基于自适应聚类的网络边缘恶意流量分类-论文笔记
综述:
在本文中,提出了一种基于自适应聚类的入侵检测(ACID),这是一种新的恶意流量分类方法,也是一种部署在网络边缘的有效候选方法。该模型由引入的多个核网络组成,最优地分离不同类别的样本。并证明了ACID始终能够达到100%的准确率和f- score,以及0%的误报率,因此显著优于最先进的聚类方法和nids。
ACID是第一个基于深度学习的NIDS,它利用自适应聚类来最小化误报率,它对各种恶意流量类型都很健壮,并且可以在商品网关上原型化,用于在网络边缘进行实时威胁检测。
Ⅰ背景:
物联网设备和云服务的应用持续快速增长,迫切需要强大、高效的防御机制来保护网络基础设施和用户的私有数据。传统的安全措施,如防火墙、反病毒和基于规则的网络入侵检测系统(nids),已无法跟上最近和复杂的攻击,这些攻击利用漏洞绕过这些措施设置的周界防御[4]。特别是,广泛部署的ids存在许多缺点。
Ⅱ设计:
为了解决这些问题,本文提出了一种不依赖于分类器的高效自适应聚类入侵检测系统ACID。该设计采用了一种原始的基于多核的神经网络,使我们的NIDS能够很好地泛化,而不受小组数据包或训练数据集的不平衡性质所引起的任何小变化的影响。
目的:
①快速适应复杂的数据结构和模式,通过发现网络流的低维嵌入,以最佳地分离不同类 型的样本
②可部署在计算能力有限的设备上。
Ⅲ算法实现:
通过一种聚类算法来实现这一点,该算法从网络工作流特征的线性和非线性组合中学习低维嵌入,这使得清晰地分离这些流成为可能。通过将聚类网络中学习到的聚类中心与从分组序列中提取的统计和语义特征相结合,并将得到的特征向量输入分类器,我们有效地提高了NIDS的检测性能,同时最小化了误报率。
我们引入了一种新的监督自适应聚类(AC)技术来学习可以用来扩展给定数据集的特征的聚类中心。该方法提高了分类模型对异常值的鲁棒性和泛化能力。
基于这个聚类方法,作者团队设计了一个NIDS,它从原始数据包中提取一系列特征,用学习过的聚类中心扩展这些特征,并将它们提供给选择的分类器,以实现高可靠性的二值和多标签分类。
Ⅳ系统架构
•特征提取器模块:将原始网络数据包转换为报头和统计特征的向量,以及(可选的)有效载荷的语义表示(即额外的特征向量)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
