異常檢測：MS-LSTM閱讀筆記

一、文章簡介

名稱：《MS-LSTM: a Multi-Scale LSTM Model for BGP Anomaly Detection》

時間：2016年

期刊：2016 IEEE 24thInternational Conference on Network Protocols (ICNP)

二鸳谜、論文總結(jié)

2.1 論文目的

? ? 使用LSTM對BGP流量進(jìn)行異常檢測挪蹭。

2.2 寫作動機(jī)????

? ? 前人采用簽名、統(tǒng)計(jì)赠涮、機(jī)器學(xué)習(xí)等方法進(jìn)行BGP流量異常檢測有很多不足：（1）所有方法通常都會選擇當(dāng)前的流量特征來做出決定子寓，而與流量數(shù)據(jù)的時間序列無關(guān)，因?yàn)闀r間序列分析會帶來額外的影響笋除；（2）基于統(tǒng)計(jì)的技術(shù)假設(shè)數(shù)據(jù)集遵循一定的分布斜友，并且需要領(lǐng)域知識，例如閾值參數(shù)垃它。但是鲜屏，規(guī)則流量是隨機(jī)的烹看，因此很難確定流量模型的固定參數(shù)。因此墙歪，基于統(tǒng)計(jì)的技術(shù)在實(shí)際使用中并不實(shí)用听系。

? ??建議采用長期短期記憶（LSTM）模型進(jìn)行BGP異常檢測。我們發(fā)現(xiàn)BGP流量的時間序列在不同的時間尺度上表現(xiàn)出不同的不同模式虹菲。選擇適當(dāng)?shù)臅r標(biāo)可以幫助分類模型更好地執(zhí)行靠胜。基于此觀察毕源，我們將時標(biāo)屬性整合到LSTM模型中（本文中稱為MS-LSTM模型）浪漠，并驗(yàn)證其在多個時標(biāo)中的性能。

2.3 實(shí)現(xiàn)思路

??? 輸入：前N個流量 $x_{t_{1}}$ , $x_{t_{2}}$ , ...., $x_{t_{n}}$ 霎褐；

? ? 輸出：第 $x_{t_{n+1}}$ 個流量狀態(tài)（是否異常）址愿。

（1）數(shù)據(jù)預(yù)處理

? ? 假設(shè)窗口長度為 $e$ ，狀態(tài) $x_{t_{n}}$ 與子序列 $S_{n}=(x_{t_{n-e+1}},x_{t_{n-e+2}},…冻璃，x_{t_{n}})$ 相關(guān)聯(lián)响谓；每個子序列 $S_{n}$ 被時間尺度 $p$ 壓縮， $S_{n}=(d_{1},d_{2},…,d_{e/p})$ 省艳；

? ?? $d$ 是 $S_{n}$ 中 $p$ 個樣本的平均值娘纷， $d_{1}=1/p(x_{t_{n-e+1}}+x_{t_{n-e+2}}+…+x_{t_{n-e+p}})$ 。

這樣就得到 $n-e+1$ 個訓(xùn)練數(shù)據(jù)集 $S$ 跋炕，每個數(shù)據(jù)集標(biāo)簽與最后一個向量的狀態(tài)相同赖晶， $L(S_{n})=L(X_{t_{n}})$ 。

（2）構(gòu)建MS-LSTM分類模型

LSTM memory cell結(jié)構(gòu)

? ? 讓 $S$ 作為memory cell的輸入辐烂， $C_{t^, }$ 表示cell狀態(tài)遏插， $h_{t^,}$ 表示時間為 $t^,$ 時輸出門的值， $W_{f}$ ?, $W_{c}$ , $W_{o}$ , $U_{i}$ , $U_{f}$ ?, $U_{c}$ , $U_{o}$ , $V_{o}$ 代表權(quán)重矩陣纠修， $b_{i}$ , $b_{f}$ , $b_{o}$ 是偏差向量胳嘲。

LSTM分類圖

?? ??LSTM網(wǎng)絡(luò)的關(guān)鍵是能夠向單元狀態(tài)添加或刪除信息，該功能由稱為門的結(jié)構(gòu)來控制扣草。門就像過濾器一樣胎围，使可選信息通過。它們由S型神經(jīng)層組成德召，其輸出在0到1之間。上圖汽纤，我們可以看到一個LSTM cell有三個這樣的門來控制信息上岗。通過LSTM，信息被傳輸蕴坪，過濾肴掷，合并敬锐，最后將整體消息輸出到下一個存儲單元。

? ? 步驟如下：

-?丟棄多余的舊信息：

公式1

- 存儲有用的新信息：

公式2

-?更新單元狀態(tài)：

公式3

-?下一個存儲單元的輸出：

公式4

文章使用的LSTM模型由一個LSTM層呆瞻，一個平均輪詢層和一個Logistic回歸層組成台夺。在平均池化層中對輸出門值 $h_{1}$ ， $h_{2}$ 痴脾，...颤介， $h_{t}^,$ 進(jìn)行平均，并得出新的 $h$ 赞赖。 Logistic回歸層是一個二進(jìn)制分類層滚朵，它訓(xùn)練 $h$ 和 $label$ 的損失函數(shù)。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末前域，一起剝皮案震驚了整個濱河市辕近，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌匿垄，老刑警劉巖移宅，帶你破解...
沈念sama閱讀 218,284評論 6贊 506
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異椿疗，居然都是意外死亡漏峰，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,115評論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門变丧，熙熙樓的掌柜王于貴愁眉苦臉地迎上來芽狗，“玉大人，你說我怎么就攤上這事痒蓬⊥妫” “怎么了？”我有些...
開封第一講書人閱讀 164,614評論 0贊 354
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵攻晒，是天一觀的道長顾复。經(jīng)常有香客問我，道長鲁捏，這世上最難降的妖魔是什么芯砸？我笑而不...
開封第一講書人閱讀 58,671評論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮给梅，結(jié)果婚禮上假丧，老公的妹妹穿的比我還像新娘。我一直安慰自己动羽，他們只是感情好包帚，可當(dāng)我...
茶點(diǎn)故事閱讀 67,699評論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著运吓，像睡著了一般渴邦。火紅的嫁衣襯著肌膚如雪疯趟。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,562評論 1贊 305
城市分裂傳說
那天谋梭，我揣著相機(jī)與錄音信峻，去河邊找鬼。笑死瓮床，一個胖子當(dāng)著我的面吹牛盹舞，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播纤垂，決...
沈念sama閱讀 40,309評論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼矾策，長吁一口氣：“原來是場噩夢啊……” “哼！你這毒婦竟也來了峭沦？” 一聲冷哼從身側(cè)響起贾虽，我...
開封第一講書人閱讀 39,223評論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤，失蹤者是張志新（化名）和其女友劉穎吼鱼，沒想到半個月后蓬豁，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,668評論 1贊 314
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡菇肃，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,859評論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年地粪，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片琐谤。...
茶點(diǎn)故事閱讀 39,981評論 1贊 348
活死人
序言：一個原本活蹦亂跳的男人離奇死亡蟆技，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出斗忌，到底是詐尸還是另有隱情质礼，我是刑警寧澤，帶...
沈念sama閱讀 35,705評論 5贊 347
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布织阳，位于F島的核電站眶蕉，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏唧躲。R本人自食惡果不足惜造挽，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,310評論 3贊 330
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望弄痹。院中可真熱鬧饭入，春花似錦、人聲如沸肛真。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,904評論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽毁欣。三九已至庇谆，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間凭疮，已是汗流浹背饭耳。一陣腳步聲響...
開封第一講書人閱讀 33,023評論 1贊 270
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留执解，地道東北人寞肖。一個月前我還...
沈念sama閱讀 48,146評論 3贊 370
代替公主和親
正文我出身青樓，卻偏偏與公主長得像衰腌，于是被迫代替她去往敵國和親新蟆。傳聞我的和親對象是個殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,933評論 2贊 355