使用LSTM语言模型进行系统调用序列的异常检测

最新推荐文章于 2024-08-15 09:55:33 发布
最新推荐文章于 2024-08-15 09:55:33 发布
阅读量694 收藏
点赞数
分类专栏: 论文学习 文章标签: 人工智能 深度学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42345025/article/details/109535037
版权

论文学习:LSTM-Based System-Call Language Modeling and Robust Ensemble Method for Designing Host-Based Intrusion Detection Systems.

将语言模型的概念引入系统调用序列的异常检测系统中。

引入:语言模型:用来计算一个句子的概率的模型,也就是判断一句话是否正常的概率

假设给定句子 S=w1,w2,w3,...,wk

则句子S出现的概率(S正常的概率)

统计语言模型中:采用极大似然估计来计算每个词出现的条件概率 , 其中 C()代表出现次数

但是这种统计模型的问题:1、难以统计出现次数、估算条件概率。2、可能出现   C(w1,w2,....,wi)= 0的情况,因为很多词对的组合未在语料库中出现过

因此引入了马尔可夫假设:随意一个词出现的概率只与它前面出现的有限的一个或者几个词有关

因此有了n元语言模型:假设当前词的出现概率只与它前面的N-1词有关

例如:2元语言模型

但是这样做仍有些缺点:1、词语间缺乏长期依赖;2、有些词语组合仍可能未在语料库中出现过;3、仅基于词频的统计,泛化能力差

因此有了神经网络语言模型:利用神经网络去建模当前词出现的概率 与 其前 n-1 个词之间的约束关系

神经网络模型的不足:仍缺乏长期依赖

因此可以采用RNN结构,RNN网络打破了上下文窗口的限制,使用隐藏层的状态概括历史全部语境信息,对比 神经网络语言模型 可以捕获更长的依赖

 

系统调用序列的入侵检测:现有方案的不足:大多数现有方法使用词频特征或窗口序列特征 , 这样的方法无法同时考虑系统调用间的特征(call-level)和序列整体特征(phrase-level)

该论文采用长短期记忆网络(LSTM)对系统调用序列进行建模,从而获得学习长期依赖的能力。

为什么采取多个language model呢?因为仅从正常数据判断异常数据很难;正常数据可能不会包含所有情况。所以很难为LSTM选择出一组超参数。

因此采取一种集成的方法:多个语言模型的参数略有不同,因此可以捕获略微不同的正常模式。

网络结构大致如下

论文采用了三种不同参数的语言模型:其隐含层分别为LSTM200 , LSTM400和LSTM400*2 ; 嵌入层的输出维度与LSTM层cell数目相同

ensemble方案:如何集成三种不同的语言模型

 

 

 

yjli98
关注
专栏目录
【数据挖掘】使用 LSTM 进行时间和序列预测
gongdiwudu的专栏
07-25 1万+
本文示例是一个典型的时间序列处理办法,可以当作经典来用。读者可以多花一些时间消化该案例;事实表明,用LSTM这种工具不仅可以处理NLP,而且可以针对任何的时间序列,比如股票预测。
lstm自动编码器以进行异常检测使用LSTM自动编码器检测异常并对稀有事件进行分类
02-21
LSTM异常检测自动编码器 使用LSTM自动编码器检测异常并对稀有事件进行分类。 如此多次,实际上是现实生活中的大多数数据,我们都有不平衡的数据。 数据是我们最感兴趣的事件,很少见,不像正常情况下那么频繁。 例如,在欺诈检测中。 大多数数据是正常情况,无论数据是否已标记,我们都希望检测异常或何时发生欺诈。 处理未标记的数据时,我们通常会使用“异常值检测”方法,例如,基于聚类的局部离群值因子(CBLOF) ,基于直方图的离群值检测(HBOS)等。而标记的数据被视为“分类”问题和分类器,如和。 但是,由于正数据点在数据中很少见,因此该算法发现很难从数据中学到很多东西。 例如,分类器通常最终会在所有情况下都预测为“负”,以实现最佳准确性。 在这里,我们将研究可用于有监督和无监督以及罕见事件分类问题的另一种方法。 长短期记忆自动编码器。
LSTM神经网络模型及其调用
udhdhejhdiej的博客
07-01 389
【代码】LSTM神经网络模型及其调用
LSTM异常检测项目指南
最新发布
gitblog_00101的博客
08-15 406
LSTM异常检测项目指南 lstm_anomaly_thesisAnomaly detection for temporal data using LSTMs项目地址:https://gitcode.com/gh_mirrors/ls/lstm_anomaly_thesis 欢迎来到LSTM异常检测项目的手册。本手册将帮助您理解该项目的基本架构、如何启动以及重要配置信息。 目录结构及介绍 在ls...
Pytorch深度学习实战(1)—— 使用LSTM 自动编码器进行时间序列异常检测
sikh_0529的博客
11-19 8670
请注意,我们使用的批量大小为 1(我们的模型一次只能看到 1 个序列)。我们将构建一个 LSTM 自动编码器,在一组正常的心跳上对其进行训练,并将看不见的示例分类为正常或异常。我们取得了非常好的结果。虽然我们的时间序列数据是单变量的(我们只有 1 个特征),但代码应该适用于多变量数据集(多个特征),几乎不需要修改。在本教程中,您学习了如何使用 PyTorch 创建 LSTM 自动编码器,并使用它来检测 ECG 数据中的心跳异常。我们需要将我们的示例转换为张量,以便我们可以使用它们来训练我们的自动编码器。
【源码】基于深度学习自动编码器的工业机械异常检测
weixin_42825609的博客
04-30 430
此预测性维护示例根据工业机器的正常操作数据训练深度学习自动编码器。该示例介绍了: This Predictive Maintenance example trains a deep learning autoencoder on normal operating data from an industrial machine. The example walks through: -利用诊断特征设计器app从工业振动时间序列数据中提取相关特征 -建立和训练一个基于LSTM的自动编码器来检测异常行为 -评估.
LSTM_Anomaly_Detector:尝试自动编码LSTM进行异常检测
05-05
基于LSTM异常检测 假设,应该可以对LSTM进行自动编码,以构建异常检测器。 这证明了这是可能的。 例子 结果表明,如果使用纯无监督的LSTM自动编码器进行训练,则可以检测到具有增加的放大噪声的简单正弦波。 呈现给网络的整个信号[滑动窗口]: 信号近似值(均值): LSTM检测器的MSE输出: 添加(并捕获)的噪声样本数:
毕设&课程作业_基于eBPF收集操作系统信息,并使用时间序列模型进行智能化的异常情况检测.zip
01-31
本项目主要围绕“基于eBPF(Extended Berkeley Packet Filter)收集操作系统信息,并使用时间序列模型进行智能化异常情况检测”这一主题展开,适用于计算机类的毕业设计或课程作业。eBPF是一种内核技术,它允许安全...
基于Simulink的时间序列预测(包括ARIMAX、LSTM、GRU和SSM模型),使用MATLABR2020a
06-04
# 在 Simulink上使用任意时间序列模型进行递归预测 包括ARIMAX、LSTM、GRU和SSM模型。 让我们在 Simulink 上运行时间序列预测!!​ ## 介绍 本页具体介绍如何针对以下需求实现时间序列模型。 - 在开发中的 ...
基于 LSTM 模型的古诗词自动生成算法实现及系统实现
04-14
本文将LSTM 应用在古诗自动生成技术上,并利用sparse_categorical_crossentropy损失函数和Adam(lr=0.002)优化算法对 LSTM模型进行优化,最后利用 flask 设计web界面进行操作和查看,可以根据提示词生成不同结构的...
使用 Python 的 LSTM 进行股市预测
gongdiwudu的专栏
04-08 3059
​在本教程中,您将了解如何使用称为长短期记忆的时间序列模型LSTM 模型非常强大,尤其是在设计上保留长期记忆,正如您稍后将看到的。您将在本教程中解决以下主题: 了解为什么您需要能够预测股价走势; 下载数据 - 您将使用从雅虎财经收集的股票市场数据; 分割训练测试数据并执行一些数据标准化; 回顾并应用一些可用于一步预测的平均技术; 激发并简要讨论LSTM 模型,因为它可以提前预测不止一步; 利用当前数据预测和可视化未来股市 ​
lstm自动编码器进行时间序列异常检测
热门推荐
weixin_26729841的博客
09-02 1万+
人工智能异常检测(Artificial Intelligence and Anomaly Detection) Anomaly provides evidence that actual results differ from predicted results based on ML models. We are talking about price prediction and how M...
异常检测LSTM用于异常检测:DeepLog与Machine Unlearning
chadlee
01-21 4326
动态异常检测 分析系统运行日志可以检测出系统异常,Min Du ICDM’16的文章SPELL提出一个日志解析工具;基于这个工作,她在CSS’17提出了DeepLog,也是现在非常经典的baseline,无监督的检测系统运行日志;她在CCS’19的工作在DeepLog的基础上引入了恶意样本的信息,改进准确率和误报率,并且将模型适用场景泛化到了信用卡交易记录等。 一、DeepLog 《DeepLog: Anomaly Detection and Diagnosis from System Logs thro
初探LSTM——异常事件检测
beingod0的摸爬滚打
04-27 7334
文章参考: Abnormal Event Detection in Videos using Spatiotemporal Autoencoder Learning Temporal Regularity in Video Sequences 数据集1&数据集2 本文主要内容 阅读相关论文的方法 部分的代码实现 第一篇 马来西亚拉曼大学的研究者发表的,主要内容为: 提出了一种基于时域的网...
Pytorch 的 LSTM 模型的简单示例
程序猿视角
05-28 6254
Pytorch 的 LSTM 模型的简单示例
003、torchserve 调用LSTM模型预测
weixin_45063703的博客
06-06 848
总体步骤介绍,执行整个流程,每个步骤可能会出现很多小问题自己的模型,是用LSTM 模型进行预测,前12个数据预测下一个数据,参考文章 https://blog.csdn.net/weixin_45492560/article/details/121316540 2、转为.mar 格式 在serve/model-archiver 下输入 3、docker 启动 在serve/model-archiver 下输入 -v 目录映射4、注册一个模型 注册后, curl http://127.0.0.1:80
laravel 分词搜索匹配度_自然语言处理入门之分词
weixin_39518530的博客
11-23 424
引言分词是自然语言处理中的基本操作,今天我们就来看一下常用的分词算法及实现。最大匹配算法所谓的最大匹配指的是匹配最长的单词,通常会指定一个最大长度。根据搜索顺序的不同,主要有前向最大匹配算法、后向最大匹配算法、双向匹配算法。前向最大匹配算法所有的分词算法都是基于词典的,假设我们要分词的句子为"我爱北京天安门",词典如下:word_dic = ['我','爱','北京天安门','北京','...
语言模型学习(01)传统统计语言模型以及初期的神经网络语言模型+Perplexity介绍
yeziyezi210的博客
03-03 1789
语言模型 什么是语言模型?         对于语言序列(w1,w2,…,wn),语言模型就是计算该序列的概率,即P(w1,w2,…,wn) 通俗的来说,就是随便由n个词组成的一句话s,可以通过语言模型来判断这句话是不是“人话”. 这句话“越像人话”,那么语言模型就会给该句子一个偏大的概率,“越不像人话”则语言模型就会...
怎么保存LSTM模型方便下次调用
05-30
要保存LSTM模型,你可以使用Python中的pickle模块将模型对象序列化保存到文件中。例如,可以使用以下代码保存LSTM模型: ```python import pickle # 假设 model 是你训练好的LSTM模型对象 with open('lstm_model.pkl', 'wb') as f: pickle.dump(model, f) ``` 这将把模型对象保存到名为 `lstm_model.pkl` 的文件中。下次需要使用模型时,只需要使用pickle模块反序列化即可: ```python import pickle # 加载模型 with open('lstm_model.pkl', 'rb') as f: model = pickle.load(f) # 对模型进行预测 result = model.predict(...) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值