50、基于堆叠LSTM的时间关键型汽车网络异常检测

基于堆叠LSTM的时间关键型汽车网络异常检测

1. 偏差计算与模型协同检测

在异常检测中，为避免信号偏差正负相抵导致误判，采用了三种不同的偏差计算方式将向量降为标量值：
- 偏差总和 ：
[
\Delta_{m,t}^{sum} = \sum_{i = 1}^{k_m} |\Delta_{m,t}|, \forall i \in [1, k_m]
]
- 偏差平均值 ：
[
\Delta_{m,t}^{avg} = \frac{1}{k_m} \sum_{i = 1}^{k_m} |\Delta_{m,t}|, \forall i \in [1, k_m]
]
- 最大偏差 ：
[
\Delta_{m,t}^{max} = \max(|\Delta_{m,t}|), \forall i \in [1, k_m]
]

同时探索了四种偏差度量方式以确定最优方法。预测器模型能预测正常样本的小偏差和异常样本的大偏差，单类支持向量机（OCSVM）在构建超球体时会考虑预测器的这一特性。当包含异常的测试数据输入到OCSVM时，它通常能正确地将正常样本（图中黄色点）分类到超球体内，将异常样本（图中红色点）分类到超球体外，预测器和检测器模型协同工作以检测网络攻击异常。

2. 模型测试流程

在模型测试阶段，会向LATTE框架提供包含代表多种攻击的异常样本和正常样本的测试数据集。正常消息标签值为0，攻击或异常消息标签值为1。具体步骤如下：
1. 每个