本发明专利技术公开了一种基于
【技术实现步骤摘要】
一种基于DeepRC
‑
SHAP的DoH恶意隧道检测模型解释算法
[0001]本专利技术属于异常检测,具体涉及一种基于
DeepRC
‑
SHAP
的
DoH
恶意隧道检测模型解释算法,用于实现对
DoH
流量中恶意隧道流量检测模型的输出进行解释
。
技术介绍
[0002]由于深度学习模型可以从浩瀚如海洋的网络流中快速分析和检测不同类型的入侵和攻击,所以被成功集成到各种入侵检测相关的模型中,例如域生成算法
(DGA)、
高级持久威胁
(APT)
检测
、C\&C
检测
、
系统日志检测以及流量分析等
。
深度学习已成为推动入侵检测领域产生新进展的推动力之一
。
尽管深度学习的应用无论是从范围还是深度可能越来越多
、
越来越深,但在流量检测领域,从检测模型的训练到真实网络环境中检测模型的实际部署,其内部决策的不透明和不可解释是一个巨大的阻碍
。
与其他领域相比,在
DoH
恶意隧道检测领域,用户对基于深度学习的检测模型的透明度和可解释性提出了更高的需求
。
首先,对于流量输入样本和模型预测结果之间,检测系统如果不能给出决策过程和相对应的合理的解释,工作人员很难建立对检测模型的信任感
。
其次,面对黑盒一般的深度模型,即便是专业经验丰富的工作人员,也很难结合决策模型输出的预测对告警进行定位和及时响应
。
最后,在真实网络环境中,入侵检测系统最重要的就是提高检测率,降低误报率,如果模型的决策过程不透明,就不能根据模型输出结果对模型内部进行微调和更新
。
基于以上三点,可以看出可解释性对检测模型的重要性
。
[0003]目前,比较流行的解释算法为局部特征归因解释算法,从局部对输出样本的模型预测结果进行解释,解释的具体内容为每个输入特征值对预测结果的贡献,即将模型输出结果归因到每个特征变量
。
局部特征归因算法又可以分为两种,即模型无关的特征归因算法和特定模型的特征归因算法
。
模型无关的特征归因算法虽然可以对各种模型进行解释,包括深度学习模型,但是其存在两个缺点,由于其实现是基于采样,所以稳定性较差,其次是计算复杂度高
。
特定模型的特征归因算法从实现角度的不同,分为三种,基于梯度
、
基于反向传播和基于遮挡,这三种都可以对基于深度模型的检测模型进行解释
。
基于梯度的归因算法通过计算每个输入特征的梯度来计算其对预测输出的贡献值
。
基于反向传播的归因算法通过计算神经网络中每一层神经元的特征重要性,并对特征重要性进行反向逐层传播,来得到每个输入特征对预测输出的贡献值
。
基于遮挡的归因算法通过遮挡输入特征中的部分特征来计算其他特征对预测输出的贡献
。
基于梯度的归因算法容易受到噪声和模型结构的影响,如果输入特征本身存在噪声,或者神经网络的结构过于复杂,存在大量参数,那就就会影响归因算法的忠实度和稳定性
。
基于反向传播的归因算法会忽略神经元之间的相互作用,导致分配预测输出的贡献时低估某些输入特征,高估某些输入特征
。
基于遮挡的归因算法的优点是可以处理输入特征之间的相互作用,但是需要对每个输入特征进行遮挡,计算复杂度高
。
[0004]针对以上归因算法存在的问题,本专利提出了基于
DeepRC
‑
SHAP(Deep Reveal Cancel
‑
SHapley Additive exPlanation)
的
WSDBN
模型解释算法
。DeepRC
‑
SHAP
解释算法对
WSDBN
‑
FNN
检测模型的解释可以分为两步,第一步是从训练集中选择部分样本作为基线参考样本,测试集中选择部分样本作为待解释样本,使用本专利提出的
DeepRC
‑
SHAP
算法计算待解释样本特征的
Shapley Value(
贡献值
)
,第二步对计算出的
Shapley Value
进行累加,得到影响检测模型输出的特征重要性排序,结合特征值的分布
、Shapley Value
的正负对检测模型进行全局解释
。
本专利在
DeepSHAP
模型中引入
DeepLIFT
算法的
RevealCancel
规则,提出了
DeepRC
‑
SHAP
算法
。DeepRC
‑
SHAP
算法灵活选择基线参考样本,将输入特征向量分为正负向量计算特征贡献值,缓和非线性神经元相互作用对计算特征贡献值的影响,实现对
Shapley Value
算法的近似,得到每个特征对检测模型输出的
Shapley Value。
[0005]综上所述,设计一种基于
WSDBN
的
DoH
恶意隧道检测方法具有必要性
。
技术实现思路
[0006]本专利技术目的在于针对
DoH
恶意隧道检测模型缺乏可解释性的问题,提出基于
DeepRC
‑
SHAP
的
WSDBN
‑
FNN
模型解释算法
。
在
DeepSHAP
模型中引入
DeepLIFT
算法的
RevealCancel
规则,提出了
DeepRC
‑
SHAP
算法
。DeepRC
‑
SHAP
算法灵活选择基线参考样本,将输入特征向量分为正负向量计算特征贡献值,缓和非线性神经元相互作用对计算特征贡献值的影响,实现对
Shapley Value
算法的近似,得到每个特征对检测模型输出的
Shapley Value。
实验结果显示,解释算法
DeepRC
‑
SHAP
与其他算法相对比,在忠实度
、
复杂性
、
稳定性
、
随机化的评价指标上表现较好
。
最后使用
DeepRC
‑
SHAP
解释算法从局部单样本和全局模型的角度对检测模型进行解释
。
[0007]本专利技术采用的技术方案包括以下步骤:
[0008]步骤
1、
选本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于
DeepRC
‑
SHAP
的
DoH
恶意隧道检测模型解释算法,其特征在于其步骤如下:步骤
1、
使用收集的
DoH
流量训练两层
DoH
恶意隧道检测系统;步骤
2、
从数据集中选择背景数据集和待解释的样本;步骤
3、
使用
DeepRC
‑
SHAP
解释算法对检测模型的输出结果进行解释,计算特征贡献值;步骤
4、
根据特征贡献值给出局部贡献和全局贡献
。2.
根据权利要求1所述的一种基于
DeepRC
‑
SHAP
的
DoH
恶意隧道检测模型解释算法,其特征在于:在
DeepSHAP
模型中引入
DeepLIFT
算法的
RevealCancel
规则,提出了
DeepRC
‑
SHAP
算法;
DeepRC
‑
SHAP
算法灵活选择基线参考样本,将输入特征向量分为正负向量计算特征贡献值,缓和非线性神经元相互作用对
...
【专利技术属性】
技术研发人员:杨彦兵,辛银程,陈彦如,李亚洁,林承毅,易笑澜,李佳壕,陈俊任,陈良银,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。