基于对齐原型网络的小样本异常流量分类

异常流量分类是应对网络攻击,制定网络防御的前提.网络流量数据量大导致分析成本高,新型异常流量标记样本数量少导致分类难度大,小样本学习能有效应对这些问题.但目前小样本学习的方法仍然面对着复杂的模型或计算过程带来的效率低下、训练和测试样本分布偏差导致的监督崩溃问题.本文提出了一种基于对齐的原型网络,包含内部对齐和外部对齐模块.该方法首先基于原型网络在元学习框架下生成类别原型,其内部对齐模块通过支持集的预测损失来矫正原型在样本分布空间中的偏差,外部对齐模块通过对比原型和查询集中样本之间的相似性,将原型嵌入进查询集的分布空间,生成动态矫正后的类别原型,从而增强了原型在不同分布下的动态适应能力.基于对齐的原型网络在没有添加额外的参数和网络结构的情况下改进了模型的训练过程,保持快速检测的同时提升了分类性能.在CIC-FSIDS-2017和CSE-FS-IDS-2018数据集上的实验结果表明,本文方法的F1值为98%,相比于其他模型提高了3.37%~4.85%,运行时间降低了89.12%~93.14%.此外,该方法具有更强的鲁棒性,在更多的异常类别和更少的支持样本的情况下仍然能保持较好的性能.

网络威胁情报处理方法综述

网络威胁情报是对网络攻击者的动机、行为等进行收集处理和分析的威胁行为知识集合.威胁情报文本包含丰富的攻击行为特征、恶意软件描述以及对系统所造成的影响等信息,能够帮助实现对攻击行为的建模分析.对网络威胁情报处理和分析能够帮助组织更好地理解威胁,从而做出更快、更有效的安全决策,并在网络威胁的响应和防御过程中由被动转向主动.然而,由于情报文本中复杂的语义信息和行为逻辑关系,从中识别和提取出有价值的关键信息和可操作建议一直存在着很大挑战.随着人工智能的快速发展,关于网络威胁情报关键信息的自动化提取的研究取得了一定进展.然而,目前还缺乏针对具体分析内容的处理方法的系统性分析与整理.本文首先介绍了网络威胁情报的相关基本概念;然后对威胁情报所能提供的关键信息及其价值进行阐述;随后对近年网络威胁情报处理的研究工作进行梳理和总结;最后,总结了网络威胁情报处理领域面临的挑战,并展望了未来的研究方向.