12、拒绝服务攻击检测与驾驶风险模糊评估

拒绝服务攻击检测与驾驶风险模糊评估

1. 拒绝服务攻击检测

1.1 分类器方法

拒绝服务（DoS）攻击检测的常见问题是缺乏对攻击的先验知识。解决此问题的有效方法是使用单类技术。这些技术从给定系统的正常行为信息中学习，当测试实例与正常操作不同时，就会检测到攻击。由于只有一类信息可用，这些方法被视为半监督方法。实现单类分类器的过程包括两个主要步骤：首先，对分类器进行训练，使其学习正常操作的模式；然后，对分类器进行评估。

1.2 单类技术

1.2.1 近似多面体集成（APE）

APE 是一种有用的边界单类分类技术，它通过计算训练集的凸包来近似训练集的边界。然而，计算凸包的计算成本较高，对于具有 n 个样本和 t 个变量的训练集，其计算成本为 O(n(t/2)+1)。为了降低计算成本，可以使用 θ 个随机投影到二维平面上，然后计算每个投影的凸包。判断新测试实例的标准是看它是否在所有 θ 个凸包内，如果在至少一个投影中测试点在凸包外，则被视为异常。此外，可以使用大小因子来提高该方法对不同数据集形状的适应性，当因子大于 1 时，边界会变宽；当因子小于 1 时，边界会变窄。

1.2.2 投影上的非凸边界（NCBoP）

虽然 APE 是确定目标集几何边界的有用方法，但它在处理非凸集时存在弱点。NCBoP 算法在不同的 UCI 数据集上表现出色，它通过非凸边界计算数据集的边界，避免了在异常点位于凸包内时的误分类。与 APE 相比，NCBoP 的性能更好，但训练时间更长，其使用取决于要学习的目标集的形状和复杂性。该技术也可以应用大小因子来避免过拟合和欠拟合问题。

1.2.3 K -