31、网络攻击识别与飞机着陆排序算法风险评估技术解析

网络攻击识别与飞机着陆排序算法风险评估技术解析

网络攻击识别技术

模型参数估计

在网络入侵检测（IDA）中，首先要进行模型参数的估计。通过无监督的方式，可以得到规则前提（$p(j|x)$）的参数估计。具体做法是在满足一定条件（如似然值无或仅有轻微改善，或达到固定步数）后，通过计算训练分布的期望值来获得模型参数的点估计。

而规则结论$p(c|j)$的参数$\xi_{j,c}$则需要在有监督的第二步中获取。用$I_c$表示训练集$X$中目标类别为$c$的样本索引集，通过$p(j|c) = \int_{x\in R_c} p(j|x)dx$（其中$R_c$是与类别$c$相关的输入空间区域），可以得到最大似然估计：
$\xi_{j,c} = \frac{1}{N_j} \sum_{n\in I_c} \gamma_{n,j}$

若没有标记数据，也可以在无监督步骤后，由领域专家对组件（即规则前提）进行标记。

基于新颖性感知的知识适应

在不断变化的环境中，IDA需要能够检测到生成新规则的需求并妥善处理。当观察到当前分类规则无法覆盖的事件时，就需要新的知识，这可能是由于未知攻击等恶意行为，或者是新安装应用等合法但偏离学习模式的行为导致的。

新颖性检测

新颖性检测仅使用连续部分$x_{cont}$作为新颖性的指标，关键衡量指标是马氏距离$\Delta$。由于高斯组件$j$生成的样本$x_{cont}$到相应中心$\mu_j$的马氏距离平方$\Delta^2_j(x_{cont}, \mu_j)$近似服从自由度为$D_{cont}$的$\chi^2$分布，利用这一特性可以定义围绕每个中心$\mu_