基于逆向Potts模型的流式网络入侵检测新方法

基于逆向Potts模型的流式网络入侵检测新方法

网络威胁行为检测目前的研究现状，有那些最新的研究成果。

网络攻击数量增长（列数据）——危害——必要性

• NIDS：管理和识别网络中潜在威胁的工具

网络入侵检测系统

基于数据包的方法

执行深度包检查，同时考虑单个包的有效负载和报头信息

深层数据包检查成本高

基于流的方法

对流（即数据包集合）的属性进行分析，例如持续时间、数据包数量、字节数和源/目标端口[3]

---

[6]：基于浅层和深层学习的不同流分类器被提出，最好的基于流的分类器达到99%左右的准确率。虽然非常准确，但基于经典机器学习（ML）的分类器需要标记恶意流量样本来执行训练。真正标记流量比较困难。

[8] [9] [10]：基于ML的分类器经过特定数据分布的训练后，在应用于分布稍有不同的其他数据时，通常不能很好地工作，它们的域适应能力较低

[11] [12]：众所周知的黑盒机制，难以理解和详细调整

• 它仅基于良性示例生成可理解的模型（白盒），并适用于不同的领域。

---

基于能量的流类分类器（EFC），灵感来源于逆potts模型

• 只要它能够学习良性流的属性，它就会区分良性流和恶意流
• 白盒算法，生成了一个统计模型，可以对单个参数值进行详细分析

---

挑战

• 难以获得足够的标记数据——基于良性流量样本（即一半信息）推断模型的能力。
• 模型的不可解释性——白盒
• 难以适应不同的领域

---

评价及数据集介绍

[16]、[17]、[18]：评估不同基于ML的分类器在互联网流量数据集上的性能，F1评价

16：基于深度学习的方法能够更好地区分恶意攻击和良性流量

17：在没有特征选择的情况下，表现出最佳性能的分类器是决策树；有特征选择的情况下，KNN

18：Random Forest（RF）的性能超过了所有其他分类器。

[19]、[20]、[21]：用在最近的网络入侵检测中，F1评价

[22]、[23]、[24]：使用相同数据集CIDDS-001

[22]：KNN和k-means聚类算法的性能。两种算法都达到99%以上的准确率

[23]：CIDDS-001进行慢速端口扫描检测。他们提出的方法能够以较低的误报率准确识别攻击

[24]：CIDDS-001上的流量进行了分类，并提出了一种考虑不平衡网络流量的稳健方法

[25]、[26]：CICIDS17

[25]：使用CICIDS17评估了基于Adaboost的分类器的性能

[26]：在2018年对不同的ML分类器进行了同样的处理

[27]、[28]、[29]：CICDDoS19

[27]：一种实时基于熵的NIDS,用于检测物联网（IoT）中的体积DDoS，并对CICDDoS19数据集和其他数据集进行测试。

[28]：使用卷积神经网络（CNN）在CICDDoS19数据集上获得了超过99%的准确度

[29]：一种基于模糊逻辑的入侵检测系统

问题

[6]：对基于流的网络入侵检测进行了全面的文献调查。提到了使用基于ML的分类器进行流量分类的一些缺点。

• 训练分类器的计算成本高

• 难以获得具有代表性的数据

• 观察到的高假阳性率。

[7]：难以获得足够的标记数据

• 大多数算法对可用于培训的标记样本数量的紧密依赖性，可能比较难获得大量数据。

• 很难获取恶意流量样本并在现实世界中对其进行标记，很难训练入侵检测算法

可能检测零日攻击的唯一方法是依赖基于异常的分类器

[8] [9] [10]：难以适应不同的领域

• 当在不同领域（数据分布）进行测试时，推断模型失去了预测性能

[11] [12]：一些模型的不可解释性

• 不同的环境应需要透明的决策