随着网络攻击的频繁发生,人们不得不更加关注网络安全并实施有效的工具来确保它。入侵检测系统(IntrusionDetectionSystem,简称IDS)是检测和分析网络中入侵行为的一种基本且尤为重要的工具。然而,在正常的网络环境中,入侵检测系统往往会产生大量的警报。这些警报需要安全专家确认并做出处置决定。虚假警报会延误关键警报的处理,从而威胁到组织或个人的信息安全。为此,入侵检测领域的研究更多地集中在如何通过提升检测模型的能力来减少误报。显卡等硬件的技术突破为算法运行提供了良好的平台支持。深度神经网络以其强大的功能成为各个领域流行的识别和分类工具,入侵检测领域也不例外。近年来,由于深度学习模型出色的学习能力,许多基于深度学习模型的入侵检测系统得到了广泛的应用并取得了良好的性能。尽管这些模型具有很高的检测精度,但它们只能检测训练数据集中已知的攻击类别。然而,攻击者为了获得更高的攻击成功率,使得网络攻击不断演进更新,新的攻击类别不断出现在网络中。上述模型的训练设置明显限制了这些方法在实际应用中的使用。一个实用的IDS应该能够尽快适应新的任务,即快速学习新的攻击特征。这种情况可以归类为类增量学习,即:i)学习者应该能够从不断增加的新类数据中学习;ii)由于计算要求、存储预算和数据隐私等各种问题,将新数据与旧数据集结合起来重新训练模型通常是不可行的。上述类增量学习方法通??常会导致稳定性-可塑性困境,即过于关注新任务的学习范式,导致由于灾难性遗忘而导致对过去类别的检测大幅下降,但防止了灾难性失忆症turn对学习新任务有抵抗力。在过去的几十年中,在解决这一难题方面取得了很大进展,可分为以下几类:基于动态架构的方法、基于存储重放的方法和基于正则化的方法。不幸的是,这些方法很少考虑小样本学习,而且它们几乎只在新类有足够数据时才有效。然而,当只有极少量的标记新类数据可用时,能够有效检测所有攻击的模型在入侵检测中更为现实,因为它可以尽快响应新型入侵的出现。因此,应考虑小样本增量学习场景。为了将小样本增量学习纳入增量攻击检测模型,需要了解类增量学习、入侵检测和增量学习。1.类增量学习早在1989年,McClosKeyM.和CohenN.J.就认为反向传播训练的算法存在灾难性的遗忘问题。后来,RatcliffR.通过使用反向传播在各种任务上更新模型,证实了这一发现。然而,增量学习和持续学习必须保留学习当前任务新知识的能力,同时保留先前任务的知识。针对灾难性遗忘,研究人员的研究成果可分为以下几类:基于动态架构的方法、基于练习的方法和基于正则化的方法。顾名思义,基于动态架构的方法可以动态调整其网络架构以应对新任务和学习新知识。比如面对新的知识需求,可以增加神经元的数量,可以通过合并神经元来提高,防止冗余。随着新类别的引入,有些模型可以分层和递增以逐渐扩展网络。其基本思想是自然物体由于进化过程而具有固有的本体层次结构,学习模型也应具有类似的层次结构。基于演练的方法定期重播历史数据以增强其在模型中的相应记忆。这种方法通常需要额外的存储空间来存储旧实例而不保存整个数据集。有一些方法可以利用知识蒸馏来保留从旧样本中获得的知识,从而仅使用一小部分旧样本就可以实现良好的性能。此外,回放样本不限于真实样本。一些研究人员还尝试使用生成对抗网络(GAN)对旧类别的基本分布进行建模,然后使用生成对抗网络(GAN)和存储在其中的真实示例生成合成数据来训练网络并减轻灾难性遗忘。当学习新类时,基于正则化的方法通常会对模型更新施加额外的约束。具体来说,这些方法首先确定先前分类任务的重要学习权重,然后严厉惩罚它们的偏差以保留先验知识。2.入侵检测与增量学习由于网络攻击的不断发展,类增量学习在辅助IDS及时检测网络入侵方面发挥着非常重要的作用。尽管机器学习技术已在IDS中得到广泛应用,但这些基于机器学习的模型如何适应网络攻击的演变是近年来才引起关注的,而基于动态架构的方法最为常见。鉴于增量学习的需要和K近邻(K-NN)在处理海量增量多类别数据方面的优势,一些研究者提出了一种结合K-NN和支持向量机(SVM)的增量学习方法。还有一些学习方法可以通过利用两个重要的组件(分类和可靠性评估模块)在适当的时候调整他们的模型。可靠性评估模块通过一组异常值检测器评估分类随时间的可靠性。考虑到可能是由于新的攻击行为误分类导致的可靠性变化,可以在评估结果不好的时候更新模型。由于标记数据的获取通常非常昂贵,一些研究人员提出了一种带有主动学习方法的增量朴素贝叶斯分类器,它可以根据主动学习策略为采样的数据获取标签。为了及时检测零日攻击,提出了一种基于元学习的框架。它首先使用所有数据训练DNN模型作为特征提取器,然后结合元学习任务训练和学习以获得足够的先验知识使其使用少量的新类样本就可以产生良好的泛化能力。不幸的是,这种方法只能发现新的攻击类型,不能用于识别其他旧的攻击类型。3.基于元学习的小样本增量攻击检测模型针对上述问题,我们提出了一种基于元学习的小样本增量攻击检测模型FSCIL。下面将从问题的定义和模型的基本结构两方面简要描述检测模型训练过程。图1.FSCIL模型结构由于元学习在从少量新数据中快速学习新任务方面表现良好,在初始训练阶段,我们利用元学习来解决新攻击识别和检测的小样本学习问题.增量训练阶段是一个典型的监督学习过程,可以通过标准的反向传播来解决。这个阶段需要所有类型的攻击样本,即过程中还需要回放极少数的旧样本。这些旧类型的样本可以是过去保存的、新收集的或GAN生成的样本。如果这些样本是专家在处理入侵警报时发现的错误分类样本,那就更好了。如果是这样,这个更新过程不仅保证了最终模型检测新型攻击的能力,而且进一步增强了其检测旧类型攻击的能力。然而,需要注意的是,虽然这个模型是为入侵检测而设计的,但它可以进一步扩展到其他检测任务,比如经典的计算机视觉任务,为更多的同类问题提供可靠的解决方案。点此阅读作者更多好文
