提高网络入侵检测的准确性与因果机器学习

证明。在统计模型中,联合分布的计算公式 根据马尔科夫毯(<一个href="#B26">26,<一个href="#B43">43),在一个有向无环图,考虑到父节点<我>X,<我>X独立于nonchild其母的节点。因此,上述公式可以简化为 Pa (<我>x_我)代表的父节点<我>x_我。这个公式也代表了十亿年。如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig6/" target="_blank">6 (c),它可以简化如下: 根据截断因子分解, 被边缘化的<我>y_j: 因此,

规则2。如果<我>Y_我和<我>X是独立的,那么

规则3。如果<我>Y_我是独立于<我>Y_j和<我>X,因此, 因果效应(<一个href="#B49">49可以通过测量计算<我>E的<我>X和<我>Y:

定义2(噪声特性)。至于因果特性,如果E / N (N是训练数据集)的大小小于阈值<我>δ(<我>δ≤0.01),就没有因果关系(<一个href="#B50">50)之间的<我>X和<我>Y。因此,这些特性可以被视为噪声特性,他们应该被删除的数据集。

4.3.2。去除噪声特性

因果关系的干预措施进行所有功能,如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig7/" target="_blank">7。特征选择的过程中,只有那些特性有一个因果关系的标记攻击将被选中。如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig7/" target="_blank">7特性之间的相关性是隐藏的。

图7

干预过程。

如果没有因果关系{<我>Y₁,<我>Y₃、…<我>Y_n−1},<我>X和其他特性,方程(<一个href="#EEq15">15)可以转化为方程(<一个href="#EEq17">17)根据<一个href="#rulee3">3如下:

如果方程(<一个href="#EEq17">17)持有,那么案件的因果关系可以恢复基于事实的因果方向之间的网络攻击和异常特性,如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig8/" target="_blank">8。

图8

事实因果关系一个网络攻击和特性。

根据方程(<一个href="#EEq17">17),如果干预了<我>Y₁,<我>Y_3,…,<我>Y_n−<我>1,然后之间的因果效应的强度<我>Y₁,<我>Y₃、…<我>Y_n−1和<我>X_k是 在哪里<我>l是1,3,…<我>N−1 ;因此,网络攻击的BN和特性可以简化(图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig9/" target="_blank">9)。

图9

事实因果关系在多个网络攻击和特性。

作为显示在图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig9/" target="_blank">9、特点<我>y₁,<我>y₃,<我>y_n−1可以删除时,根据上述数据预处理方法,因果关系是简化为

4.3.3。特征选择的过程

基于上述方法,所有噪声特性令人满意的定义<一个href="#deff2">2将被删除。只有因果功能保留,所示的选择过程的算法<一个href="//www.newsama.com/journals/scn/2021/8986243/alg1/" target="_blank">1。

输入: ,并设置<我>P代表的特性集,其中包含<我>N特性 输出: ,和是一个因果特性集,其中包含吗特性 (1) / /代表最大的删除功能 (2) / /代表的特性集已被删除从我th功能设置<我>P (3) 为<我>我从<我>1来<我>N (4) 为<我>j从<我>我来<我>N+<我>张 (5) (6) 如果 (7) 删除功能 (8) / /数据存储在噪声特性集 (9) 如果 (10) 结束了 (11) 结束了 (12) 数= [];它代表一组噪声特性 (13) 为<我>我从<我>1来<我>N/ /。比较功能的设置<我>坎昆[我]并分配最多的组将噪声特性<我>数 (14) 如果 (15) 然后 (16) 如果 (17) 结束了 (18) 为<我>我从0到len (<我>数) (19) 删除所有噪声特性在坎昆[我]集合; (20) 结束了 (21) 输出因果特性集<我>C。

算法1

因果reasoning-based特征选择(crf)。

4.4。网络攻击分类

虽然因果关系简化特征选择后,如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig9/" target="_blank">9,仍然有一个多对多关系网络攻击和交通特性。反事实的检测算法的关键是如何选择最适当的标记攻击的因果关系来解释功能。根据因果推论,它可以假设的可能性的变化反事实的检测结果与某些先决条件的变化联系在一起;因此,它可以提供因果关系判断的基础根据因果关系的大小。例如,为了量化引起的异常特性的因果关系网络攻击NIDS,反事实的检测可用于推理。

如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig10/" target="_blank">10左边的是图,右边是反事实的图。所有变量的撇号反事实的条件等于没有撇号的事实条件变量。假设,在给定的条件下的证据<我>ε=e和干预,集<我>X0的值,可以计算的反事实的可能性<我>p(<我>ε=e”|ε=e,(<我>X=0))。因此,通过反事实的调查,一个正式的语言可以提供量化的概率反事实的异常特征<我>e”=1当它只是假定攻击<我>X=0。

图10

双网络反事实的检测。

定义3(预期的充分性<一个href="#B26">26])。预期的充足的网络攻击<我>X_一个是异常的数量特征,希望坚持如果干预给关掉所有其他可能的异常特性的原因: 在哪里<我>X_一个表示类型的网络攻击<我>一个,<我>Y₊显示异常特征在事实的情况下,巴勒斯坦权力机构(<我>Y₊)表示的父节点<我>Y₊代表所有的网络攻击可能导致异常特性<我>YPa (<我>Y₊)\<我>X_一个的父节点是吗<我>Y₊除了<我>X_一个,代表了异常特征在反事实的情况下,和<我>ε代表所有事实证据的特性。如果<我>E(<我>X_一个,<我>ε)是最大的设置<我>E(<我>X,<我>ε),网络攻击类型<我>X_一个将是一个因果解释给定证据<我>ε。

推论1。根据方程(<一个href="#EEq19">19)和单片机(<一个href="#B26">26,<一个href="#B51">51),预期的充足的网络攻击<我>X_一个是由 在哪里<我>Y_表示正常功能的集合所有事实证据的特性。它主要是非常复杂和繁琐的解决噪声和外生变量,而解决这些方程中的变量是不必要的(<一个href="#EEq20">20.)。与此同时,的价值<我>l可以根据之前的数据计算。因此,方程(<一个href="#EEq20">20.)通过反事实的推理极大地简化了网络攻击和交通特性之间的因果关系。

4.5。时间复杂度

确定的时间复杂度提出因果ML-based NIDS,应确定每个阶段中的每个算法的复杂性。不同算法在不同阶段的表现相比,总体时间复杂度是由算法,产生最高的整体复杂性。假设数据集组成的<我>米样品和<我>N特性。一般来说,<我>米≫<我>N。

从数据预处理阶段的复杂性<我>Z分数和Min-Max正常化<我>O(<我>N)。因为它是所有的样品需要规范化<我>N特性在数据集内,删除不正确的复杂性和模糊行集<我>O(<我>米)。因此,第一阶段的整体复杂性<我>O(<我>米)。

第二阶段的时间复杂度<我>O(<我>N²)。首先,这一阶段介入的所有特性,只有<我>N措施并与(<我>N−1)/ 2的特性。在第三阶段,然而,分类器的复杂性可以被估计为<我>O(<我>米_l∗<我>K)[<一个href="#B9">9),和随机森林的时间复杂度<我>O(<我>米_l∗<我>K∗D),<我>K(<我>K<<我>N)是特征选择后的尺寸,<我>米_l表示数量的样品后删除错误和模糊行集,和<我>D树的深度。第四阶段的时间复杂度<我>O(<我>T∗米_l∗<我>K),在那里<我>T(<我>T<米和<我>T<D)代表网络攻击的类型选择在第三阶段。

基于上述讨论,提出框架的整体复杂性<我>O(<我>米_l∗∗K D)。数据预处理和特征选择的时间复杂度<我>O(<我>米+<我>N²)。作为<我>米≫<我>N,数据预处理和特征选择的时间复杂度约等于<我>O(<我>米),这个时间复杂度远低于时间复杂度<我>O(<我>米∗<我>N²特征选择的),包括MOMBNF [<一个href="#B9">9]。发现整个时间复杂度是非常关键的,因为模型通常会接受再培训,学习新模式的网络攻击。

5。绩效评估

5.1。实验设置

CICIDS19数据集于2019年由加拿大网络安全研究所和它包含良性的和最新的常见的网络攻击,这是类似于现实世界的数据共有87特性(<一个href="#B47">47]。这个数据集包含11个类型的攻击:DRDOS_MSSQL DRDOS_SNMP, SYN, DRDOS_NTP, TFTP, UDP-LAG, DRDOS_NETBIOS, DRDOS_DNS, DRDOS_UDP DRDOS_LDAP, DRDOS_SSDP。如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab1/" target="_blank">1,它还包括网络流量特性的结果基于时间戳,源和目标ip,源和目标端口,协议和攻击令牌流。

功能名称 描述 流ID 流ID 年代的IP 源Ip 年代港 源端口号 D IP 目的地IP D端口 目的港 协议 表示数量的协议 时间戳 时间戳 流持续时间 在微秒时间流的 TFwd包 总包的前进方向 结核病的数据包 总包向后方向 TL的前轮驱动包 总包在前进方向的大小 TL Bwd包 向后方向总大小的包 Fwd PL马克斯 最大大小的数据包在向前的方向 Fwd PL敏 最小尺寸的包在前进方向

表1

CICIDS19数据集描述的特性。

原始网络数据包UNSW_NB15 [<一个href="#B52">52)是由澳大利亚网络安全中心,它是一组全面的网络攻击流量数据。与其他数据集相比,这两个数据集更适合对网络入侵检测系统的研究。UNSW_NB15数据集有九个类型的网络攻击,包括fuzz、分析,后门,DoS,利用,通用的,侦察、Shellcode和蠕虫。如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab2/" target="_blank">2使用,工具,如Argus UNSW-NB15生成共有49特性相似的标签。

功能名称 描述 流ID 流id Srcip 源Ip 体育运动 源端口号 Dstip 目的IP地址 Dsport 目的端口号 原型 表示数量的协议 大调的 记录总时间 Spkts 源到目标包数 Dpkts 目的地源包数 Sjit 源抖动(毫秒) Sintpkt 源interpacket到达时间(毫秒) Ct_ftp_cmd 不流动的ftp会话的命令 Tcprtt “synack”和“ackdat”之和的TCP Ltime 记录最后一次

表2

UNSW_NB15数据集描述的特性。

NSL-KDD [<一个href="#B53">53,<一个href="#B54">54)包含7大类的攻击,如ipsweep,海王星,nmap, portsweep,撒旦,蓝精灵,泪珠。NSL-KDD消除冗余记录在训练集分类器是无偏向更频繁的记录。训练集和测试集包含一个合理数量的情况下,这可以作为一个有效的基准数据集来帮助研究人员比较不同的入侵检测方法。如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab3/" target="_blank">3,有41 NSL-KDD维特性。

功能名称 描述 协议类型 类型的协议(TCP, UDP……) 源字节 不。B从来源到目的地 错误的片段 不。错误的片段 紧急的 不。紧急的数据包 出错率 % SYN错误的连接 失败的登录 不。不成功的尝试登录 登录 如果登录,1 /如果登录失败,0 同样的srv率 %的连接到相同的服务 数 不。连接到同一个主机作为当前连接在给定的时间间隔 Dst主机srv率 %的连接不同的主机在同一系统 #根 不。的根访问 #贝壳 不。活跃的命令解释器 Dst主机srv serror率 %连接到指定的主机和服务的S0错误

表3

NSL-KDD数据集描述的特性。

模糊逻辑系统(FLS) [<一个href="#B47">47)是用来评估质量的现实主义CICIDS19, UNSW-NB15, NSL-KDD数据集。FLS的基于Sugeno模糊模型(<一个href="#B55">55]调查现实主义IDS的数据集的质量。CICIDS19, UNSW-NB15, NSL-KDD数据集包含一组网络入侵攻击,反映现实世界的标准。生成过程充分考虑网络入侵攻击的特点和网络的动力学。

为了更有效地使用各种算法,使用python来实现我们的模型。总结了硬件和软件的规格表<一个href="//www.newsama.com/journals/scn/2021/8986243/tab4/" target="_blank">4。

硬件规格 软件规格说明 处理器:英特尔(R)的核心(TM) i5 - 8265 u的CPU 操作系统:Windows 10 记忆:8.00 GB 编程语言:Python 3.8 开发工具:PyCharm 2019 显卡:NVIDIA Geforce MX250 包:熊猫,numpy sklearn

表4

软件和硬件规格。

5.2。实验的结果

本节给出了三组实验来验证提出的因果ML-based NIDS的有效性。

5.2.1。在训练样本数据预处理的影响

有关数据预处理的影响在训练样本的大小,训练精度和交叉验证准确性的学习曲线的变化可以得到训练样本的大小。因为在数据集的数据量足够大,约10%的数据可以作为测试开始工作,所以挺分裂用于规范化。正常化后,使用90/10%分割标准,这两个数据集随机分为训练集和测试数据集。

(1)数据预处理的影响在训练样本的大小。在这项研究中,<我>Z分数,打<一个href="#B56">56- - - - - -<一个href="#B58">58),慢性疲劳综合症(<一个href="#B9">9,<一个href="#B59">59- - - - - -<一个href="#B61">61年),控(因果reasoning-based特征选择)被用于做比较。杀算法用于打样品几类数据处理后<我>Z分数和CFS选择特性数据处理后击杀。摘要控方法,因果reasoning-based特征选择在部分<一个href="#sec4.3">4所示。3数据处理后使用<我>Z分数。不同数据集的交叉验证曲线在不同类型的网络攻击数据处理后上述四种方法的数据所示<一个href="//www.newsama.com/journals/scn/2021/8986243/fig11/" target="_blank">11- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/fig12/" target="_blank">12。

(一)

(b)

(c)

(d)

(一)
(b)
(c)
(d)

图11

学习曲线比较精度和训练样本的数量所需的四种方法(单一的网络攻击)。(一)<我>Z分数。(b)击杀。慢性疲劳综合症(c)。(d)控。

(一)

(b)

(c)

(d)

(一)
(b)
(c)
(d)

图12

的准确性和训练样本的数量所需的四种方法(有多种类型的网络攻击)。(一)<我>Z分数。(b)击杀。慢性疲劳综合症(c)。(d)控。

图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig11/" target="_blank">11比较的准确性与训练样本的数量所需的四种方法(认为只有一种类型的网络攻击,所有的网络攻击被视为一种类型的网络攻击,和它的名字是“不正常”)。如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig11/" target="_blank">11收敛,训练精度和交叉验证准确性,所需训练样本的数量<我>Z分数,击杀16000多,CFS在10000;然而,crf所需训练样本的数量仅为5000年,显著低于<我>Z打分数,慢性疲劳综合症,它可以确保同样的训练精度。

的准确性和训练样本的数量所需的四种方法(认为这里有多种类型的网络攻击)比较(图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig12/" target="_blank">12)。如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig12/" target="_blank">12,为了收敛训练精度和交叉验证准确性,训练样本的数量所需的z分数和击杀接近10000。CFS所需训练样本的数量是在5000年,和训练样本的数量需要CRFS接近4000,下降了60%,60%,和20%相比<我>Z分别打分数,慢性疲劳综合症。同时,训练精度达到最高,显著提高了约10%,最高的训练精度通过击杀。

如图<一个href="//www.newsama.com/journals/scn/2021/8986243/fig11/" target="_blank">11和<一个href="//www.newsama.com/journals/scn/2021/8986243/fig12/" target="_blank">12类型的网络攻击的增加,所需训练样本的数量<我>Z打分数,CFS显著增加,而训练精度明显下降。至于控所需训练样本的数量,它基本上仍低于5000年样本和训练精度略有下降。这强调了利用控技术的积极影响,因为它可以极大地减少所需的训练样本的大小在不牺牲检测性能。

(2)数据预处理的影响所需的时间进行训练。为了进一步突出数据预处理阶段的影响,表<一个href="//www.newsama.com/journals/scn/2021/8986243/tab5/" target="_blank">5总结了不同的方法来构建所需的时间学习曲线在不同类型的网络攻击。例如,当有两种类型的网络攻击,近483年代z分数建立所需的学习曲线,这是减少到370年代后加工处理后被杀和154年代的慢性疲劳综合症。然而,所需的时间构造控的学习曲线处理后只有90年代,81.4%,75.7%,和41.6%低于z分数,击杀,分别和慢性疲劳综合症。

许多类型的网络攻击 算法 Z分数 击杀 慢性疲劳综合症 控 1 483年 370年 154年 90年 11 679年 671年 431年 314年

表5

所需的时间构建的学习曲线。

这表明crf不仅可以保证检测的准确性,也有效地减少所需的时间进行训练。证明中提到的部分<一个href="#sec4.5">4所示。5验证本文提出的特征选择算法比其它算法有较低的时间复杂度。控,吵闹的功能是删除的ML算法只需要符合因果特性。后续步骤的准确性可以保证,培训可以减少所需的时间复杂度。

5.2.2。的影响特征选择方法所需的特性

在这个实验中,三组控制实验,和功能和数据处理后的训练精度的击杀,CFS, Min-Max比较。控算法被用来进一步选择功能。击杀,CFS和Min-Max添加在表(做)<一个href="//www.newsama.com/journals/scn/2021/8986243/tab6/" target="_blank">6- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/tab17/" target="_blank">17表明crf方法可以应用到过程并选择数据处理后的数据通过这些方法。

攻击的数量 特征选择方法(所需的数量特性) 击杀 击杀(做) 慢性疲劳综合症 慢性疲劳综合症(做) Min-max Min-max(做) 1 70年 5 9 4 70年 4 3 70年 6 8 3 70年 5 7 70年 6 13 6 70年 5 11 70年 8 16 7 70年 14

表6

的数量特性选择不同的特征选择方法在CICIDS19数据集。

特征选择方法 精度在不同类型的网络攻击(1、3、7、11) 1 3 7 11 击杀 0.9995 0.9962 0.9109 0.8758 击杀(做) 0.9995 0.9894 0.9042 0.8716 百分比 1 0.9932 0.9926 0.9952

表7

比较击打和crf CICIDS19数据集之间的精度。

特征选择方法 精度在不同类型的网络攻击(1、3、7、11) 1 3 7 11 KNN-CFS 0.9985 0.9953 0.9735 0.8917 KNN-CFS(做) 0.9981 0.9953 0.9715 0.8895 百分比 0.9995 1 0.9979 0.9975

表8

比较慢性疲劳综合症之间的精度和crf CICIDS19数据集。

特征选择方法 精度在不同类型的网络攻击(1、3、7、11) 1 3 7 11 Min-max 0.9995 0.9953 0.8470 0.8420 Min-max(做) 0.9995 0.9891 0.8359 0.8302 百分比 1 0.9938 0.9869 0.9860

表9

比较min-max之间的精度和crf CICIDS19数据集。

许多类型的网络攻击 特征选择方法(所需数量的特性) 击杀 击杀(做) 慢性疲劳综合症 慢性疲劳综合症(做) Min-max Min-max(做) 1 40 7 6 6 40 19 9 40 7 11 5 40 20.

表10

的数量特征提取不同的特征选择方法在UNSW-NB15数据集。

特征选择方法 精度在不同类型的网络攻击(9) 1 9 击杀 0.9357 0.8147 击杀(做) 0.9337 0.7499 百分比 0.9979 0.9205

表11

比较击打和crf UNSW-NB15数据集之间的精度。

特征选择方法 精度在不同类型的网络攻击(9) 1 9 KNN-CFS 0.9213 0.7869 KNN-CFS(做) 0.9213 0.7326 百分比 1 0.931

表12

比较慢性疲劳综合症之间的精度和crf UNSW-NB15数据集。

特征选择方法 精度在不同类型的网络攻击(9) 1 9 Min-max 0.9435 0.8496 Min-max(做) 0.9455 0.8448 百分比 1.002 0.9944

表13

比较min-max之间的精度和crf UNSW-NB15数据集。

攻击的数量 特征选择方法(所需的数量特性) 击杀 击杀(做) 慢性疲劳综合症 慢性疲劳综合症(做) Min-max Min-max(做) 1 36 8 8 7 36 10 7 36 8 12 7 36 10

表14

的数量特征提取不同的特征选择方法在NSL-KDD数据集。

特征选择方法 精度在不同类型的网络攻击(7) 1 7 击杀 0.9951 0.9714 击杀(做) 0.9907 0.9701 百分比 0.9956 0.9987

表15

比较击打和crf NSL-KDD数据集之间的精度。

特征选择方法 精度在不同类型的网络攻击(7) 1 7 KNN-CFS 0.9835 0.9681 KNN-CFS(做) 0.9835 0.9624 百分比 1 0.9960

表16

比较慢性疲劳综合症之间的精度和crf NSL-KDD数据集。

特征选择方法 精度在不同类型的网络攻击(7) 1 7 Min-max 0.9971 0.9751 Min-max(做) 0.9979 0.9748 百分比 1.0008 0.9997

表17

比较min-max之间的精度和crf NSL-KDD数据集。

特征的数量不同的算法处理后的CICIDS19数据集在不同类型的网络攻击如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab6/" target="_blank">6。控算法处理后,训练所需特性的数量下降了超过50%的最大最小值和94%相比之前处理。此外,功能由控算法处理的数量明显低于CFS计算的算法。这可能与crf基于因果推理只选择网络特性与网络攻击有因果关系,它消除了伪相关的特性。CFS是基于高度相关的特征选择方法,可以大大减少的数量特征。然而,这种方法也选择一些因果与伪相关特性,导致更多的功能比控。

击杀和控之间的检测精度,CFS和crf之间和min-max与crf CICIDS19数据集,分别如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab7/" target="_blank">7- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/tab9/" target="_blank">9。如上述表格所示,尽管训练所需特性的数量明显下降后控数据处理的算法,其训练精度仍保持约99%的原始算法的准确性,和减少可能与大量的压缩功能相比几乎可以忽略不计。结果表明,控算法不仅可以有效地减少加工所需训练样本的数量也确保训练样本的准确性相对稳定的水平。这是因为控算法可以识别真正的网络攻击和特性之间的因果关系,而消除功能只是伪相关的特点,略影响精度。

的数量特征留在UNSW-NB15数据集数据处理后不同算法在不同类型的网络攻击如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab10/" target="_blank">10。特性的进一步处理后控算法,最小和最大数量的减少所需功能训练是> 50%和> 82.5%,前处理。当有几个类型的网络攻击,运用因果关系的影响到数据处理的CFS发现压缩功能显著降低。由于强烈的相关性和因果关系强,UNSW-NB15 CFS的数据处理后是一致的。然而,当有几种类型的网络攻击,减少也重要,高达54.5%,进一步处理后控算法。

击杀和控之间的检测精度,CFS和crf之间和min-max与crf UNSW-NB15数据集,分别如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab11/" target="_blank">11- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/tab13/" target="_blank">13。上述表中给出,当有几个类型的网络攻击,虽然培训所需特性的数量被控算法处理后明显减少,培训基本上保持不变和效果的准确性是显而易见的。

NSL-KDD数据集,进一步处理后控特性的算法,最大数量的减少所需功能训练是> 82.5%。如上述所示数据集,训练所需特性的数量明显减少了NSL-KDD控算法处理后的数据集。

总而言之,控算法可以有效地减少所需的训练样本的数量CICIDS19, UNSW-NB15, NSL-KDD数据集,也可以保证训练样本的准确性与可接受的相对稳定。尤其是在小数量的网络攻击的情况下,大大减少在时间和计算复杂性,训练精度基本不变。这是证明因果特性不仅可以完成NIDS的检测任务,还保证准确率的稳定性。选中的因果特性可能在未来预防治疗提供有针对性的帮助。

5.2.3。对检测性能的影响,不同类型的网络攻击

评估不同的分类器的性能和研究的影响不同的优化方法,它可以指的是评价指标的测试数据(ACC)的准确性。随机搜索(RS)和树形结构Parzen估计量(TPE)是两种最优参数调整方法精度最高的资讯和随机森林MOMBNF [<一个href="#B9">9]。CMLN因果ML-based NIDS。

不同分类器的性能CICIDS19、UNSW-NB15 NSL-KDD数据集在不同类型的网络攻击是比较表<一个href="//www.newsama.com/journals/scn/2021/8986243/tab18/" target="_blank">18- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/tab20/" target="_blank">20.。如表所示<一个href="//www.newsama.com/journals/scn/2021/8986243/tab18/" target="_blank">18CICIDS19数据集,以增加类型的网络攻击,检测精度MOMBNF显著下降。有11个类型的网络攻击时,所有的参数优化方法的检测精度MOMBNF低于90%,尤其是测试集的准确性低于30%,游戏内数据处理。然而,经过CMLN训练,测试的准确性将稳定在98.5%以上,这是最优RS-KNN-CFS高出9%的方法。从表可以看出<一个href="//www.newsama.com/journals/scn/2021/8986243/tab18/" target="_blank">18- - - - - -<一个href="//www.newsama.com/journals/scn/2021/8986243/tab20/" target="_blank">20.无论数据集的构成,CMLN测试集的准确性高于MOMBNF和br (<一个href="#B47">47),尤其是当有几种类型的网络攻击。CMLN的检出率高于MOMBNF。

算法 检测精度在不同类型的网络攻击(1、3、7、11) 1 3 7 11 RS-KNN-CFS 0.9985 0.9953 0.9735 0.8917 TPE-KNN-CFS 0.9954 0.9942 0.9687 0.8793 RS-KNN-IGBS 0.9938 0.4577 0.4157 0.2887 TPE-KNN-IGBS 0.9864 0.3633 0.3024 0.2697 RS-RF-CFS 0.9986 0.9948 0.9676 0.8951 TPE-RF-CFS 0.9987 0.9947 0.9529 0.8921 RS-RF-IGBS 0.9928 0.4561 0.4170 0.2963 TPE-RF-IGBS 0.9883 0.4534 0.4033 0.2965 BRS 0.9985 0.9461 0.7869 0.7732 CMLN 0.9995 0.9993 0.9856 0.9852

表18

不同分类器的性能CICIDS19数据集在不同类型的网络攻击。

算法 检测精度在不同类型的网络攻击(9) 1 9 RS-KNN-CFS 0.9283 0.7869 TPE-KNN-CFS 0.9168 0.7654 RS-KNN-IGBS 0.9501 0.7869 TPE-KNN-IGBS 0.9450 0.7073 RS-RF-CFS 0.9209 0.7806 TPE-RF-CFS 0.9274 0.7915 RS-RF-IGBS 0.9198 0.7253 TPE-RF-IGBS 0.9198 0.7367 BRS 0.8717 0.8082 CMLN 0.9926 0.9229

表19

不同分类器的性能UNSW-NB15数据集在不同类型的网络攻击。

算法 检测精度在不同类型的网络攻击(7) 1 7 RS-KNN-CFS 0.9886 0.9795 TPE-KNN-CFS 0.9850 0.9778 RS-KNN-IGBS 0.9911 0.9797 TPE-KNN-IGBS 0.9919 0.9812 RS-RF-CFS 0.9877 0.9671 TPE-RF-CFS 0.9837 0.9698 RS-RF-IGBS 0.9939 0.9821 TPE-RF-IGBS 0.9923 0.9810 BRS 0.9959 0.9538 CMLN 0.9983 0.9933

表20

不同分类器的性能NSL-KDD数据集在不同类型的网络攻击。

6。结论

尽管毫升旨在促进异常的检测,重要的是要首先了解检测是如何执行的,以及清晰地定义所需的输出我们的算法。当传统ML算法不能解耦相关性和因果关系,很难达到一个稳定的预测(<一个href="#B8">8]。因此,本文提出了一个新颖的因果ML-based NIDS。首先,通过建立网络攻击之间的因果关系和功能通过因果干预,吵闹的特性可以被删除,可以确定培训功能的最小大小。然后,毫升和反事实的检测算法被用来找出独特的标签。最后,CICIDS19 UNSW-NB15, NSL-KDD数据集被用来评估提出了检测方法的性能。

实验结果表明,该控方法提出了可以减少训练样本的大小和训练时间至少40%。同时,功能训练是大大减少所需的数量后控数据处理的算法,同时也确保训练的准确性与可接受的相对稳定。这是证明了删除噪声特性并不影响检测的准确性。结果表明,与其他优化技术相比,CMLN检测精度最高(有11个类型的网络攻击时,精度提高了近9%,最优RS-KNN-CFS方法)。这是证实了反事实的检测算法能有效地识别特性和网络攻击的类型之间的因果关系。

目前,新的网络安全威胁越来越严重,无法根据现有的分类方法分类。因此,如何有效地结合无监督学习和因果毫升新建NIDs检测新的网络安全威胁可能是一个新的方向进行调查。

数据可用性

使用的数据来支持本研究的发现可以从访问<一个href="https://www.unb.ca/cic/datasets/index.html" target="_blank">https://www.unb.ca/cic/datasets/index.html,<一个href="https://ieee-dataport.org/documents/unswnb15-dataset" target="_blank">https://ieee-dataport.org/documents/unswnb15-dataset,<一个href="https://www.unb.ca/cic/datasets/nsl.html" target="_blank">https://www.unb.ca/cic/datasets/nsl.html。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作是由中国自然科学基金会(不支持。61972412)和国家重点研发项目中国没有。2018 yfb0204301)。