hast-ids motivition

A. 入侵检测技术
IDS 可以分为基于签名或基于异常的检测。基于签名的检测，也称为误用检测，分析已知攻击以提取它们的区分特征和模式，称为签名。将这些签名与新流量进行比较以检测入侵。基于签名的检测的优点是对已知攻击的检测率高，FAR低，缺点是无法检测到任何未知的和新的（0-day）攻击。基于异常的检测，也称为基于行为的检测，主要采用基于机器学习的方法。在这种方法中，首先设计了一些网络流量特征；然后，使用监督或无监督学习方法基于这些特征构建模型。该模型可以识别正常和异常流量模式。它的优点是可以检测未知和新的攻击；因此，它引起了研究界和工业界越来越多的兴趣。

然而，在实际应用中，基于异常的入侵检测方法仍然存在一些问题。第一个问题是设计具有代表性的流量特征的难度。该方法的检测效果高度依赖于训练中使用的流量特征的设计。当应用不同的网络流量特征集时，检测效果通常会有很大差异。目前没有用于设计准确表征网络流量的功能集的标准指导原则。基于异常的入侵检测方法的第二个严重问题是其较高的FAR，这是其实际应用的主要障碍[3]。

表示学习方法[4]是解决这两个问题的有前途的方法。表征学习，也称为特征学习，是一种允许系统从原始数据中自动提取特征的技术。它最大的优点是替代了人工特征工程，可以直接从原始数据中学习到最好的特征。深度神经网络一直是表示学习最成功的技术，在计算机视觉和自然语言处理领域取得了显著成果。在网络入侵检测领域，最近出现了一些使用表征学习方法获得的研究成果。例如，马等人。 [5]应用深度神经网络使用 KDD99 数据集检测入侵行为。尼亚兹等人。 [6]使用深度置信网络研究了 NSL-KDD 数据集上的入侵检测方法。这些研究方法的共同点是他们的模型从手动设计的流量特征中学习特征。然而，在计算机视觉和自然语言处理领域的应用表明，深度神经网络的最大优势在于它们能够直接从原始数据中学习特征[7]。上述研究方法使用了基于人工设计特征的深度神经网络，没有充分利用深度神经网络。

文献表明，原始网络流量数据尚未用于学习特征。这一启示促使我们开发一种使用深度神经网络直接从原始网络流量数据中学习特征的过程，以获得更好的流量特征集并开发更有效的 IDS。此外，Eesa等人。 [8]证明通过使用更好的流量特征集可以提高检测率并降低FAR。我们还希望通过使用自动学习的流量特征集来减少 FAR。