摘要:针对频发的网络安全事件,异常访问检测被广泛应用于恶意行为的识别.然而,异常访问通常仅在部分属性字段上体现出显著的异常特性,检测结果易被异常特性不显著的字段所干扰.针对这一问题,提出MNDetector,将多层网络结构引入异常访问检测领域,基于关联紧密的属性字段构建单层网络,并添加层间关联以形成多层网络.随后利用适应多层网络的跨层游走获得同层及跨层节点序列以计算节点表示.最终利用分层生成对抗网络融合各层重构损失与判别结果,实现异常检测.实验结果表明,MNDetector在多个公开数据集上的检测效果超过了最优方法,相较于常用方法实现了约8%的F1分数提升.进一步的案例研究通过分析异常特性在属性字段上的分布解释了不同场景的检测效果差异,并从网络结构的角度解释了各层检测结果差异,验证了MNDetector能够解决异常特性不显著的属性字段造成的属性干扰问题.
文章目录
1 相关工作
1.1多层网络的构建与学习
1.1.1 多层网络的构建
1.1.2 多层网络的学习
1.2 图学习
1.2.1 经典图学习方法
1.2.2 图深度学习方法
1.3 异常检测
1.3.1 基于统计的方法
1.3.2 基于聚类的方法
1.3.3 基于残差分析的方法
2 问题定义
2.1 图异常检测的属性干扰
2.2属性干扰的表现与影响
3 MNDetector的框架设计
3.1 基于关联的多层网络构建
3.1.1 频繁集构建
3.1.2 网络构建
3.2 基于跨层游走的多层网络节点表示
3.3 基于分层生成对抗网络的异常检测
3.4 复杂度分析
4 实验结果与分析
4.1 实验设置
4.1.1 数据集
4.1.2 基线方法
4.1.3 参数设置
4.1.4 评价指标
4.2 综合检测
4.2.1 KDD,NSL,TOR的检测结果
4.2.2 UNSW的检测结果
4.3 分层检测
4.3.1 数据集分层结果
4.3.2 分层检测结果
4.4 消融实验
5 结论
