ADSAD: een unsupervised attention-based discrete sequence anomaly detection framework for network security analysis

het detecteren van afwijkende discrete sequenties zoals payloads en syscall traces is een cruciale taak van netwerkbeveiligingsanalyse voor het ontdekken van nieuwe aanvallen. De gegevenskenmerken die het ontbreken van labels, zeer lange sequenties en onregelmatig variabele lengtes maken het genereren van de juiste representaties voor de sequenties voor anomalie detectie vrij uitdagend. Traditionele methoden combineren ondiepe modellen met functie engineering vereisen veel tijd en moeite van onderzoekers. En ze vangen alleen korte patronen op voor de sequenties. Onlangs wordt deep learning meer en meer aandacht besteed toe te schrijven aan zijn uitstekende prestaties op gegevensvertegenwoordiging. Huidige werken gewoon vast te stellen terugkerende neurale netwerk gebaseerde modellen om deze taak. Zij leren de lokale patronen van de opeenvolgingen maar kunnen de opeenvolgingen niet globaal bekijken. Bovendien maakt de variabele lengte de diepe modellen die vaste ingangen accepteren niet beschikbaar. Bovendien missen de diepe modellen meestal interpreteerbaarheid. Hier wordt een unsupervised deep learning framework gebruikend aandachtsmechanisme genoemd adsad voorgesteld om deze kwesties aan te pakken. ADSAD neemt zowel de gegevenskenmerken als de beperking van de diepe modellen in overweging en genereert de Globale representaties voor de opeenvolgingen door twee stappen, waarin het aandachtsmechanisme wordt toegepast om de interpreteerbaarheid te verbeteren. De empirische resultaten toonden aan dat de adsad-gevallen significant beter presteerden dan de state-of-the-art diepe modellen, met de relatieve AUC-verbetering van maximaal 7%. Het aandachtsmechanisme verbeterde niet alleen de detectieprestaties met maximaal 73% in termen van AUC, maar was ook in staat om experts te helpen bij anomalieanalyse door visualisatie.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

More: