A_Deep_One-class_Model_for_Network_Anomaly_Detecti.pdf

Abstract: We use the stacked autoencoders to select the prominent features from the raw collected data, then apply the one-class classification algorithm support vector data description to train a classifier to identify the network traffic into normal data and anomalous data. 网络异常检测是网络安全领域的重要研究方向，其目的是识别并防止潜在的网络攻击和不寻常的行为。传统的网络异常检测系统依赖于人工特征选择和不平衡的训练数据集，这可能导致检测性能受限，对专家知识和经验的依赖性高，且模型预测倾向于偏向多数类。 本文提出了一种基于堆叠自编码器（Stacked Autoencoders）的一类分类网络异常检测模型。自编码器是一种无监督学习方法，特别适用于从原始数据中提取显著特征。它通过自我重构的方式学习数据的压缩表示，能够捕获数据的主要结构和模式，从而在没有标签信息的情况下自动进行特征选择。 该模型利用堆叠自编码器对原始收集的数据进行预处理，通过训练自编码器来学习数据的高效表示，从而筛选出对异常检测最有区分性的特征。这一过程减少了对人工特征工程的依赖，降低了人力成本，并可能发现数据中的深层模式。 接下来，使用支持向量数据描述（Support Vector Data Description, SVDD）作为一类分类算法。SVDD的目标是构建一个最小的球形边界，包含大部分正常数据点，将异常数据点排除在外。在这个模型中，自编码器提取的特征作为输入，训练SVDD分类器以区分正常网络流量和异常流量。由于只有一类（正常流量）的数据用于训练，因此这种模型特别适合处理无标签或异常样本稀少的情况。 实验结果表明，该方法在网络异常检测方面表现出良好的性能。通过对比传统的基于手工特征的方法，证明了使用自编码器进行特征选择和SVDD进行分类的有效性，尤其是在面对数据不平衡问题时，能更准确地识别异常流量，提高了检测的准确率和鲁棒性。 这种深度一类别模型结合了自编码器的无监督特征学习能力和SVDD的一类分类能力，为网络异常检测提供了一个自动化、高效且适应性强的解决方案。它减少了对专家知识的依赖，同时提升了模型对未知异常的识别能力，对于保障网络安全具有重要的实践意义。未来的研究可以进一步探索如何优化自编码器的结构和参数，以及如何更好地处理大规模和复杂网络环境下的异常检测问题。