ADSAD: en unsupervised attention-based discrete sequence anomaly detection framework för nätverkssäkerhetsanalys

att upptäcka anomala diskreta sekvenser som nyttolaster och syscall-spår är en avgörande uppgift för nätverkssäkerhetsanalys för att upptäcka nya attacker. Dataegenskaperna som saknar etiketter, mycket långa sekvenser och oregelbundet variabla längder gör att generera korrekta representationer för sekvenserna för anomalidetektering ganska utmanande. Traditionella metoder som kombinerar grunda modeller med funktionsteknik kräver mycket tid och ansträngning från forskare. Och de fångar bara korta mönster för sekvenserna. Nyligen djupt lärande betalas mer och mer uppmärksamhet på grund av dess utmärkta prestanda på datarepresentation. Nuvarande verk antar helt enkelt återkommande neurala nätverksbaserade modeller till denna uppgift. De lär sig sekvensernas lokala mönster men kan inte se sekvenserna globalt. Dessutom gör den variabla längden de djupa modellerna som accepterar ingångar med fast storlek otillgängliga. Dessutom saknar de djupa modellerna vanligtvis tolkningsförmåga. Här föreslås en oövervakad djupinlärningsram som använder uppmärksamhetsmekanism som kallas ADSAD för att ta itu med dessa problem. ADSAD tar hänsyn till både dataegenskaperna och begränsningen av de djupa modellerna och genererar de globala representationerna för sekvenserna med två steg, där uppmärksamhetsmekanismen tillämpas för att förbättra tolkningsförmågan. De empiriska resultaten visade att ADSAD-instanserna avsevärt överträffade de toppmoderna djupa modellerna, med den relativa AUC-förbättringen på upp till 7%. Uppmärksamhetsmekanismen förbättrade inte bara detekteringsprestanda med upp till 73% i termer av AUC utan kunde också hjälpa experter för anomalianalys genom visualisering.

Lämna ett svar

Din e-postadress kommer inte publiceras.

More: