Learning yordamida tarmoq hujumlarini erta aniqlash
Download 168.19 Kb.
|
Tar 2201.11628
Biz ma'lumotlar to'plamidagi paketlarning 99% sarlavhasi va foydali yuk uzunligi mos ravishda 40 va 356 baytdan kam yoki teng ekanligini kuzatdik. Har xil sarlavha va foydali yuk uzunliklariga ega bo'lgan paketlarni qayta ishlash uchun biz II-A3 bo'limidagi transformatsiya bosqichiga muvofiq, ularni oxirida 50 va 400 baytgacha nol bilan to'ldiramiz yoki to'ldiramiz. Biz barcha paket baytlarini 255 ga bo‘lish orqali 0 va 1 oralig‘ida masshtablashtiramiz. Amalda, kiritilgan ma’lumotlarni masshtablash mashinani o‘rganish algoritmlarini tezroq birlashishiga yordam beradi [23] . Baholash ko'rsatkichlari Nomutanosib ma'lumotlar to'plamida mashinani o'rganishga asoslangan yondashuvning tasniflash samaradorligini baholash qiyin vazifadir [ 24] . Mashinani o'rganishdan foydalangan holda mavjud bo'lgan kirishni aniqlash yondashuvlarining aksariyati aniqlik va F1 balli [2] kabi an'anaviy ko'rsatkichlardan foydalangan holda o'z yondashuvlarining ishlashi haqida xabar berdi . Ushbu ko'rsatkichlar muvozanatlashtirilgan ma'lumotlar to'plamlari bo'yicha tasniflagichning ishlashini baholash uchun mo'ljallangan. Ma'lumotlar to'plamidagi sinflarni taqsimlashda katta nomutanosiblik mavjud bo'lganda ular yaxshi ishlamaydi [24] . Shunday qilib, biz yondashuvimizning tasniflash samaradorligini ma'lumotlar to'plamida topilgan har bir sinf uchun quyidagi ko'rsatkichlarni tahlil qilish orqali baholaymiz: aniqlik, eslab qolish, noto'g'ri ijobiy ko'rsatkich, Balanslangan aniqlik (BA) va bukmekerlik ma'lumotlari (BM). Oddiylik uchun biz bu erda o'lchovlarni ikkilik tasniflash muammosi kontekstida kiritamiz, bu erda bizda faqat ikkita sinf mavjud: ijobiy va salbiy ; ammo ular ko'p tasniflash muammosiga qo'llanilishi mumkin. Aniqlik to'g'ri tasniflangan ijobiy deb aniqlangan misollar foizini hisoblab chiqadi, eslab qolish (ya'ni, aniqlash darajasi deb ham ataladi ) to'g'ri tasniflangan haqiqiy ijobiy misollar foizini hisoblab chiqadi. Noto'g'ri ijobiy ko'rsatkich (FPR) (ya'ni, noto'g'ri signal darajasi deb ham ataladi ) salbiy kuzatuvlarning umumiy soniga nisbatan noto'g'ri ijobiy deb bashorat qilingan salbiy kuzatuvlar ulushini baholaydi. BA ko'rsatkichi har bir sinf bo'yicha olingan eslashning o'rtacha arifmetik ko'rsatkichidir, BM esa klassifikator tasodifiy taxmin qilishdan farqli ravishda to'g'ri qaror qabul qilish ehtimoli sifatida aniqlanadi. Yuqorida aytib o'tilgan barcha ko'rsatkichlar 0 va 1 oralig'idagi qiymatlarga ega bo'lishi mumkin . Aniqlik, eslab qolish, BA va BMning yuqori qiymatlari va FPRning pastroq qiymatlari klassifikatorning tasniflash samaradorligini ko'rsatadi. Yondashuvimizning ertaligini baholash uchun biz ertalikni quyidagicha aniqlaymiz: T - t Earlmess = — (2) T - 1 bu erda t - berilgan oqim sinfini to'g'ri bashorat qilish uchun zarur bo'lgan minimal paketlar soni va T - oqimdagi paketlarning umumiy soni. Ushbu ko'rsatkich uning sifati o'rniga bashoratning ertaligini baholashni maqsad qilganligi sababli, bu ko'rsatkich faqat to'g'ri tasniflangan va t < T oqimlarga qo'llaniladi . Ertalik qiymati 0 dan 1 gacha, ekstremal qiymatlar 0 va 1 ga erishiladi, agar tasniflagich mos ravishda faqat birinchi paketni va oqimning barcha paketlarini tahlil qilib, berilgan oqimni aniq tasniflashi mumkin . Model arxitekturasi Bizning modelimiz konvolyutsiya blokidan qilingan. Blok belgilangan tartibda quyidagi qatlamlarni o'z ichiga oladi: 1 o'lchamli 32 yadrodan foydalangan holda 1-D CNN qatlami, joriy to'ldirish, ReLU faollashtirish va bir xil plomba bilan yonma-yon, qatlamni normallashtirish va o'rtacha 2 o'lchamdagi birlashtiruvchi qatlam. Xususiyatlar xaritalari seriyasini qat'iy uzunlikdagi vektorga tekislash uchun global o'rtacha birlashtiramiz, so'ngra xususiyat vektorini olish uchun 64 o'lchamdagi to'liq bog'langan qatlamga kirish sifatida taqdim etiladi. Va nihoyat, har bir sinf uchun ehtimollik taqsimotini olish uchun 4 o'lchamdagi softmax qatlamidan foydalanamiz . Ehtimollik taqsimoti va tasniflash chegarasiga asoslanib, biz yakuniy bashorat qilamiz. Biz to'plam hajmini 32 ga o'rnatdik, bu neyron tarmoqni o'qitish paytida minibatchga kiritilgan oqimlar soni. Modelning o'rgatilishi mumkin bo'lgan parametrlarining umumiy soni 16 804 tani tashkil etadi. U o'quv ma'lumotlar to'plamida 50 davr bilan o'qitiladi. 3 -rasmda modelning arxitekturasi tasvirlangan. Rasmdagi Input to Conv1D qatlamidagi o'qdagi yorliq modelga taqdim etilgan kirish o'lchamlarini belgilaydi. Kirish uchta o'lchovga ega: paketdagi oqimlar soni, oqimdagi paketlar soni, baytlar soni yoki oqimdagi paketni ifodalovchi xususiyatlar. Biz bashorat qilish uchun oqimda talab qilinadigan paketlar sonini aniqlamaganimiz sababli, 32 x?x 448 yorlig'idagi ikkinchi o'lcham ochiq qoladi. RQ1: Tasniflash samaradorligi Ushbu tadqiqot savolining maqsadi bizning yondashuvimizning tasniflash samaradorligini o'rganishdir. Bu savolga javob berish uchun bizning tasniflagichimiz ma'lumotlar to'plamidan olingan mustaqil test to'plamiga nisbatan o'qitiladi va baholanadi. Biz ma'lumotlar to'plamini 0,7: 0,3 nisbati yordamida ikkita kichik to'plamga ajratamiz: o'quv va test to'plami ( III-jadvalga qarang) . Ko'rib turganingizdek, oqim sinflarini taqsimlashda katta nomutanosiblik mavjud; Misol uchun, SQL Injection sinfiga qaraganda, taxminan 1291,86 marta ko'proq oqim normal sinfga tegishli. Asl ma'lumotlar to'plamini bo'lish uchun biz tabaqalashtirilgan tanlamadan [25] foydalandik . Tasodifiy tanlab olishdan farqli o'laroq, tabaqalashtirilgan tanlama har bir sinf uchun to'liq ma'lumotlar to'plamidagi kabi bir xil foizni saqlab, bo'linishlarni yaratadi. Giper-parametr qiymatlari va model tanlashni aniq sozlash uchun biz trening ma'lumotlar to'plamida 10 marta o'zaro tekshirishdan foydalandik. Statistik sabablarga ko'ra, baholash protsedurasi 30 marta takrorlanadi va har safar biz ma'lumotlar to'plamini mashg'ulotlar va testlar to'plamiga bo'lishdan oldin tartibsizliklarni olib tashlash uchun tasodifiy aralashtiramiz. III-JADVAL Trening va test ma'lumotlar to'plami
Download 168.19 Kb. Do'stlaringiz bilan baham: 
|