第9卷第2期信息安全学报Vol.9No.22024年3月JournalofCyberSecurityMarch2024通讯作者:魏松杰,副教授,Email:swei@njust.edu.cn。本课题得到国家重点研发计划子课题内生安全交换机关键技术研究(No.2020YFB1804604)、工业互联网创新发展工程项目工业企业网络安全综合防护平台(No.TC200H01V)资助。收稿日期:2022-05-25;修改日期:2022-07-05;定稿日期:2023-11-02交互博弈引导的网络流量异常检测建模方法研究张文哲,杨栋,魏松杰南京理工大学计算机科学与工程学院南京中国210094摘要基于网络流量的系统入侵会带来严重破坏,因此寻找能够准确识别和分类异常流量的方法具有重要的研究价值。数据作为基于机器学习模型的检测算法的唯一依据,训练过程对于外界是一个黑盒过程,整个模型在训练和使用过程中缺乏用户交互。这导致在网络运维场景中,专业运维人员不能根据当前模型检测结果,实时将指导信息反馈到系统中,进而削弱了系统的场景适应能力和检测纠错能力。本文基于强化学习过程,设计了一种基于动态贝叶斯博弈的交互引导式的网络流量异常检测方法。通过检测模型和运维人员交互的方式,在训练过程中让运维人员提供专业反馈使得模型获得外界针对当前检测效果的奖惩信号,从而对自身特征聚焦方向和收敛过程起到引导的作用。将运维人员和检测模型视为博弈的双方,建立博弈模型,使双方之间的交互引导行为达到动态平衡状态。通过博弈对于模型交互频次和内容反馈给出指导,从而使得模型具有动态适应当前场景的能力,有效控制了人机交互反馈所带来的系统开销。实验部分验证了交互式博弈的流量检测方法中,双方博弈指导交互行为的可行性与有效性,证明了该方法在动态场景中具有良好的适应能力。相较于传统的机器学习方法,交互引导式模型提高了模型整体的检测性能。性能对比测试结果表明交互频次每增加0.02%,系统整体检测性能随之提升0.01%。关键词动态贝叶斯博弈;强化学习;网络流量;异常检测中图分类号TN915.08DOI号10.19363/J.cnki.cn10-1380/tn.2024.03.03Interactive-GamingGuidedModelingandDetectionforNetworkTrafficAnomalyDetectionZHANGWenzhe,YANGDong,WEISongjieSchoolofComputerScienceandEngineering,NanjingUniversityofScienceandTechnology,Nanjing210094,ChinaAbstractSincesystemintrusionthroughnetworktrafficmaycauseseriousdamages,itisofgreatvaluetoresearchformoreaccuratemethodsfornetworktrafficrecognitionandanomalyclassification.Traditionalm...
