德克萨斯大学 | 基于异构域自适应的网络威胁数据多流分类

原文标题：Heterogeneous Domain Adaptation for Multistream Classification on Cyber Threat Data
原文作者：Yi-Fan Li*; Yang Gao; Gbadebo Ayoade; Latifur Khan; Anoop Singhal; Bhavani Thuraisingham
发表期刊：2024 IEEE Transactions on Dependable and Secure Computing (TDSC)
原文链接：https://ieeexplore.ieee.org/document/9795176
主题类型：攻击检测
笔记作者：三鹿
主编：黄诚@安全学术圈

论文工作

提出了一个多流分类框架，该框架使用来自共同潜在特征空间的投影数据，该数据从源域和目标域嵌入。该框架对于企业系统防御者检测跨平台攻击(如高级持续威胁(APT))也至关重要。与最先进的技术相比，对现实世界和合成数据集进行了实证评估和分析，以验证本文提出的算法的有效性。实验结果表明，本文的方法明显优于其他现有的方法。

研究目标和论文贡献

多流设置（源流和目标流）在网络安全领域非常普遍，在这种设置下有很多实际应用。例如，许多组织都容易受到网络攻击。这些组织部署威胁监控工具，以数据流的形式收集网络系统调用事件。为了检测这些攻击，我们必须克服将这些低级痕迹与攻击者的策略和意图联系起来的挑战。此外，标记数据的稀缺性给部署机器学习技术检测网络攻击带来了更多限制。

本文提出了一个异构域自适应网络(HDAN)框架来解决上述问题。其主要思想是为两个不同的数据流找到一个共同的特征空间。

• 为了解决非平稳环境下源域和目标域的自适应问题，提出了一种基于嵌入的多流环境域自适应方法。
• 在新的多流环境下，提出了一种具有域自适应的概念漂移检测方法。在此设置下，不需要目标流中的true标签，而只使用源流中的true标签。

提出方法

本文提出的异构域适应网络（HDAN）框架包含以下模块：

• 一个领域自适应模块，可以帮助找到源流和目标流的优化潜在子空间。
• 概念漂移检测模块，用于检测源流和目标流中的概念漂移。将这两个模块结合使用，一旦检测到概念漂移，我们就使用最近窗口中两个流的数据实例来更新特征映射，从而解决领域适应问题。算法框图如图所示。

初始化和域自适应

解决异构领域问题的一般思路是找到与领域无关的共享潜在空间。本文设计了一个合适的框架来找到它，参考图5和图6，堆叠去噪自动编码器(Stacked Denoising Autoencoder, SDAE)和多任务学习是我们框架的基础。

分类模块

变更检测模块（CDM）

先前的多流分类工作使用预测置信度来检测两个不同时间窗之间分布的变化。由于源流和目标流之间可能存在异步概念漂移，如果在这些数据流中的任何一个中检测到概念漂移，则维护和更新分类器集合。因此，复杂的集成算法可能导致执行速度非常慢。

本文采用最大平均差异(MMD)作为距离度量来比较不同的分布。

总结

本文提出了一种结合领域自适应技术的多流分类框架。这个框架有能力解决广泛的问题，更具体地说，检测攻击、识别数字等等。两个主要的挑战，即异构领域和概念漂移，在两个数据流中同时解决。本文的解决方案包括一种基于堆叠去噪自编码器的领域自适应方法，以及一种使用平均差异进行概念漂移校正的在线更新机制。更具体地说，该方法的关键思想是为源数据流和目标数据流找到一个共同的潜在空间，既保留了数据的结构，又使源数据和目标数据之间的相似性最大化。使用真实世界和合成数据进行的大量实验表明，与现有的最先进的解决方案相比，本文的方法在各种数据集上的错误率方面具有显着更好的性能。