arXiv:2307.11079v3 通知类型: replace-cross 摘要: 基于网络的入侵检测系统（NIDS）监控网络流量以识别恶意活动，从而成为对抗不断增加的信息基础设施攻击的前线防御。尽管具前景，但我们定量分析显示，现有方法在声明各种未知攻击（例如，一种基于SVM的方法对于两种不同未知威胁的F1值分别为9%和35%）或检测各种已知攻击（例如，基于GCN的最先进的方法对于Backdoor的F1值为31%，对于DDoS的F1值为93%）方面表现不一，这揭示了其背后的原因是流量特征的纠缠分布。这促使我们提出了3D-IDS，这是一种新的方法，旨在通过两步特征解缠和动态图扩散方案来解决上述问题。具体來說，我们首先通过基于互信息的无参数优化解缠流量特征，自动解缠各种攻击的数十乃至数百种复杂特征。这些解缠的特征将被送入记忆模型生成表示，之后进一步解缠以突显特定的攻击特征。最后，我们运用了一种新的图扩散方法，该方法能够动态融合网络拓扑进行空间-时间聚合，在演化的数据流中动态融合。通过这种方式，可以在加密流量中有效识别各种攻击，包括未知威胁和难以检测的已知攻击。实验表明了3D-IDS的优势。我们还证明了我们提出的两步特征解缠方法有助于NIDS的可解释性。