分析的二维表示CPS异常检测基于上下文的安全框架

1介绍

在过去的年里,我们目睹了连接设备的快速传播。这一现象涉及几个细分市场从大众市场至关重要的基础设施(例如,医疗、交通、能源和工业系统)从而导致巨大的攻击表面扩张。此外,由于使用连接设备在高安全性的应用程序时,攻击可能导致关键服务社会的否定或生命损失。为了解决这个问题,连接系统的监控和异常行为的识别变得极为重要。

文献中出现的异常检测的方法主要可以分为两类:基于签名和profile-based。属于一流的技术检测已知异常利用先验知识的特性。居住在第二类的方法,另一方面,利用标称系统的历史行为来定义它的常规剖面。然后,异常被定义为一个系统的行为明显不同的建模。这可能是由于恶意行为和真实但不寻常的活动(费尔南德斯et al ., 2015)。两个类别显示的优点和缺点。Profile-based技术不需要一个模型的异常行为,从而使新的和不可预见的异常的检测。基于签名的方法,相反,只能够发现先前已知的异常行为。然而,由于只有著名的异常识别,可以减少误警率。

异常检测系统也可以分化基础上采用设置阈值的方法。更多的细节,可以确定两个类:第一个预见的手动设置报警阈值监控的专家,而第二个依靠自动基于人工智能的方法,也可以。后者系统已被证明是更有效的,自适应对流量变化(而不需要手动进行调整阈值),需要减少人工干预。在这部作品中,选择的方法是考虑到异常显示以下特性(彭日成et al ., 2021):

•unknowness:异常与许多未知数(例如,行为、数据结构、分布);

•非均质性:异常是不规则的,有不同的属性;

•罕见:异常罕见,所以,很难收集大量的异常样本的标签。

由于这些原因,在这个工作我们提出一个profile-based上下文感知安全框架,这依赖于深度学习的方法来检测异常。提出研究的核心思想是通过开发满足安全需求来源和联合处理信息流。该方法包括本地和非本地数据。本地数据占信息依赖他们收集而非本地的环境数据监测在更大的区域通常是通过传感器的部署。在以下,非本地数据将显示为分布式环境下,由于信息来源是假定为空间分布,而本地数据将被称为当地的环境,因为它们允许收集信息关于发生在邻近的监控系统。的概念引入了上下文感知安全(王et al ., 2010),上下文被定义为的环境状态和设置集确定应用程序的行为或事件发生时的应用程序。先前虽然这个概念被提出在文献中,一般框架,共同处理分布式和本地上下文缺失。因此,本地和非本地数据的综合处理铺平了道路的定义的基于上下文的安全的新方法。

在这项工作中,我们提出的框架应用于网络物理系统(CPS)的场景。可以定义为CPS的集成计算、通信和控制功能监视和管理物理对象。连接允许通过互联网的使用,一方面扩展共享信息的能力和在另一个使得这些系统倾向于不存在的漏洞。网络之间的交互和独立主办需要更大的努力,以确保连接的安全系统。事实上,独立主办的安全问题等几个方面数据收集、信息传输、加工和控制子系统。本地和分布式开发环境估计独立主办的异常起源允许评估异常对系统的影响,对可用的反应和缓解策略,也考虑到相关的成本。在这项工作中,我们关注的distributed-context分析采用2 d表示网络流量异常检测系统设计。允许使用一个2 d表示的多输入从传感器收集的信息在一个紧凑的形式。

提醒的纸是组织如下。在第二部分文献关于基于上下文的安全性和网络异常检测系统基于多维表征的数据了。然后,第三节描述了CPS拟议的框架及其应用情况。此外,第四节描述数据集选择进行研究,和2 d流量表示问题。最后,一些初步结果提供了关于2 d数据表示在第五节,是在第六节的结论。

2相关的工作

在本节中,相关工作都基于上下文的安全方法和异常检测方法利用数据的多维表示详细。

2.1基于上下文的安全方法

在以前的作品,上下文相关信息采用改进的安全独立主办,(伊万诺夫et al ., 2018)。更具体地说,上下文数据已经被利用为推断系统状态信息和防止错误检测由于存在不可靠的数据。在(辑et al ., 2019),例如,一个上下文感知安全体系结构提出了物联网(物联网)。更多的细节,作者建议选择安全和隐私机制基于用户上下文信息(例如,移动)。在(Dsouza et al ., 2019),环境敏感生物安全框架融合实时数据上下文信息,例如客户端设置区域,照明,和时间。上下文也被认为是物联网的安全基础设施系统提出了(Roukounaki et al ., 2019)。对环境的影响一直在利用(谢拉夫达巴格和Saad, 2019),为物联网设备指纹身份验证进行了分析。在这种情况下,方法依赖于假设攻击者将无法模仿的环境变化经历了合法设备因此失败在复制一个环境相关指纹。此外,基于属性加密方法自动学习中由于提出了一个上下文感知模块的属性(Ghosh et al ., 2021)。同样,在(Alagar et al ., 2018),一个上下文敏感的医疗物联网的基于角色的访问控制技术。此外,在(公园et al ., 2020),上下文感知的概念实现入侵检测系统包括网络条件(如源地址和目的地址/端口、访问频率、数据流量),和系统的操作条件(例如,闲置的cpu或内存负载)的分析数据。最后,在(Ehsani-Besheli Zarandi, 2018),检测异常的上下文是利用嵌入式系统通信。创新我们的框架的关键是本地和分布式环境的共同开发。正如前面提到的,事实上,一个共同框架流程本地和非本地数据目前下落不明。

2.2基于交通数据的多维表示安全的方法

在文献中,提出了一些解决方案网络异常检测使用一个2 d或3 d表示的数据。第一映像的网络流量提供了可视化的例子(金正日et al ., 2004)。作者利用源和目标IP地址和目的端口号来表示交通3 d。他们代表每个流作为一个点在三维空间中定义的三个属性。在攻击,常规模式出现而合法的交通被广泛和不规则地分散。检测攻击,攻击签名表定义,通过比较包与预定义的签名可以识别存在和攻击的类型。在(金姆和Reddy, 2005)经典的图像处理技术是利用分析交通模式。定义图片的数据包数量在地址域。相同的表示是用于(金和Reddy, 2005 b),作者计算图像的DCT系数并选择一组计算标准差。这个值被用作异常检测指标通过定义一个上下阈值的标准差在额定条件下。此外,作者提出利用运动预测技术预测后的攻击目标。此外,Nataraj等人提出了一个恶意软件的2 d表示二进制文件(Nataraj et al ., 2011),提出了一个恶意软件分类技术基于图像处理方法。最近,一直利用深度学习技术。在(王et al ., 2017),执行恶意流量分类基于网络流量的一个图像表示和卷积神经网络(CNN)。作者基于流和会话分组网络数据,发现不同类型的交通导致不同的图像,而图像在同一类是一致的。塔等人使用相同的表示检测僵尸网络在物联网环境下(塔et al ., 2018)。此外,一个方法使用pre-trained网络和微调的恶意软件分类提出了(Vasan et al ., 2020)。最后,基于混合模型的无监督和监管提出了恶意软件检测和分类的方法(万卡特拉曼·莱马克里斯et al ., 2019)。另一种方法为代表一般的时间序列数据图像提出了(Zhang et al ., 2019),采用了一种多尺度特征矩阵来描述系统使用不同的时间步长。这些矩阵作为卷积编码器的输入和一种引起卷积长期短期记忆(LSTM)来捕获时间模式。相同的数据表示被用于(罗et al ., 2021),并应用于独立主办。在这种情况下,一个单一的规模已经使用和不同的时间序列表示一组提供的测量传感器。关于处理,CNN-based autoencoder一直使用。最后,深入学习模型已经用于网络入侵检测(Mohammadpour et al ., 2018)。更具体地说,一个一维的特征向量叠在一个二维结构,然后作为输入提供给CNN。

3提出了框架

拟议的框架旨在提供一个有效的工具来检测异常,建议最好的减排措施。这个框架背后的想法是开发本地和分布式环境中所示图1。

更具体地说,来源的集合提供了分布式环境中构建块的输入。输入类型可能取决于特定的应用程序(例如,传感器测量,信号,网络参数)。在这个阶段,三个处理选项可用:异常的检测通过单一信息源提供的信息和融合的结果,联合处理的信息来自相同类型的来源,或收集的数据的联合分析不同类型的来源。正如前面提到的,异常检测将通过profile-based进行深度学习的方法。这个选择保证了检测系统能够独立于特定类型的攻击,因此可以应用于广泛的病例数。所选择的学习方法是基于autoencoders,无人管理的架构,已经申请异常检测在不同的应用场景。

这种选择背后的动机是autoencoder强制学习的重要规律数据重建错误降到最低。如果非攻击性的算法训练数据,non-desired修改系统中的行为将导致大型重建错误。

然后综合信息来自当地情况为了区分自然和attack-related异常。自然事件,事实上,可能会关联到一个异常当地情况,而且应该关注多个源部署在同一地区。一旦确定了问题的根源,缓解成本考虑,可以选择最好的缓解策略。

拟议的框架是非常灵活的,因为它可以适应不同的应用场景和尽量少的修改它的构建块。根据具体应用,拟议的框架可能变化的输入,根据这一变化,也发展的实际定义上下文。此外,能被探测到的参数的数量进行异常检测可以达到所需水平的检测精度,增加(王et al ., 2010)。

3.1 CPS安全案例研究

独立主办可以通过描述三层架构:感知、传输和应用程序。第一层收集实时数据,第二个允许数据交换,最后一层实现数据处理和控制功能。独立主办直接与周围环境和交互通常部署在集团在一个预定义的区域。因此,独立主办的分布式特性,连同他们的inter-dependency部署环境使他们完美的应用场景提出了安全的方法。拟议的框架的流程应用于CPS场景提出了图2。

根据CPS定义,分布式上下文可以是测量,分析和处理的网络流量数据。因为,指出(罗et al ., 2021),大多数的研究文献都集中在从传感器和致动器检测异常数据,这项工作我们的目标是在分析网络流量数据的异常检测问题的观点。关于本地数据,在这种情况下,他们可能担心CPS的操作条件(如天气预报或存在自然火灾和地震等突发事件),和不同的减排措施的成本。

我们的目标是在定义多源intra-type分布式上下文的异常检测子系统构建块。为此,我们调查的使用流量数据的二维表示。由于这种表示方法,收集的信息(即一组分布式节点。,the distributed context), is analyzed by providing to the anomaly detection system a single input. In addition, the 2D data structure is suitable to be processed by deep-learning based algorithms. The complete realization of this subsystem aims at defining an anomaly detection technique that will advance the state-of-the-art by working towards three specific objectives:

1。选择最有效的二维表示的网络流量信息;

2。深度学习的定义异常检测模型的基于二维表示交通数据;

3所示。上下文敏感的网络异常检测系统的设计与实现,利用收集的信息从一组分布式节点。

在这三个目标中,我们关注第一个在这个贡献。为此,要解决的首要问题是研究可用的数据集使用的培训阶段。事实上,即使网络安全是一个研究的话题,可用性验证数据集不遵循快速进化的攻击策略和通信系统发展的趋势。此外,使用基于深入学习分析方法需要大量的数据有效地训练网络。因此,选择要分析的数据集包含的交通数据,是一个重要的一步提出的异常检测系统的实现。这一目标,必须考虑两个关键方面:采样间隔和总时间的数据记录。采样间隔必须短,固定所有记录数据。如果采样间隔很长,事实上,假设记录数据分析利用时间窗口,为了收集足够多的样本在每个人,一个时间窗口将对应于很长一段时间,从而影响系统迅速。相反,使用较小的时间窗口将导致减少数量的样品的处理,从而削弱系统的有效性。至于总的数据记录时间,应该足够长的时间对正常和异常流量为了执行一个有效的培训和测试。 Moreover, one of the first problems to deal with is the pre-processing of the network data and the definition of its structure so that the subsequent analysis module, based on deep learning, is more effective. More specifically, the following characteristics need to be selected: 1) the traffic parameters (e.g., bytes, packets) to be used in the two-dimensional representation of the network status; 2) the protocol level at which data will be analyzed (e.g., IP layer, transport layer); 3) the data normalization model to guarantee that the resulting images have the same dynamic range; 4) the best domain representation of the 2D data (e.g., transform domain, time domain); 5) the type of information that needs to be represented for each traffic parameter (e.g., the traffic volume, the correlation between traffic patterns of different nodes).

4网络流量分析

在本节中,最有效的二维数据表示的定义。为此,执行数据集选择和四个变量是确定二维表示。这些变量是否适合异常检测将在第五节进行评估。

4.1数据集

由于上述需求,格拉纳′16数据集被选中(Macia-Fernandez et al ., 2018)。这个数据集是由两部分组成:一个校准和测试子集子集。前者包括真实背景流量和可用于训练,而第二个是结合实际背景和控制攻击流量,可以用于测试。校正子集的录音时间长达100天,有两个缺口的几个小时中记录(Macia-Fernandez et al ., 2018)。至于测试子集,数据记录了约一个月。考虑网络基础设施所示图3。执行数据捕获通过netflow探测器即将离任的网络接口上配置的边界路由器。传入和传出的探针进行收集交通。

捕获的数据被组织为每个流流和提供以下特性:时间戳的流,流的持续时间,源和目标IP地址,源和目标端口,协议,旗帜,转发状态,类型的服务,包和字节交换流。

关于攻击,以下类模拟:

•拒绝服务(DoS):

•DoS11:一对一的DoS攻击的地方一个₁攻击受害者V₂₁;

•DoS53: 5攻击者(一个₁−一个₅)攻击三个受害者。更具体地说,攻击者一个₁和一个₂攻击受害者V₂₁,攻击者一个₃和一个₄攻击受害者V_31日,攻击者一个₅攻击受害者V₄₁;

•DoS53a:遵循相同的结构DoS53但攻击顺序执行。

•端口扫描:

•Scan11:一对一的扫描攻击,攻击者一个₁扫描受害者V₄₁;

•Scan44: four-to-four扫描攻击,攻击者一个₁,一个₂,一个₃和一个₄扫描的受害者V₂₁,V₁₁,V_31日和V₄₁,分别。

•僵尸网络:攻击涉及所有二十受害者机器模拟。

攻击模拟根据两个不同的调度:调度计划,之间没有重叠的攻击,和一个随机调度重叠是可能的。此外,由于校准集是由真正的流量,虽然攻击数据没有被注入,实际可能存在异常。由于这个原因,在(Macia-Fernandez et al ., 2018),进一步分类已经完成区分正常和异常背景流量的校准设置。

在这项工作中,只有被认为是DoS和扫描攻击,只有计划调度已考虑。前者选择与僵尸网络流量是如何生成的。更具体地说,中突出显示(Macia-Fernandez et al ., 2018),产生的流量可能是不现实的,因为它没有考虑在正常一个僵尸网络流量的影响。作者强调,产生交通可以视为足够现实场景背景僵尸网络攻击流量的影响可以忽略不计,但为了定义最优二维数据表示,目前这种攻击已经排除。在这个工作我们选择只考虑随机调度以来的计划调度可能导致多个同时攻击。通过考虑到计划调度只有我们确信个体攻击存在对于每一个时间窗口,我们不仅可以分析其影响2 d表示,而且攻击之间的差异。多个当代攻击的研究将成为未来的贡献。

4.2二维交通表示

这一步的目标是获得一个2 d表示攻击存在的突出显示。因此,交通参数选择和预处理必须执行产生的二维结构元素的值对应于攻击是明显不同于其他人。此外,相关的变量行和列必须选择。在这个工作中,字节交换被认为是交通参数和源和目的地ip已经使用了索引行和列。此外,当处理一个2 d表示,定义一个重要方面是数据结构维度。更具体地说,数据是如何组织的二维结构取决于资产需要保护,威胁源,和下面的处理流程。为了定义一个distributed-context子系统可以应用在几个应用场景,保护资产被定义为子网络组成的固定数量的IP地址。这种考虑导致的定义的元素数量的维度(即。行)的二维结构。变量的定义索引其他维度选择基于数据结构是如何处理的。更具体地说,深度学习技术通常采用数据和固定尺寸。 Therefore, in order to use the source IPs as variable which indexes the columns, an IP selection procedure was needed. However, in a realistic scenario, no assumptions can be made about the attack source, and using a number of columns equal to the number of all the possible source IPs is not feasible in practice. As a consequence, we decided to split the available source IPs in subsets of fixed dimensions. Moreover, the number of source IPs in each set has been selected to be equal to the number of monitored destination IPs to obtain a squared data structure. It is useful to highlight that this design choice allows not only to detect an anomaly, but also to identify the network IP subset from which it comes from.

为了表示字节之间交换两个IP地址,还需要额外的设计选择:观测时间窗口的持续时间以及如何处理字节定义一个元素的值的二维结构。Δ指定时间间隔的时间窗口t(以秒为单位)的数据聚合计算表示变量。从第一个捕获样本相关的时间戳,可以定义Δ连续重叠的时间窗口长度t获取关联到每个时间间隔2 d表示。观测时间窗口的长度影响的异常检测方法的有效性。更具体地说,如果它是太短可能削弱攻击的可见性,而如果它太长降低了检测迅速。克服这个问题的一个可能的方法是采用并行多个窗口。至于处理,有几种选择。最简单的解决方案是计算一对节点之间交换的字节数。这个变量将被称为Σ在以下。然而,专注于交通量的选择可能导致检测高速和大容量攻击,而失去有用的信息。因此,为了定义为突出代表变量攻击的存在,详细分析了目标攻击,扫描和DoS攻击的特点将在下面讨论。

4.2.1扫描分析准备

端口扫描攻击通常会导致大量的流动相似的长度攻击者和受害者之间交换。这些攻击特性导致以下注意事项:

1。如果扫描一个受害者,不止一个流将交换的攻击者。因此,单个流在时间窗口不应该相关扫描攻击。删除单个流的贡献我们计算的字节交换的时间窗口,并减去的意思。更具体地说,意思是已经计算

在哪里N表明样品在时间窗口的数量,即。考虑数据集,流的数量,和b_我是在每个流交换的字节数。这样,单一的流动将导致一个0值,而长跑的流动将会稍微影响减法。由此产生的变量将被称为Σ_μ在下面。

2。如果受害者是扫描,流动往往是同样的长度从而导致较低的标准偏差。为了突出这一特性有可能分裂Σ_μ的标准偏差流字节。更具体地说,标准差计算

在哪里N表明样品的数量和时间窗口b_我是在每个流交换的字节数。为了避免分母为0,我们划分Σ_μ的标准偏差总结少量(即。,10⁻⁴)。这个变量将被称为Σ_μ,σ在下面。

3所示。变量Σ_μ,σ定义了基于攻击特征。然而,也正常的交通组成的一小部分流动可能会有小的标准偏差。考虑到这个问题,已经使用另一个攻击特性:大量的流动。更具体地说,变量Σ_μ,σ乘以一个流动的数量和功能,以弥补标准差趋于零,指数函数被认为是。结果变量将被显示 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 。

4.2.2 DoS分析

为了评估如果该变量Σ,Σ_μ,Σ_μ,σ和 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 适合突出异常网络行为与DoS攻击,我们执行一个分析识别的相关特性检测这种类型的攻击。为了实现这一目标,我们依靠执行的研究(唐et al ., 2020)和(阿米尔et al ., 2021)。更多的细节,在(唐et al ., 2020),作者提出一个低利率DoS检测方法利用一组特性选择基于功能和数据之间的相关性分数标签。在分析功能,提供相关性得分最高的是:数据包的总数,UDP比率(UDP流量的比例相对于总网络流量),平均流量序列的,流量序列的方差,协方差的流量序列,UDP最大,UDP和TCP范围、变异系数和平均绝对差异。更多细节可以在(唐et al ., 2020)。类似的研究一直在进行(阿米尔et al ., 2021),几个机器学习方法检测DoS和端口扫描进行了分析。更多的细节,作者进行了特征选择通过分析相关系数分数对依赖(目标变量),根据研究中执行(泰勒,19900.35),相关系数较小或等于表明相关功能不提供有用的信息。基于这样的假设,最重要的特性的分析中(阿米尔et al ., 2021):最大分组长度、最低包长度,平均数据包长度、数据包长度标准差和方差和平均段的大小。从这些结果,可以推断特性考虑定义表示变量部分4.2.1,准备即的交通量、交通的意思是,和它的标准差,也突显出相关DoS攻击的存在。此外,由于我们正在分析交通在IP水平,没有信息传输级层包括在这项工作虽然可以利用未来的贡献。强调的主要区别是很有用的对提出的方法(唐et al ., 2020;阿米尔et al ., 2021),在我们的工作特性相结合提供一个值的元素2 d数据结构。

5表示变量的评估

为了研究如果考虑变量,即Σ、Σ_μ,Σ_μ,σ和 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 允许定义一个二维表示,突显出攻击的存在,1 s被选中的时间窗口,和监控网络256 IPs的考虑。更具体地说,对于每一个攻击,测试执行了考虑监控网络的受害者被放置。此外,可用的源ip被分成256 IPs获得的平方矩阵的子集。图像的例子为DoS和扫描提供了攻击图4,5。更具体地说,这次袭击点周围是一个红色的盒子,而最大的背景像素周围是一个白色的盒子。此外,编写相应的像素值附近的盒子。

图4,5显示变量的使用Σ未能有效地突出了攻击,主要有两个原因。前者是几个非零值出现在生成的图像,后者是背景和attack-related像素显示类似的数量级因此很难检测攻击的存在。前的问题可以减轻Σ使用的变量_μ它允许通过消除非零值的数量的减少单流式样本中描述部分4.2.1。准备然而在这种情况下,由于减法的意思是,像素的值对应于攻击之间的差距变得越来越小,分离与攻击和相对应的像素相关背景交通的进一步降低。这种现象是避免使用变量Σ_μ,σ因为在这种情况下,除以标准差,像素的值对应于攻击变得更大。然而,正如数据所示,也背景像素进行大量增加,攻击和背景像素值之间的分离可能不足检测攻击。这种行为是由于这一事实,鉴于扩展有限的时间窗口,减少数量的流动可能存在背景流量。相应的标准偏差,因此,将小,造成Σ的增长_μ,σ。通过使用变量可以减轻这种影响 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ ,由于乘法函数流的数量,产生大的价值流动的数量增加时,出现在面前的攻击。图4,5表明,该变量可以显著提高攻击像素值,同时扩大攻击和背景像素之间的差距。虽然对 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 一些背景像素值增加,其实体是几个数量级小于攻击像素值。此外,图4,5显示变量 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 结果在DoS的明确划分和扫描攻击相关的像素值的两种类型的攻击是明显不同的。这不仅可以让执行攻击检测,而且攻击分类。这一现象的原因可以在变量定义过程。

为了提供定量结果的适用性的不同变量突显出攻击的存在,一天的记录已经作为示例,这次袭击的次数最大价值大于相应的背景样本计算。结果,表示为百分数,报告表1,2DoS和扫描攻击,分别。从这些结果,很明显,这个变量Σ不可靠的突出的存在对背景流量的攻击。至于其他人,通常Σ_μ,σ执行比Σ_μ。然而,在某些情况下,Σ_μ,σ执行比Σ和Σ_μ。这是由于这一事实,正如前面提到的,而Σ_μ,σ增加了攻击的像素值,它也扩大背景交通像素不会引起他们之间的差距的扩大。最后,表显示 ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 通常达到最好的性能。结果所示表1,2只允许评估时间的百分比的攻击值大于最大非攻击性的样本。为了突出显示,攻击值应该明显不同(在本例中)超过背景样本。评估的能力变量来实现这一目标,选定的天,攻击值和最大值之间的差异背景样本计算。图6- - - - - -8显示十最低的力量,中间值和最大值计算差异的DoS和扫描攻击。这些数据清楚地表明, ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 允许创建攻击和背景像素之间的显著差异,而其他变量未能这样做。因此, ${\mathrm{\Sigma }}_{\mu ,\sigma }^e$ 有资格为2 d表示变量的数据结构定义。

6结论

在这个贡献,提出了一个基于上下文的安全框架。它利用收集的信息从本地和分布式环境中检测异常的存在,并估计其原因。通过联合处理两种类型的上下文可以评估系统上检测到异常的影响,从而使选择最有效的缓解策略,也考虑到相关的成本。

在这个工作我们应用该框架对CPS的场景,重点关注分布式上下文分析。这一目标,网络流量异常检测的2 d表示已经调查并表示变量选择。初步结果显示其适用性突出存在的攻击。全面落实distributed-context构件及其集成的总体框架将成为未来的贡献。

数据可用性声明

公开的数据集进行分析。这些数据可以在这里找到:https://nesg.ugr.es/nesg-ugr16/。

作者的贡献

某人、MC和FB导致概念和设计的研究。某人执行系统的软件实现和写了初稿的手稿。所有作者导致修订手稿、阅读和批准提交的版本。

的利益冲突

作者声明,这项研究是在没有进行任何商业或财务关系可能被视为一个潜在的利益冲突。

出版商的注意

本文表达的所有索赔仅代表作者,不一定代表的附属组织,或出版商、编辑和审稿人。任何产品,可以评估在这篇文章中,或声称,可能是由其制造商,不保证或认可的出版商。

确认

研究提出了部分资助项目“CPS ISEEYOO:基于ai的网络异常检测利用2 d数据表示“帕多瓦大学的资助框架内“SID研究经费。”

引用