隨著網(wǎng)絡(luò)攻擊的頻繁發(fā)生，人們不得不更加關(guān)注網(wǎng)絡(luò)安全并實(shí)施有效的工具來(lái)確保這一點(diǎn)。入侵檢測(cè)系統(tǒng)(IDS)是用于檢測(cè)和分析網(wǎng)絡(luò)中入侵行為的基本且特別重要的工具。然而，在普通的網(wǎng)絡(luò)環(huán)境中，入侵檢測(cè)系統(tǒng)往往也會(huì)生成的大量的警報(bào)。這些警報(bào)需要安全專家進(jìn)行確認(rèn)并做出處置決策，虛假警報(bào)將會(huì)延遲對(duì)關(guān)鍵警報(bào)的處理，這威脅到了組織或個(gè)人的信息安全。為此，入侵檢測(cè)領(lǐng)域的研究更多專注于如何通過(guò)升級(jí)檢測(cè)模型的能力來(lái)減少錯(cuò)誤警報(bào)。

[[418524]]

顯卡等硬件的技術(shù)突破為算法運(yùn)行提供良好的平臺(tái)支持，深度神經(jīng)網(wǎng)絡(luò)以其強(qiáng)大的功能而成為各種領(lǐng)域中流行的用于識(shí)別和分類的工具，入侵檢測(cè)領(lǐng)域也不例外。近年來(lái)，因深度學(xué)習(xí)模型的出色學(xué)習(xí)能力，許多基于深度學(xué)習(xí)模型的入侵檢測(cè)系統(tǒng)已被廣泛使用并取得了良好的性能。這些模型雖然檢測(cè)準(zhǔn)確率較高，但他們只能檢測(cè)在訓(xùn)練數(shù)據(jù)集中已知的攻擊類。然而，攻擊者為實(shí)現(xiàn)更高的攻擊成功率，使得網(wǎng)絡(luò)攻擊持續(xù)演進(jìn)更新，新的攻擊類別不斷在網(wǎng)絡(luò)中出現(xiàn)，以上這類模型的訓(xùn)練設(shè)置顯然限制了這些方法在實(shí)際應(yīng)用中的使用。

實(shí)用的IDS應(yīng)該能夠盡快適應(yīng)新的任務(wù)，即迅速學(xué)習(xí)到新類攻擊特征。這種情況可以歸為類增量(class-incremental)學(xué)習(xí)，即：i)學(xué)習(xí)器應(yīng)可以在不斷增多新類的數(shù)據(jù)中學(xué)習(xí);ii)由于計(jì)算需求、存儲(chǔ)預(yù)算和數(shù)據(jù)隱私等各種問(wèn)題，將新數(shù)據(jù)與舊數(shù)據(jù)集結(jié)合進(jìn)行再訓(xùn)練模型通常是不可行的。上述類增量學(xué)習(xí)方法通常會(huì)導(dǎo)致穩(wěn)定性-可塑性困境，即，過(guò)多地關(guān)注新任務(wù)的學(xué)習(xí)范式，由于災(zāi)難性的遺忘(catastrophic forgetting)而導(dǎo)致對(duì)過(guò)去類別檢測(cè)能力的大幅下降，但防止災(zāi)難性遺忘又會(huì)遭受學(xué)習(xí)新任務(wù)的阻力。

在過(guò)去的幾十年中，解決此難題的工作取得了巨大進(jìn)展，具體分為以下幾類：基于動(dòng)態(tài)體系結(jié)構(gòu)的、基于存儲(chǔ)重放的和基于正則化的方法。不幸的是，這些方法很少考慮小樣本學(xué)習(xí)，它們幾乎僅在有足夠新類數(shù)據(jù)的情況下才會(huì)生效。但是，當(dāng)只有極少量有標(biāo)注的新類數(shù)據(jù)可用時(shí)，可以有效檢測(cè)所有攻擊的模型在入侵檢測(cè)中會(huì)更有現(xiàn)實(shí)意義，因?yàn)樗軌虮M快響應(yīng)新型入侵的出現(xiàn)。因此，應(yīng)該考慮小樣本增量學(xué)習(xí)情景。

想要將小樣本增量學(xué)習(xí)考慮進(jìn)增量攻擊的檢測(cè)模型中，有必要對(duì)類增量學(xué)習(xí)、入侵檢測(cè)與增量學(xué)習(xí)進(jìn)行了解。

1. 類增量學(xué)習(xí)

早在1989年，McClosKey M. 和Cohen N.J. 就認(rèn)為采用反向傳播訓(xùn)練的算法存在災(zāi)難性的遺忘問(wèn)題。后來(lái)，Ratcliff R. 通過(guò)在多種任務(wù)，使用反向傳播來(lái)更新模型的測(cè)試下，證實(shí)了這一發(fā)現(xiàn)。但是，增量學(xué)習(xí)和持續(xù)學(xué)習(xí)必須在保留先前任務(wù)的知識(shí)的同時(shí)保持學(xué)習(xí)當(dāng)前任務(wù)新知識(shí)的能力。為了解決災(zāi)難性的遺忘，研究者的研究成果可分類如下：基于動(dòng)態(tài)架構(gòu)、基于演練和基于正則化的方法。

顧名思義，基于動(dòng)態(tài)體系結(jié)構(gòu)的方法可以動(dòng)態(tài)調(diào)整其網(wǎng)絡(luò)架構(gòu)以應(yīng)對(duì)新任務(wù)學(xué)習(xí)新知識(shí)。例如，面對(duì)新的知識(shí)要求，可增加神經(jīng)元數(shù)量，并可以通過(guò)合并神經(jīng)元的方式來(lái)防止冗余來(lái)改善它。有模型可以層次增量化的隨著新類的推出而逐步擴(kuò)展網(wǎng)絡(luò)。它的基本思想是，自然物體由于進(jìn)化的過(guò)程，存在固有的本體層次結(jié)構(gòu)，學(xué)習(xí)模型應(yīng)類似地具有層次結(jié)構(gòu)。

基于演練的方法會(huì)定期重播歷史數(shù)據(jù)，以增強(qiáng)其在模型中的相應(yīng)記憶。這種方法通常需要額外的存儲(chǔ)空間來(lái)存儲(chǔ)舊實(shí)例，不用保存整個(gè)數(shù)據(jù)集。有方法利用知識(shí)提煉的優(yōu)勢(shì)即可以保留從舊樣本中獲得的知識(shí)，使得僅使用一小部分舊樣本即可達(dá)到很好的性能。此外，重放樣本也不限于真實(shí)樣本，也有研究人員嘗試使用生成對(duì)抗網(wǎng)絡(luò)對(duì)舊類別的基礎(chǔ)分布進(jìn)行建模，然后使用生成對(duì)抗網(wǎng)絡(luò)(Generative Adversarial Networks, GAN)和存儲(chǔ)在其中的真實(shí)示例生成的合成數(shù)據(jù)訓(xùn)練網(wǎng)絡(luò)，并減輕災(zāi)難性的遺忘。

當(dāng)學(xué)習(xí)新類時(shí)，基于正則化的方法通常會(huì)對(duì)模型更新施加其他約束。詳細(xì)地說(shuō)，這些方法首先確定先前分類任務(wù)的重要學(xué)習(xí)權(quán)重，然后嚴(yán)厲懲罰他們的偏差，以保留先前的知識(shí)。

2. 入侵檢測(cè)與增量學(xué)習(xí)

由于網(wǎng)絡(luò)攻擊的不斷發(fā)展，類增量學(xué)習(xí)在協(xié)助IDS及時(shí)檢測(cè)網(wǎng)絡(luò)入侵中起著非常重要的作用。盡管機(jī)器學(xué)習(xí)技術(shù)已在IDS中廣泛使用，這些基于機(jī)器學(xué)習(xí)的模型如何適應(yīng)網(wǎng)絡(luò)攻擊的演變，近年來(lái)才引起人們的注意，而基于動(dòng)態(tài)架構(gòu)的方法是最常見(jiàn)的。

鑒于增量學(xué)習(xí)需求和K近鄰(K-NN)具有處理龐大且增量式多類數(shù)據(jù)的優(yōu)勢(shì)，有研究者提出結(jié)合K-NN與支持向量機(jī)SVM的增量學(xué)習(xí)方法。也有學(xué)習(xí)方法通過(guò)利用兩個(gè)重要組成部分即分類和可靠性評(píng)估模塊，可以在適當(dāng)?shù)臅r(shí)候調(diào)整其模型?？煽啃栽u(píng)估模塊通過(guò)一組流離群值檢測(cè)器評(píng)估一段時(shí)間內(nèi)分類的可靠性。考慮到它可能是由于新的攻擊行為錯(cuò)誤分類引起的可靠性變化，因此它可以在評(píng)估結(jié)果不好的情況下更新模型。

由于標(biāo)記數(shù)據(jù)的獲取通常非常昂貴，因此有研究人員提出了一種具有主動(dòng)學(xué)習(xí)方法的增量樸素貝葉斯分類器，該方法可以為基于主動(dòng)學(xué)習(xí)策略采樣的數(shù)據(jù)獲取標(biāo)簽。為了及時(shí)檢測(cè)到zero-day攻擊，提出了基于元學(xué)習(xí)的框架，其先利用所有數(shù)據(jù)訓(xùn)練DNN模型，作為特征提取器，再結(jié)合元學(xué)習(xí)任務(wù)訓(xùn)練學(xué)習(xí)，獲取足夠的先驗(yàn)知識(shí)，使其利用少量新類樣本即可產(chǎn)生很好的泛化能力。遺憾的是，此方法只能發(fā)現(xiàn)新類攻擊，無(wú)法用于其他舊攻擊類別的識(shí)別中。

3. 基于元學(xué)習(xí)的小樣本增量攻擊檢測(cè)模型

為解決以上問(wèn)題，我們提出基于元學(xué)習(xí)的小樣本增量攻擊檢測(cè)模型，F(xiàn)SCIL。下面將從問(wèn)題的定義、模型的基礎(chǔ)架構(gòu)對(duì)檢測(cè)模型訓(xùn)練過(guò)程進(jìn)行簡(jiǎn)單描述。

圖 1 FSCIL模型結(jié)構(gòu)

由于元學(xué)習(xí)在從少量新數(shù)據(jù)中快速學(xué)習(xí)新任務(wù)中表現(xiàn)良好，因此在初始訓(xùn)練階段，我們利用元學(xué)習(xí)來(lái)解決新攻擊識(shí)別檢測(cè)小樣本學(xué)習(xí)問(wèn)題。增量訓(xùn)練階段是典型的監(jiān)督學(xué)習(xí)過(guò)程，可以通過(guò)標(biāo)準(zhǔn)反向傳播來(lái)解決。在此階段，需要所有類型的攻擊樣本，即在此過(guò)程中也需要重播非常少量的舊樣本。這些舊類型的樣本可以是過(guò)去保存的，新收集的或GAN生成的樣本。如果這些樣本是專家在處理入侵警報(bào)時(shí)發(fā)現(xiàn)的分類錯(cuò)誤的樣本，則是更好的選擇。如是這樣，此更新過(guò)程不僅可以保證最終模型檢測(cè)新類型攻擊的能力，而且可以進(jìn)一步增強(qiáng)其檢測(cè)舊類型攻擊的能力。

不過(guò)需要注意的是，盡管此模型是為入侵檢測(cè)而設(shè)計(jì)的，但它可以進(jìn)一步擴(kuò)展到其他檢測(cè)任務(wù)，例如經(jīng)典計(jì)算機(jī)視覺(jué)任務(wù)，為更多同類型的問(wèn)題提供可靠的解決辦法。

戳這里，看該作者更多好文