作,将输入通道的结果的关注,和相应的输出结果 与渠道关注体重部分中描述3.2。1

之后,有第二个卷积层ReLU第二池层,卷积核的大小是9,通道的大小是64,和池内核大小是2。上面提到的是什么可以描述如下: 在哪里 是第二个卷积块的输出。样品然后穿过注意层并获得结果 频道关注体重。最后, 进入一个完全连接层获得监督分类的结果。监督分类器训练收敛时,大量的良性的数据将被发送到监控模型和接收功能 重塑从 为每个样本。SDFE,平均交叉熵误差(ACE)是用于模型的损失 ,可计算的吗 在哪里 预测的概率 - - - - - -th类别, 预测结果表明, 传达真实的结果。

这种治疗, 将导入USDR。有一个编码器和解码器,如上所述3.2。1。此外,三个完全连接层设计的编码器和译码器。每个输出特性的大小是256年,64年,在编码器和20到64年,256年和1024年在激活功能的解码器后ReLU后的第一个5 FC和乙状结肠最后FC。最后重构特征向量可以表示为

在输出模块,该模型将评估重建过程的影响。在培训过程中,我们只使用温和的数据作为训练数据。当模型收敛,该模型将有一个良好的重建能力的良性的样本,这是紧随其后的是添加测试数据包括正常和异常的训练模式。在这个时候,会有一个显著区别正常样本和异常的。本文采用斯皮尔曼等级相关系数和皮尔逊相关系数描述重建输入之间的概率 USDR。一套合理的阈值也将确定样品是否正常或不正常。

4所示。实验过程和结果

4.1。数据描述

摘要PCAP文件模型得到的原始数据格式的输入值。PCAP文件可以转换成十六进制的数字。特定的十六进制数字或其组合在一个特定的位置代表一个特定的业务意义。一般来说,PCAP文件包含一定数量的流量包。PCAP文件的结构以及它的各种职位的意义见图6


图6
PCAP文件的结构。它总是由一个文件头,有些包报头,有些包数据。

有一个全球头PCAP文件。如图6所示,4字节魔法内容代表开始,讲述了识别这个文件中的字节序列。2字节主要内容意味着主要的文件版本号。2字节次要内容是小文件版本号。4字节ThisZone指当地标准时间。4字节SigFigs时间戳的准确性。4字节SnapLen代表最大存储长度。4字节的LinkType内容链接类型。数据包报头的长度是16字节,定义的4字节的高阶位置捕获时间戳,捕获时间戳的低阶4字节位置,4字节数据目前捕获的长度,和4字节的实际数据长度。因此,有一个数据包数据区域总是包括互联网协议(IP)信息和传输控制协议(TCP)信息,并将拼接的一定数量的流量包。

PCAP文件和许多交通包选为原始数据源。有三种不同的开源网络攻击数据集在整个实验中,也就是说,CIC-IDS2017, CIC-IDS2012和USTC-TFC2016,他们都可以通过开源的地址。详细,CIC-IDS2017包含超过220万块的良性流动数据和55万块的恶意行为流数据包含五个主要攻击:拒绝服务(DoS)攻击,网络攻击,渗透攻击,端口扫描攻击,蛮力(BF)。CIC-IDS2012包含大约150万块的良性流动数据和不超过50000块异常流数据与4类型:蛮力,渗透,超文本传输协议(HTTP) DoS,分布式拒绝服务(DDoS)。同时,USTC-TFC2016合并约300000件的良性和600000块类型的特洛伊木马攻击异常流量数据。至于这些异常类型,DoS攻击是导致拒绝服务攻击的目的是使计算机或网络无法提供正常的服务。网络攻击通常攻击网站或Web应用程序和使应用程序不能正常工作。渗透攻击是一个系统的和进步的全面攻击模式的攻击目标往往是明确的,但目的不是那么单一。端口扫描是搜索目标计算机黑客的常用方法,可以找出一些潜在入侵港口。蛮力攻击意味着黑客使用密码字典通过穷举方法猜测用户的密码,这是一种最广泛使用的攻击方法。 HTTP DoS and DDoS are two special DoS attacks.

4.2。数据处理

这是部分中描述4.1PCAP文件是实验的原始数据。但是神经网络模型不能识别这些数据类型。流量数据包需要被转换成向量具有相同的长度。从图可以看出7数据处理包括四个步骤的数据分割、数据清洗、数据传输和数据整理。一旦这个过程完成后,可以将数据发送到模型作为输入值。数据分割:PCAP文件记录网络行为信息生成一段时间,这意味着一个文件包含大量不同的访问连接。总的来说,人们把源IP地址、源端口、目的IP地址,目的港,和传输协议作为一个单一的访问行为,也称为5-tuple。因此,有必要把一个大型的PCAP文件分成很多小PCAP文件只包含一个5-tuple数据。这个小PCAP文件被命名为交通流。数据清理:几乎所有实际应用所产生的数据将不可避免地有冗余,所以网络流量。在这一步中,空流,重复流,挑出和删除和干扰的流动产生可用的数据。数据传输:DL模型不能分析PCAP文件,所以他们需要与十六进制数转换成文本文件的内容。这一步不会丢失任何信息,存储形式的转换。数据整理:这一步将决定十六进制数据的长度。通常情况下,长度取决于商业经验,数据包平均长度,平均长度流动,以及诸如此类的因素。在本文中,我们选择784字节的数据,重塑一个28×28矩阵。如果PCAP文件大于784字节,它将削减到784字节。或者如果是小于784,0×00将被增加到结束的流程。


图7
数据处理输出数据矩阵与形状n
4.3。结果和分析
4.3.1。检测结果的输出模型

在其他分类任务一样,我们收集四个评价指标来评估模型的影响,macro-f1, weighted-f1,回忆,和精密写成 , , , 和解释如下: 其中TP表示正确辨认出阳性样本的数量,TF代表正确辨认出负样本的数量,FP表示错误的数量确定积极的样品,和FN表示错误的数量确定负样本。 指的是数字数据和类别 是这一类的体重总数量的数据。

在实验中,模型结果验证部分中描述的三个数据集4.1。与此同时,我们设置了四组比较每个数据集上的实验。再进一步,训练集和测试集使用相同的数据,以确保有效性和参考价值的四个比较实验表所示1- - - - - -3

表1
实验数据集CIC-IDS2017的结果。
表2
实验数据集CIC-IDS2012的结果。
表3
实验数据集USTC-TFC2016的结果。

(1)相似度测量方法。该方法运用皮尔逊相关系数计算测试样本之间的距离和中心良性的样本数据训练集,只有良性的数据是用来发现训练样本的中心。在计算中,我们选择 样本随机向量和计算最近的中心为中心的样本。检测到异常行为的相似性之间的距离测试样本和正常数据中心通过培训获得的过程。这种方法试图使用最原始的数据分布来区分异常值。由于原始数据的复杂的分布,它可以预测,其精度不理想。

(2)k - means方法K方法应用无监督聚类则直接检测异常。无人监督的过程意味着很多带安全标签的数据在这一过程中不是必需的。K则是一个基于距离的算法选择每个类别的质心和比较测试样本每个质心之间的距离。样品最终将分为类别与最近的重心。假设我们有两个类别,正常和异常,有两个集群中心。根据最小距离原则从最初的中心点,所有观察分为类别,每个中心点的位置。然后观察点在每个类别的平均值计算为中心的下一个迭代,直到收敛。无监督的方法总是敏感数据。因为有很多冗余的信息流量数据,它将产生更大影响聚类过程。

(3)声发射方法。作为该模型的一部分,AE直接与原始数据的数据资源,重构的优点是,它不需要异常行为数据,仅仅利用正常交通数据。但效果往往决定由原分布的数据。

(4)与AE CNN。CNN AE也属于该模型在不增加注意力机制。部分3.2和图5具体地揭示这些治疗过程。只有2000恶意样本产生显著效果监督每个数据集的分类器,通过无监督的autoencoder可以达到一种完美的状态。超过80000个测试样本投入使用,包括30000份良性样本和其他异常。

1- - - - - -3目前的实验结果在三个数据集。每个方法采用两种类型的测试数据。一个只包含已知类别的样本训练的惊讶分类器和其他也体现了相当多的未知类别。它可以得出的结论是,在每个数据集有一个明显的改进模型。证明少量的pretraining恶意样本可以显著提高后续数据重建的过程。至于USTC-TFC2016 CIC-IDS2012,监督培训过程提高召回,精密,f1-score超过10%。改善CIC-IDS2017轻不如别人。同时,CIC-IDS2017注意力机制的影响更明显,改革结果超过10%,尤其是在测试样本与未知类别。从三个数据集的结果,我们可以看到,该方法是非常有效的。USTC-TFC2016等更好的分布式数据集,检测精度超过99%。 As for the dataset with general experimental results such as CIC-IDS2017, its accuracy also reached 95%. This also shows that the model has made a significant improvement on different distribution of data. The proposed method has strong generalization ability and provides the possibility for the application in the actual data.

4.3.2。其他一些讨论

除了增强整体效果,我们也观察了正常和异常样本的分类。图8体现的混淆矩阵DFAE在每个数据集的结果输出。针对每个类别的影响,正常流动的检测精度优于异常的。从混淆矩阵的角度来看结果,精度是正负样本之间相对平衡。在few-shot实现这个结果是特别有价值的学习任务。我们的实验出现的不平衡正常样本的数量远远大于不正常的。然而,该模型可以解决这个问题。研究结果表明,检出率执行有效地在两个类别。


图8
混淆矩阵的每个数据集上的实验结果。

为了更深入地调查的影响模型,分析原始数据的重建结果,没有深刻的特性。从图9的重建速度,我们可以看到不同的数据集。红色箭头的左边是原始数据的数据重建基于AE。右边的红色箭头是数据重建进程使用深特性基于CNN监督分类器的输出。它可以很容易地发现重建速度正确的图是明显比左边的。之间有一个明显的重建速度正常样本和正常样本的正确的图。图中每一行是一个数据集的结果。在每个数据集,1000个样本是随机拿起比较图的重建结果。绿色的矩形表示直接重建的速度使用原始样品和蓝色的表示deep-features-based结果的重建速度。我们可以看到一个明显的分界线绿色和蓝色的图右边的红色箭头。它可以安全地得出结论,该方法在小样本验证模型的可行性从理论和异常检测任务的效果。


图9
重建速度不同的数据集。左边的图像的红色箭头是重建的结果只使用AE和图像右边的红色箭头是数据重建的结果使用该方法。

5。结论

本文提出了一种异常检测模型与几个异常样本来解决这个问题基于CNN和AE few-shot检测。这是一个很常见的场景在网络异常行为检测的应用。在实际生产和应用,正常行为的数量远远大于异常行为。本文提出的模型可以解决这个问题,提高检测结果。如上所述,结果显示此模块下的改进检测召回,精密,f1-score三个数据集。更重要的是,实验证明,通过少量pretraining恶意样本的数据重建的任务将变得更容易,few-shot检测效果也可以明显地改善。足够的对比实验验证了该方法的有效性。关于网络流量检测,不容易检测到异常直接通过一个无人管理的模型,它可以很容易地从比较实验中反映出来。因此,有必要处理有限数量的异常行为样本的标签。few-shot恶意流量检测任务在实际应用中扮演着关键角色。

在可预见的未来,我们将继续提高few-shot恶意流量检测结果通过不同的方法和提高的可能性,将这个模型应用到实际的和实时的网络流量。至于实际的网络流量异常检测,总是很难找到一系列新的袭击发生时恶意行为。是不现实的集中培训和学习新的类别。但是few-shot检测是有意义的。大多数时候,我们关心的是正常数据和新类型的异常样本只有在设置间隔训练few-shot学习。这也是为什么这种方法更加可行的实际应用场景。与此同时,我们会利用较少的训练样本来实现更高的结果在不同的数据集和生产数据。探测效率也将成为未来的一个主要工作。

数据可用性

本文中使用的数据集是可用的https://www.unb.ca/cic/datasets/,他们也可以从相应的作者。

的利益冲突

作者宣称没有利益冲突。

确认

作者承认ICN&CAD学院电子工程实验室,北京邮电大学,实验环境。特别感谢将Lv Tianqi,肖Yabo,吴凌锐,风扇一汽成立Keiven,张宇的伟大的帮助这项工作。这项工作得到了国家自然科学基金(批准号62071056)。