30、网络新奇性检测与高效上下文敏感CFI执行技术-CSDN博客

在网络安全领域，网络新奇性检测和控制流完整性（CFI）机制是保障系统安全的重要手段。下面将分别介绍这两个方面的相关技术和研究进展。

在网络安全数据处理中，数据集的质量对检测结果有着重要影响。以往使用的某些数据集，如NSL - KDD数据集，存在冗余数据，可能会扭曲机器学习算法的检测结果。而CICIDS2017数据集则解决了这些问题。

一些研究提出了不同的网络入侵检测方法。有研究通过无监督和半监督方法来解决数据安全标签少或无标签的问题。半监督方法结合自动编码器和分类算法，在部分标记数据上进行训练；无监督方法则单独使用自动编码器。不过，这些方法在无监督情况下效果一般，而在半监督方法中效果较好。

还有研究使用自动编码器来检测物联网无线网络中的入侵。其通过监测连接对象产生的通信活动，将无线电活动模式编码为物联网领域特定的特征，然后用自动编码器学习正常活动以检测异常。Kitsune也是基于自动编码器的网络入侵检测系统，能够提取特征并创建动态无监督学习模型。

另外，一些研究在自动编码器的无监督输出上添加监督层。先利用自动编码器识别正常流量，再将非正常流量提供给经过标记数据训练的监督分类设备来识别攻击。但在实际生产环境中，数据量过大难以进行标记，而且这些研究的实验数据与我们使用的数据不同，难以进行结果比较。

我们提出了一种安全事件的图表示方法，强调事件之间的关系，并基于自动编码器构建了无监督技术，能在该图表示上高效检测异常。使用CICIDS2017数据集的实验表明，图结构表示安全数据结合自动编码器的方法，效果与或优于监督机器学习方法。