摘要: 针对现有网络流量异常检测模型缺乏可解释性的问题,本研究提出了耦合演化采样和深度解码的可解释网络流量异常检测模型。首先,引入演化采样学习抽取代表特征样本,依此实现了强可解释性的样本编码过程;其次,构建了可解释的演化采样样本编码过程和不可解释的深度神经网络解码过程的耦合学习模型;最后,使用样本编码结果和重构误差进行异常检测。在NSL-KDD和CICIDS2017数据集上与现有方法的实验比较结果表明,该方法可显著提升模型可解释性和模型规模效率,并能取得与现有最优方法同等水平的检测性能。此外,上述新的学习策略,也可为可解释机器学习方法研究提供一种极具特色的技术方案参考。
- 关键词:
- 机器学习 /
- 无监督学习 /
- 流量异常检测 /
- 深度神经网络 /
- 可解释性 /
- 演化采样 /
- 深度编码 /
- 自编码器
互联网的广泛应用和飞速发展推动了社会快速发展,同时也带来一系列网络安全问题。网络流量作为网络信息传输和交互的载体,包含了大量网络行为相关信息[1]。其中,异常网络流量是指会影响网络正常运行的流量,主要有两类[2]:一是由网络结构不合理和网络使用不当造成的异常;二是由DDos或SQL注入等网络攻击造成的异常。若能及时发现并捕获异常网络流量,就能够更好地保障网络的安全运行。网络流量异常检测通过将各种异常检测方法用于网络流量数据分析,并在此基础上发现异常网络流量并产生报警。
传统网络流量异常检测包括基于分类[3]、统计[4