1.模型架构
模型分两步串联对数据进行判断。信息熵初步判断->深度神经网络判断。
模型结构.png
2.信息熵
2.1信息熵计算
为了方便理解信息熵的初步检测过程,假设数据样本只有两类,即:,原文香农公式中
为第
类样本发生的概率记为
。信息熵公式可以展开为:
因为只有两类
画出与
的关系图为:
样本出现概率与信息熵的关系.png
根据计算的信息熵和给定阈值对数据初步进行异常检测。
2.2原始数据处理
原文对原始连续数据进行离散化处理,将数据划分为单元,每个单元有个包,
可以反应每次分析的时间段长短,
越大分析的时间越长,反之越小,原文作者根据经验确定
。(不太理解每个包长啥样)
2.3确定分析指标
原文给出了两种信息熵的分析指标,但并没有说明两种信息熵之间计算关系,推测有几种可能:
1)每种信息熵单独与阈值比较后,只要有一种超出阈值范围及判定异常。
2)两种信息熵做的加权合并再与阈值比较,判定是否异常。
在实验部分,原文采用了第一种计算关系。
原ip地址信息熵和目标ip地址信息熵.png
通过信息熵对数据进行初步判断(原文通过实验对两种指标分别划分固定阈值)
2.4原文中可能有错误的地方
香农公式.png
文中可能错误的地方:
文中说熵值为0时,但我认为当
时,熵值应该最大。
3.特征提取和DNN检测模型
文中提取了19个特征,经过深度学习神经网络对模型进行训练,并检测。采用的比较常规的深度模型,就不分析了。
4.实验结果分析
原文对不同结构的DNN模型、其他机器学习模型、不同的输入特征和是否增加信息熵初步判定模型做了对比分析实验,并以准确度、消耗时间、占用空间等指标进行分析。
