19、网络异常检测模型 WebAD2 与移动社交网络安全的研究

网络异常检测模型 WebAD2 与移动社交网络安全的研究

1. WebAD2 模型介绍

WebAD2 是一种两阶段异常检测模型，旨在识别网络攻击和异常情况。在第一阶段，仅利用一小部分关键特征就能识别出约 85%的攻击或异常，从而显著提升性能。第二阶段则利用所有特征对检测结果进行微调，以达到令人满意的检测精度。

2. 特征组合选择

在第一阶段选择部分特征构建模型时，需要自适应地为不同数据集选择成本效益最高的特征。不同的特征组合会产生不同的性能结果，例如：
| 特征组合 | 检测时间（s） | 准确率 |
| — | — | — |
| Num digit, Num letter, Num punctuation, Depth | 4.71 | 91.17% |
| Depth, Token, Relative Entropy | 21.55 | 94.24% |

通常，更高的准确率可能需要更长的检测时间。为了在满足准确率的前提下尽可能减少时间消耗，可以采用以下两种方法选择第一阶段的特征：
- 基于排名信息 ：如果原始数据已经进行了特征选择或提取，可以根据排名信息选择第一阶段的特征组合。
- 计算组合得分（CS） ：通过以下公式计算组合得分，以平衡准确率和时间消耗。
- (T’ = 1 - \frac{T}{T_{max}})
- (CS = \frac{1}{\frac{1}{\lambda F} + \frac{1}{(1 - \lambda)T’}} = \frac{\lambda(1 - \lamb