CSE-IDS: Using cost-sensitive deep learning and ensemble algorithms to handle class imbalance in network-based intrusion detection systems

论文摘要

最近，基于网络的入侵检测系统 (NIDS) 在检测计算机网络中的入侵方面变得非常流行。 现有的 NIDS 可以轻松识别网络中经常出现的那些入侵（多数攻击），但它们无法准确识别新的和不常见的入侵（少数攻击）。 此外，此类系统仅专注于最大化整体攻击检测率，而忽略了误报的数量。 为了解决这些问题，本文提出了 CSE-IDS，一种基于成本敏感深度学习和集成算法的三层 NIDS。

1. 提议的 CSE-IDS 的第 1 层使用成本敏感的深度神经网络将正常流量与可疑网络流量分开。
2. 然后将这些可疑样本发送到第 2 层，该层使用XGBoost算法将它们分为正常类、不同的多数攻击类和代表所有少数攻击类的单个类。
3. 最后，在第 3 层使用随机森林将第 2 层识别的少数攻击分类到它们各自的类别中。

在 NSL-KDD、CIDDS-001 和 CICIDS2017 数据集上评估了所提出的 CSE-IDS 的性能，包括准确度、召回率、精度、F1 分数、ROC 曲线、AUC 值和计算时间。 通过对网络中存在的多数攻击和少数攻击实现高攻击检测率，所提出的系统优于其对应系统。 此外，它通过正确地将正常流量与攻击流量分开来最大限度地减少误报的数量。 获得的结果证实，所提出的 CSE-IDS 可以部署在现实世界中，用于执行基于网络的入侵检测。

论文解决的问题

1. 使用成本敏感的方法，既解决了仅专注于最大化整体攻击检测率，而忽略了误报的数量的问题，又在一定程度上缓和了数据集不平衡的问题（此外还使用了重采样来缓解数据不平衡）。
2. 采用集成学习和重采样技术使得可以更加准确识别新的和不常见的入侵（少数攻击）。

1.系统结构

1. 预处理训练集，得到D

2. 将D按不同的贴标签方式做成新的训练集D1，D2，D3。

   D1将所有的正常类样本标签置为0，其余样本（所有异常类样本）都置为1；

   D2将正常类样本置为0，将异常类样本中比例较高的样本分别置为1，2…，m，将其余样本（异常类样本中比例较低的样本）置为m+1；

   D3只挑选D中的少数类样本，并进行重采样，然后按类别贴标签即可（1，2，…，n）。

3. CSE-IDS 的第 1 层：成本敏感的深度神经网络，使用D1进行训练，用于区分正常和异常样本。

   CSE-IDS 的第 2 层：XGBoost集成学习，使用D2进行训练，用于区分正常、多数异常类、少数异常类样本，细分多数异常类的攻击类型，粗分少数异常类的攻击类型。

   CSE-IDS 的第 3 层：随机森林，使用D3进行训练，用于细分少数异常类的攻击类型。

4. 将测试集传入CSE-IDS：第一层区分正常和异常，然后将异常样本传入第二层，区分第一层得到的异常样本中存在的正常样本、多数异常类、少数异常类，然后再将少数异常类样本传入第三层中，细分少数异常类的攻击类型。

2.第一层：成本敏感的深度神经网络

因为在入侵检测时，把异常样本判别为正常样本要比把正常样本判别为异常样本的威胁性更大。所以文中的核心内容就是给异常类样本比较大的权重，给正常类样本比较小的权重。这样一来，如果该分类器把异常样本判别为正常样本的误差成本就比较大，所以分类器就会侧重于减小这部分的误差成本（偏好），这也是这层分类器的名字来由。

文中从反向传播的角度给出了为什么分配权重会使得分类器有所偏好。

3.第二层：XGBoost

参数：

4.第三层：随机森林

参数：

总结

1. 给出了一种给样本分配权重使得误报率下降和数据平衡性更强的方法。
2. 神经网络和集成学习的结合。

研究型论文_CSE-IDS：使用成本敏感的深度学习和集成算法来处理基于网络的入侵检测系统中的类不平衡（英文论文）相关推荐

1. 研究型论文_CICIDS2017 数据集中基于异常的入侵检测系统的机器学习基准测试（英文论文）

   文章目录 Benchmarking of Machine Learning for Anomaly Based Intrusion Detection Systems in the CICIDS201 ...

2. 粗糙集在计算机网络中的应用,粗糙集理论在入侵检测系统中的应用研究软件工程专业论文.docx...

   粗糙集理论在入侵检测系统中的应用研究软件工程专业论文 I I 摘要 摘要 随着计算机网络技术的发展,新的攻击手段可能使网络流量呈现出全新的特 征.传统的 IDS 存在着大量的问题:对未知的网络攻击检测 ...

3. 基于Snort的入侵检测系统_相关论文

   摘 要 随着网络技术的发展,中小型企业已建设了属于自己的信息化业务平台与系统.中小型企业只有实现信息互通,资源共享,才能够在当今的竞争中生存下去,但信息的互通会面临一些安全问题,对此需要对其采取一些措 ...

4. [论文速读] 图像增强系列：2020 TIP 最新去雾算法（摘要、网络结构图及论文链接）

   [论文速读] 图像增强系列:2020 TIP 最新去雾算法(摘要.网络结构图及论文链接) 本博客先介绍 2020 TIP 最新去雾算法的摘要.网络结构图及论文链接,后续将陆续补充较为详细的内容. 目录 ...

5. 论文解读：《开发和验证深度学习系统对黄斑裂孔的病因进行分类并预测解剖结果》

   论文解读:<Development and validation of a deep learning system to classify aetiology and predict anat ...

6. 基于深度学习的图像处理算法论文学习

   近年来,深度学习技术得到了巨大的发展,并广泛应用于图像处理领域.相对于许多传统算法,深度学习技术从海量的训练数据中学习到的先验知识具有更强的泛化能力和更复杂的参数化表达,且无需调节算法参数以适应不同的 ...

7. 五年12篇顶会论文综述！一文读懂深度学习文本分类方法

   作者 | 何从庆 来源 | AI算法之心(ID:AIHeartForYou) 最近有很多小伙伴想了解深度学习在文本分类的发展,因此,笔者整理最近几年比较经典的深度文本分类方法,希望帮助小伙伴们了解深度 ...

8. 论文整理集合 -- 吴恩达老师深度学习课程

   吴恩达老师深度学习课程中所提到的论文整理集合!这些论文是深度学习的基本知识,阅读这些论文将更深入理解深度学习. 这些论文基本都可以免费下载到,如果无法免费下载,请留言!可以到coursera中看该视频 ...

9. 【论文解读】Yoshua Bengio最新修改版论文：迈向生物学上可信的深度学习

   此篇论文 Yoshua Bengio 最早发表于 2015 年 2 月,于昨日公开第三次修改版本,读者可点击「阅读原文」进行下载. 论文链接 https://arxiv.org/abs/1502.04 ...

最新文章

1. Oracle关于java.sql.SQLException常见错误集锦
2. 视觉检测无脊椎机器人或vipir_机器人视觉引导系统原理及解决方案
3. win10删除开机密码_win10系统，电脑密码和微软密码都忘记了，怎么办？ Day22
4. 输出三角形字符阵列 (15 分)
5. python cookie池_Python爬虫scrapy框架Cookie池(微博Cookie池)的使用
6. python爬虫网页数据案例_python+vue实现网站爬虫数据分析案例
7. [模板] tarjan/联通分量/dfs树
8. persevere的用法_persevere的用法是什么
9. Javascript url 小逻辑
10. cmake 常见问题及解决
11. HDU 1010 -Tempter of the Bone（深度搜索）
12. The Bits（找规律）
13. android源码编译完成之后
14. matlab高斯型积分,电子科大MATLAB第14节高斯型积分程序.ppt
15. Spring中的ref和depends-on区别
16. VMware Workstation15.5下载安装教程（win10）
17. 【转贴】【管理】生存奥秘诙谐解说
18. Apriori算法的介绍
19. 数据结构：平衡二叉树（AVL树）、树的高度
20. 基于Java实现五子棋程序

热门文章

1. [filelock] DEBUG: Attempting to acquire lock 1953841203184 on D:\D
2. 【BZOJ1143】祭祀（网络流）
3. AD2020新建工程模板
4. LeetCode题解(1834)：单线程CPU(Python)
5. 从玉农业谋定产业化-农业大健康·林裕豪：国家重点龙头企业
6. vu16和u16的区别 volatile关键字的用法简介
7. Failed to prepare device for development
8. 京东热key探测框架本地压测数据记录，单机（8核）QPS约16万/s，可水平扩展
9. Sentinel-2 L2A数据导入ENVI
10. GD32读取GT30L32S4W字模芯片输出数据出错的总结