一种可解释的泛化机制用于准确检测异常并识别网络入侵技术

Mar, 2024

一种可解释的泛化机制用于准确检测异常并识别网络入侵技术

An Interpretable Generalization Mechanism for Accurately Detecting Anomaly and Identifying Networking Intrusion Techniques

PDF

Hao-Ting Pai, Yu-Hsuan Kang, Wen-Cheng Chung

TL;DR通过互联网入侵检测系统（IDS）与可解释人工智能（XAI）的集成，最近取得了显著的性能提升，通过精确的特征选择。然而，深入了解网络攻击需要 IDS 内部可解释的决策过程。本文提出了易于解释的泛化机制（IG），具有革新 IDS 能力的潜力。IG 区分出一致的模式，从而使其具有解释能力，可以区分正常和异常的网络流量。此外，一致模式的合成揭示了复杂的入侵路径，为网络安全取证提供了重要见解。通过与实际数据集 NSL-KDD、UNSW-NB15 和 UKM-IDS20 的实验，IG 即使在低比例的训练和测试中也能取得较高的准确性。在 NSL-KDD 中，当比例为 10% 至 90% 时，IG 的准确率（PRE）为 0.93，召回率（REC）为 0.94，曲线下面积（AUC）为 0.94；在 UNSW-NB15 中，IG 的 PRE 为 0.98，REC 为 0.99，AUC 为 0.99；在 UKM-IDS20 中，IG 的 PRE 为 0.98，REC 为 0.98，AUC 为 0.99。值得注意的是，在 UNSW-NB15 中，IG 在 40% 至 60% 时实现 REC=1.0，至少 PRE=0.98；在 UKM-IDS20 中，IG 在 20% 至 80% 时实现 REC=1.0，至少 PRE=0.88。在 UKM-IDS20 中，IG 成功识别出所有三个异常实例，说明其具有泛化能力。这些结果和推论是可复现的。总之，IG 通过在各种数据集和训练和测试比例（从 10% 至 90% 到 90% 至 10%）之间始终表现出色，并且在没有先前接触的情况下优秀地识别新的异常，展示了卓越的泛化能力。其可解释性通过准确区分正常和异常活动的一致证据得到增强，显著提高了检测准确性，降低了误报，从而增强了 IDS 的可靠性和可信度。

Abstract

Recent advancements in intrusion detection systems (IDS), integrating explainable ai (XAI) methodologies, have led to notable improvements in system performance via precise feature selection. However, a thorough

intrusion detection systems explainable ai interpretable generalization mechanism cybersecurity forensics coherent evidence

发现论文，激发创造

一种用于异常检测的可解释性 AI 的通用应用方法

文章提供了一个基于可解释性和解释性方法的误差检测通用方法，并使用集成梯度方法来减少 Attribution Error。

Jul, 2022

X-CBA: 解释能助力 CatBoosted Anomal-E 用于入侵检测系统

使用深度学习和图神经网络构建的可解释入侵检测系统（IDS）提供了高精度的网络攻击和异常识别方案。该研究通过利用网络流数据，结合边属性，改进检测能力，适应新型威胁，并提供清晰可行的解释分析结果，以促进机器学习和深度学习技术在网络安全防御中的广泛应用。

Feb, 2024

面向可解释的元学习从事 DDoS 检测

本文提出了一种基于人工免疫系统的严格可解释人工智能驱动的入侵检测方法，重点介绍了决策树模型的严格解释计算过程，并给出了正常流量的素质蕴含说明。

Apr, 2022

低延迟可解释 AI 中的非均匀插值

本研究提出了一种新的算法优化方法，通过硬件感知将 Integrated Gradients 算法加速，使其在保证收敛的同时，显著减少总插值步骤并提高了性能，同时我们在 ImageNet 数据集上进行的实验进一步验证了该算法的有效性。

Feb, 2023

可解释的入侵检测系统 (X-IDS)：当前方法、挑战和机会的调查

应用人工智能和机器学习于网络安全已有广泛应用，特别是使用深度学习技术设计的 IDS. 然而，这些系统被视为黑盒模型，无法提供预测的合理解释。因此，需要设计可解释的 IDS，调查了可解释 AI 的现状，并提出了一种人们参与的通用架构，以用作设计 X-IDS 的指导

Jul, 2022

使用競爭學習技術的可解釋入侵檢測系統

本论文旨在提出一种基于可解释性竞争学习的入侵检测系统框架，该框架使用诸如自组织映射、生长自组织映射和生长分层自组织映射等算法建模，并能通过数据挖掘生成统计和可视化的解释，较黑盒模型更具解释力和提高了预测速度。

Mar, 2023

关于网络入侵检测机器学习的跨数据集泛化

通过对网络入侵检测系统（NIDS）的泛化能力进行全面分析，本研究采用跨数据集框架的广泛实验，使用四个数据集和四种机器学习分类器，发现当模型在同一数据集上进行训练和测试时，几乎可以完美分类攻击。然而，在跨数据集训练和测试模型时，除了少数攻击和数据集的组合外，分类准确率与随机机会基本持平。本研究的数据可视化技术揭示了数据中的异常存在，直接影响分类器将学习的知识泛化到新场景的能力。这一研究拓宽了我们对基于机器学习的 NIDS 泛化能力的理解，凸显了认识数据异质性的重要性。

Feb, 2024

从数据中学习不变的规则，用于可解释的异常检测

该论文提出了一种利用机器学习和数据挖掘技术自动学习不变规则的新框架，可以提供明确的异常检测结果解释并在实际应用决策中发挥重要作用。实验评估表明，该方法在多个应用领域的公共基准数据集上的性能优于先前的异常检测模型。

Nov, 2022

使用 EBGAN 进行异常入侵检测

该研究提出了一种基于 EBGAN 的入侵检测方法，IDS-EBGAN，旨在将网络记录分类为正常流量或恶意流量，该方法使用生成对抗网络（GANs）的强大建模能力解决网络流量巨大而复杂的问题，并采用重新构建误差的方法在测试阶段对流量记录进行分类。

Jun, 2022

基于可解释机器学习的医疗物联网系统的安全与隐私保护框架

医学物联网能够革新医疗保健，通过实时健康数据收集帮助早期疾病检测和个性化护理，并借助机器学习进行异常检测，结合联邦学习和可解释的人工智能方法以保护用户隐私。

Mar, 2024