T-DFNN: An Incremental Learning Algorithm for Intrusion Detection Systems

论文摘要

近年来，机器学习已成为构建可靠入侵检测系统(ids)的一种流行算法。然而，大多数模型是静态的，使用包含所有目标入侵的数据集进行训练。如果出现新的入侵，这些训练的模型必须使用新旧数据集重新训练，以准确分类所有的入侵。在现实世界中，新的威胁不断出现。因此，当这些新的入侵出现时，用于入侵防御的机器学习算法应该具有增量学习的能力。

为了解决这个问题，我们提出了T-DFNN。T-DFNN是一种能够在入侵出现时逐步学习新入侵的算法。T-DFNN模型是由多个深度前馈神经网络(DFNN)模型以树状结构连接而成。

我们使用CICIDS2017对我们提出的算法进行了检验，CICIDS2017是一个开放的、广泛使用的网络入侵数据集，涵盖了良性流量和最常见的网络入侵。实验结果表明，T-DFNN算法能够渐进地学习新的入侵，降低灾难性遗忘效应。T-DFNN模型在每个再训练过程中的f1评分宏观平均值均在0.85以上。

此外，与其他模型相比，我们提出的T-DFNN模型在几个方面有一定的优势。与使用仅包含最新目标入侵数据集训练的DFNN和Hoeffding树模型相比，我们提出的T-DFNN模型具有更高的f1得分。

此外，与使用包含所有目标入侵的数据集训练的DFNN模型相比，我们提出的T-DFNN模型的训练时间显著缩短。尽管有几个因素会影响训练过程的持续时间，但T-DFNN算法在解决不断变化的网络入侵变种问题上显示出了很好的结果。

论文解决的问题

创新点在于提出了一种动态模型，如果有新的攻击类型产生，该模型可以自动学习并产生较好的分类效果。

1.T-DFNN结构

注意点：两个判断

1.如果有训练好的模型就直接调用即可。保证了该模型对原来数据集中的攻击类型保留了分类能力。
2.如果有新的训练数据，就在原有的训练模型上进行增量训练。保证了该模型对新攻击类型的分类能力。

2.树的节点结构

节点中包含：一个DFNN模型、键值对集合{<对训练数据的分类结果，孩子节点(可为空)>，<>…}
节点类的定义：

说明：
包含2个属性：DFNN模型、键值对映射map
包含5个函数：

（1）该节点的构造函数
（2）DFNN模型的训练函数Train
（3）DFNN模型的分类函数Classify
（4）根据**键（分类得到的label）得到值（孩子节点）**的函数GetLinkedNode
（5）设置键值对的函数SetLinkedNode

3.训练过程

辅助函数：SelectTrainingData

训练集实例为X，标签为Y。YC为训练集X经过某个节点的DFNN模型分类后的得到的Label列表。L为YC中Label的某一个类型的值。

该函数的作用：从样本集（X,Y）中选出被DFNN模型分类后的标签为L的样本。（注意该样本可能有标签不为L的样本，因为该节点的DFNN模型可能并不能对X中的每一个实例准确无误的分类）
训练函数：INCREMENTALTRAINING

函数流程说明：（构造树的过程，返回根节点）

X：训练集实例、Y：训练集标签、N：树节点

（1）如果该节点为空，则创建一个节点，并训练样本集（X,Y），然后结束，返回N。

（2）如果不为空，则先对X进行一个分类，得到YC作为分类结果
（3）对于YC中的每一个类型L：从（X,Y）中选择被分类为L的样本，组成样本集合（XL,YL）。对于该样本集中标签不是L的样本，调用GetLinkedNode函数得到与L匹配的孩子节点LinkedN。

1）如果LinkedN不为空，则开始递归（重复（2）（3））；
2）如果LinkedN为空（表示没有与L匹配的孩子节点），则开始递归，创建一个新的孩子节点（重复（1）），并用SetLinkedNode建立与父节点的链接。

（4）结束，返回N

4.分类过程

辅助函数：SelectData、UpdateLabel

SelectData函数作用：挑选出X中被DFNN分类为L的样本集合，并用YI作为索引集合。

UpdateLabel函数作用：根据索引来更新上一次被判断为L的样本集合的Label
分类函数Classification

函数流程说明：首先对测试集X进行分类（用根节点的DFNN），得到YC作为分类好的结果。对于YC中的每一个类型L，得到它对应的孩子节点LinkedN。

1）如果LinkedN为空，表示不需要在深层分类了，遍历一下一个L。
2）如果LinkedN不为空，表示需要深层分类，那么就要调用SelectData把X中被判断为L的样本挑选出来，并做好索引标记，记为YI，便于之后按照索引来更新这些样本的Label。然后对挑选出来的样本再进一步分类（用根节点的标签L对应的孩子节点的DFNN）。递归操作。

总结

创新点：提出了一种增量模型

研究型论文_T-DFNN：一种用于入侵检测系统的增量学习算法（英文论文）相关推荐

【论文阅读】一种用于消歧和语义表示的统一模型 A Unified Model for Word Sence Representation and Disambiguation
[论文阅读]一种用于消歧和语义表示的统一模型 A Unified Model for Word Sence Representation and Disambiguation 问题解决方案模型搭建 ...
论文浅尝 | 一种用于多关系问答的可解释推理网络
论文笔记整理:谭亦鸣,东南大学博士生,研究方向为跨语言知识图谱问答. 来源:COLING 2018 链接:https://www.aclweb.org/anthology/C18-1171 问题背景与 ...
论文浅尝 | 一种用于新闻推荐的深度知识感知网络
Citation: Wang H, Zhang F, Xie X, et al. DKN: Deep Knowledge-Aware Networkfor News Recommendation[J] ...
深度搜索(DFS)，一种用于遍历和搜索的算法
先上百度对深度搜索的定义: 如果上边的定义没有理解,那么可以这样认为:深度搜索就是一种试探性的算法,例如你在一个十字路口想要去到某地,但是你又不认识具体的路(并且你不善言辞,万事不求人),那么你只能先 ...
研究型论文_基于特征值分布和人工智能的网络入侵检测系统的研究与实现
文章目录基于特征值分布和人工智能的网络入侵检测系统的研究与实现论文摘要论文解决的问题 1.系统框架 2.数据集样例处理流程 3.DSM中定义的一些评分机制 4.训练过程模拟(重点来了) 总结基 ...
论文笔记：一种适用于NILM的暂态事件检测算法(滑动窗双边CUSUM)
目录 1. 前言 2. 双边CUSUM算法原理 3. 引入滑动窗 4. 算法参数 5. 算法流程 6. Next Action 1. 前言本文是对以下论文的阅读笔记,附有一定的解读和思考. 牛卢璐, ...
计算机英语新词的认知语义阐释论文,计算机英文专业论文题目计算机英文论文题目怎样定...
[100道]关于计算机英文专业论文题目汇总,作为大学生的毕业生应该明白了计算机英文论文题目怎样定,选一个好的题目后续的计算机英文论文写作起来会更轻松! 一.比较好写的计算机英文论文题目: 1.关于高等 ...
嵌入式论文3000字_SCI英文论文一般多少字
SCI英文论文一般多少字?关于SCI英文论文字数并没有明确的标准,导致所发表的SCI英文论文,字数从几千到几万之间不等.作者应该根据具体SCI期刊的要求,调整英文论文字数,以免影响到发表. SCI英文 ...
综述论文要写英文摘要吗_英文论文的写作讲解写好英文论文要注意这三点
英文论文该如何修改呢 Foreign paper writing English paper how to modify it 英文论文完成后该如何修改很多留学生在写完英文论文后就什么都不管了,其实 ...

研究型论文_T-DFNN：一种用于入侵检测系统的增量学习算法（英文论文）

文章目录