基于生成式零样本学习的未知恶意流量分类方法
2023-04-29王正文王俊峰
王正文 王俊峰
摘 要 :未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.
关键词 : 零样本学习; 未知恶意流量; 生成对抗网络; 对比学习
中图分类号 :TP39308 文献标识码 :A DOI : 10.19907/j.0490-6756.2023.042003
Unknown malicious traffic classification method based on generative Zero-shot learning
WANG Zheng-Wen, WANG Jun-Feng
(College of Computer Science, Sichuan University, Chengdu 610065, China)
Unknown malicious traffic is a major security challenge for network security, and the classification of unknown malicious traffic can enhance network threat identification and guide network defense strategies. the lack of unknown malicious samples cannot meet the need of existing deep learning methods for large amount of data. To address this problem, we propose a generative zero-shot learning based method for classifying unknown malicious traffic. The key malicious traffic information is extracted from the original network traffic and transformed into two-dimensional images, and the attribute information of malicious traffic is proposed as auxiliary semantic information to generate class samples using conditional adversarial networks. In this paper, we also add a class-level comparative learning network to generate class samples with higher quality and more differentiation between classes. The experimental results show that the average accuracy of this method can reach more than 90% in the classification problem of unknown malicious traffic. It has high application value.
Zero-shot learning; Unknown malicious traffic; Generative adversarial network; Contrastive learning
1 引 言
近年来,计算机网络技术给人们的生活带来了巨大便利,同时,也产生了一系列的安全威胁.现有的入侵检测方法大多依赖于历史的流量数据集,通过提取历史流量的特征作为恶意流量的检测指导.在实际检测中,如果恶意流量的种类曾经出现在历史流量数据集中,那么通过先前所获得的流量特征,对后续的流量可以获得很好的检测结果.例如Gu等人 [1]通过统计包的大小、协议处理时间和到达时间三种数据,来对数据包进行快速分类.Alshammari等人 [2]从加密流量中提取了20种流统计特征,然后利用机器学习算法来进行流量的检测识别,获得了不错的结果.Wang [3]把二进制的网络流看作是图片的像素组成,然后用在图像上分类检测的方法来进行流量分类检测.Wang等人 [4]提出基于流特征和图神经网络特征的方法来解决僵尸网络的检测问题,可以达到99%的准确率.上述方法都是基于过去已有的历史数据集对在历史数据集中出现过的恶意流量进行检测,取得了比较好的结果.但是攻击者为了成功进行攻击,不断地改变他们的攻击行为,更改攻击工具,这就导致了新类型的攻击流量不断产生.这些新的流量类型在历史流量数据集中并未出现过,导致现有的入侵检测方法准确性下降甚至无法检测出新出现的攻击流量.这使得个人或者企业面临着严重的网络安全威胁.
未知攻击因其未知性非常容易突破入侵检测系统,从而造成较大的威胁 [5],所以对于未知的攻击识别检测逐渐成为网络安全领域的重点研究内容 [6-7].按照是否对未知的类别进行分类,对未知恶意流量的检测可以分成基于开集识别 [8,9]和基于零样本学习 [10]两类.基于开集识别的方法可以检测到未知攻击,但是不能判断未知的具体类别,不能为后续措施提供更多的信息.基于零样本学习的方法利用语义信息,可以实现未知恶意流量的类别分类检测.但是在未知恶意流量领域,对于语义信息,大部分的研究者通过相关威胁情报网站搜集到的对于未知攻击的描述作为语义信息,搜集到的语义信息的好坏和处理方式也会影响到检测的结果,导致没有统一的标准和对比指标.同时,零样本学习利用语义信息作为辅助信息去检测未知的恶意流量类别,也存在准确率低的问题.
因此,本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.该方法通过从原始的网络流中提取流量特征,并转化为二维灰度图像.把恶意流量属性信息作为语义信息,利用深度卷积生成对抗网络结合对比学习方法,生成高质量的未知恶意流量特征,再利用生成的未知恶意流量特征来作为未知恶意流量的特征表示,使得该方法能够对真实的未知恶意流量进行分类识别,是一种解决网络流量中的未知恶意流量分类难题的方法.
2 相关工作
2.1 未知恶意流量攻击检测
在真实网络环境中,新出现的未知恶意流量样本往往难以收集,并且随着时间推移,不断有新类型的未知恶意流量出现.如果新类型的未知恶意流量突然出现在当前系统中,一般情况下,由于当前系统之前没有获得相关的类型样本实例,也就没有对新类型恶意流量采取相关的防护措施,就会导致恶意流量成功入侵系统.许多学者也意识到了这个问题,并开展了相关的研究.Saied等人 [11]提出了一种采用人工神经网络(ANN)的方法,在该方法中,把已知的DDOS攻击作为训练集;然后对未知的DDOS攻击进行检测;最后可以达到98%的灵敏度.但是这个方法的缺点在于它只能识别单一的DDOS流量攻击,对于其他类型的流量攻击,它无能为力.Sun等人 [12]提出基于攻击路径的概率方法并实现了一个名为ZePro的原型系统.该方法可以检测到未知攻击,但是该方法需要大量的攻击信息,如果恶意流量是加密流量,那么仅包含少量信息,无法获得好的效果.Duessel等人 [13]提出在统一的特征空间中整合有效载荷的句法和顺序特征,为网络入侵的上下文感知检测提供了很好的解决方案.但是该方法没有考虑到现有的小样本学习的迁移过程去实现更高的准确性.Zhang等人 [14]通过组合受监督和无监督的机器学习提出了一种新的鲁棒统计流量分类(RTC)方案.RTC方案具有对未知网络流量分类的能力.但是该方法存在较大的假阳率.Rivero等人 [15]提出推理阶段算法,首先利用决策树来提取生成属性的规则,然后将不可见类作为格拉斯曼流形的一个点,最后通过计算已知类和未知类之间的距离来检测未知类,这是零样本学习概念在未知攻击检测的早期应用.Zhang等人 [16]通过收集的攻击描述信息,利用自然语言处理方法,作为恶意流量的语义属性,然后基于零样本学习方法提出将已知恶意流量特征空间映射到语义属性空间,进行特征空间关联,建立特征空间到语义空间的映射,以此来分类检测未知的恶意流量.但该方法的效果比较依赖于人工收集到相关恶意流量攻击的语义描述的质量,以及对相应语料的处理方法.
2.2 零样本学习
在监督分类中,每类都需要足够数量的含有标签的样本,并且学习好的分类器只能分类在训练集当中出现过的类别.在实际应用中,有些类别可能并没有足够多的训练实例,甚至可能出现训练集中没有出现的类别实例却在测试集中出现的情况.面对这种情况,普通的监督分类学习无法取得良好的结果.为了解决这类问题,提出了零样本学习 [17]的概念.零样本学习的目标是对没有标记的真实类别实例进行正确分类.零样本学习自从提出以来 [ 18,19],在机器学习领域快速发展,已经在机器视 觉,自然语言处理方面得到广泛应用.网络安全领域中的未知类别问题,是为了对未知的类别进行检测并进行正确归类,可以通过零样本来研究相关问题,因此,本文所研究内容在零样本的概念下进行研究.
在零样本学习中,定义 S={ c s i|i=1,..., N s} 作为已知类别集合, c s i 表示已知类别.定义 U= c u j|j=1,..., N u 作为未知类别集合, c u j 表示未知类别.那么 S∩U= .定义 D tr={( x tr i, y tr i)∈X×S} N tr i=1 作为含有标签的已知类训练集合. x tr i 为表示样本特征空间的样本实例, y tr i 为对应所属已知类别标签.定义 X te= x te i∈X N te i=1 为测试样本实例集合, x te i 为表示样本特征空间的样本实例.定义 Y te= y te i∈U N te i=1 作为 x te i 对应的未知类别标签.在给定 D tr 属于集合 S 的条件下,零样本的任务就是学习一个分类器 f u(·):X→U ,该分类函数可以正确的分类 X te 到类别 U 中.
在未知恶意流量分类检测问题中,未知类别的真实流量样本无法参与训练,在分类检测阶段,却会面临真实的未知恶意流量.这种情况与零样本的定义相对应,某些类别在训练集中不存在,在测试集中却出现相应类别.因此,使用零样本的相应概念来划分未知恶意流量分类问题是可行的.
3 未知恶意流量分类方法
本节介绍基于生成式零样本学习的未知恶意流量分类方法.该方法通过从原始流量中提取出流量样本图像特征,利用样本图像特征和流量属性,结合对比学习的生成对抗方法以及使用生成网络生成的未知恶意流量特征,以实现对于未知网络恶意流量的准确分类.
3.1 方法概述
原始网络流量数据中包含着大量的载荷数据,为了能够高效地抽取网络流量的特征,本文提出从网络流中截取网络流量特征的关键表示部分.为了更高效地进行特征表示,将抽取出来的原始网络流量转换为二维灰度图像作为网络流的特征表示.结合恶意流量的属性特征,利用生成对抗网络生成恶意流量的流量特征表示.同时,为了使得生成对抗网络生成的不同种类之间的恶意流量区分度更高,本文提出在生成对抗网络中结合对比学习方法,来提高生成的恶意流量特征的质量.然后利用未知恶意流量的属性特征,结合在上一阶段训练完成的生成对抗网络模型生成各个类别的未知恶意流量的流量特征.最后利用生成的未知恶意流量特征来训练恶意流量分类器,使得对于未知恶意流量的分类难题变成一个普通的监督学习问题.最终使得恶意流量分类器能够对未知恶意流量进行分类检测.整体流程如图1所示.
3.2 原始流量数据处理
以源IP地址,源端口,目的IP地址,目的端口和传输层协议这五个信息可以唯一的确定一个网络流.一个网络流中往往包含多个数据包,一次攻击行为通常由多个数据包完成.一个数据包中包含多个层次的头部和载荷数据.数据链路层(MAC)通常包含14字节头部,网络层(IP)通常包含20字节头部.网络传输层(TCP)包含20字节头部.而关于应用层,不同协议头部长度不是固定的.因此,每个包可通过截取一定长度获得包的头部字段,为了便于后续处理,本文每个包截取前64字节内容.在一个网络会话流中,通常包含多个数据包,会话流中的前几个数据包中通常包含了整个流的特征.因此,在本文提出的方法中,对恶意网络流量的检测以网络会话流作为基本单位.综上所述,在规范输入的维度同时获取网络会话流中的关键特征表示,我们截取了一个网络会话流中的固定个数网络数据包中的关键数据部分作为当前网络会话流的表示.在本文提出的方法中,对一个网络会话流中包含的多个数据包,选取网络会话流中的前8个数据包,每个数据包截取前64个字节的数据内容.最后每个网络会话流当中获得512字节的数据内容,每一个字节的取值范围为0到255.为了使得特征表示更加高效,将这512字节的数据内容转化为二维灰度图像.将生成的二维灰度图像作为当前网络流的特征表示.如图1a所示.
3.3 未知恶意流量生成
在本方法中,定义 Y s 为已知恶意流量类别集合.定义 Y u 为未知类别集合,满足 Y s∩ Y u= .定义 D tr= x 1, y 1 ,..., x N, y N , x i∈X 为恶意流量样本实例, y i∈ Y s 为已知样本标签.定义测试集为 D te= x N+1,..., x N+M 为没有标签的恶意流量样本实例,在零样本条件下,测试集合 D te 只包含未知恶意流量样本实例,在广义零样本条件下,测试集合 D te 即包含已知类别恶意流量样本,又包含未知类别恶意流量样本.定义 A={ a 1,..., a s, a s+1,..., a s+u} 为描述恶意流量的属性, a,..., a s 为与 Y s 相对应的已知类别属性, a s+1,..., a s+u 为与 Y u 对应的未知类别属性.
为了将未知恶意流量分类检测的难题转化为普通的监督分类学习问题,本文提出基于生成式的零样本学习方法.即结合现有的恶意流量属性和已知类别的恶意流量,生成未知恶意流量特征.因此在具体结构中,本文使用生成对抗学习的方法.同时在生成对抗学习方法中,为了构建流量属性空间和流量特征空间的对应关系,我们使用条件生成对抗网络(CGAN) [20].将流量属性特征作为条件信息形成训练过程中的条件约束.在流量属性和高斯噪声 ∈~瘙 綃
(0,1) 的联合条件下,流量特征生成方法学习一个条件生成网络,用来在属性条件 a 的条件下生成对应类别的样本特征 x =G(a,∈) .而鉴别网络则用于判断 (x,a) 和 ( x ,a) 为生成的样本特征还是真实的样本特征.因此生成网络希望根据 a 生成尽可能接近真实的 x 使得鉴别网络对 x ,a 判断为真,而鉴别网络则希望能够鉴别出 x,a 为真,而 x ,a 为假.最终希望生成的 x 与真实的 x 分布一致.因此,生成对抗网络的损失函数可表示为:
(1)
其中, p(x,a) 为真实流量样本特征和对应类别的流量属性特征的联合分布; pG( x ,a) 为生成的流量样本特征和对应类别的流量属性联合分布; D 为生成网络; G 为鉴别网络; D(x,a) 为真实流量判断结果; D( x ,a) 为生成流量的判断结果.
在本文提出的方法中,为了提高生成的流量特征的质量,增加不同类别流量特征之间的区分度,我们在条件生成对抗网络的基础上结合对比学习方法 [21].为了增加类别之间的距离,加入类级别的对比学习方法,我们定义了一个比较网络 C ( x , a )来表示真实样本 x 或生成样本 x 与所属类别的属性 a 之间的相似度.在训练阶段,由零样本的定义可知,训练集中只有已知类别.因此,对任一样本 x ,有唯一对应类别属性 a ,也就是说 (x,a) 可以作为对比学习中的正样本对.而已知类别 S 类中,剩下的 S-1 类对应的属性 a 与样本 x 构成对比学习当中的负样本对.因此,该对比方法的交叉熵损失如下.
l x, a + =- log exp C x, a + /τ ∑ S s=1exp C x, a s /τ (2)
其中, S 为已知类别数量; C 为对比网络; a + 为与 x 对应的属性; a s 为包含对应属性在内的所有类别属性; τ 是温度系数,并且 τ>0 ,温度系数用于决定对比损失中对困难负样本的关注程度.损失函数中,分子为正样本,分母为对所有样本求和,所有样本包含正样本和负样本.通过对比学习方法,将正样本的距离拉近,正样本和负样本的距离拉远.增大类别流量之间的区分度.对比学习的期望损失函数如下.
(3)
综上,本文中所提出方法的最终损失函数如下.
min G,C max D V(G,D)+L(G,C) (4)
本文提出网络结构如图1b所示,以条件生成对抗网络为基础,在此基础上,定义了对比学习网络,以生成对抗网络损失和对比学习损失作为整个学习过程的损失.使用恶意流量属性和恶意流量特征,来构建之间的对应关系.最后利用条件生成网络在不同类别的属性条件下生成未知恶意流量特征表示.
3.4 未知恶意流量检测
在上文中,我们提出以条件生成网络为基础结合对比学习的网络结构,用来建立恶意流量属性空间和恶意流量特征空间的关系.在此基础上,我们可以利用未知恶意流量属性结合条件生成网络生成未知恶意流量特征表示.在得到未知恶意流量的特征表示过后,对于未知恶意流量的分类检测难题则变成了普通的监督分类问题.我们只需要构建恶意流量分类器即可对真实的未知恶意流量进行分类检测.为了充分利用在上一节网络中蕴含的信息,我们将对比网络部分的嵌入网络作为恶意流量分类网络的部分网络结构.最后,利用这些生成的未知恶意流量特征训练分类器,即可对真实的未知恶意流量进行分类检测.最终,对于未知恶意流量分类的难题变为普通的分类问题.
4 实 验
4.1 实 验
4.1.1数据集 为了验证本文方法的有效性,我们选择CICIDS2017数据集对本文提出的方法进行实验验证.该数据集的流量数据采集于真实环境,并且来自不同的时间段,主要包括FTP,SSH,DoS,HeartBleed,WebAttack,Infiltration,Bot,Portscan和DDos这几类恶意流量.与NSL_KDD等传统的数据集相比,CICIDS2017数据集包含原始恶意流量数据,同时,CICIDS2017数据集中包含最新的常见攻击类型,更符合真实的网络环境.由于HeartBleed和Infiltration在其中数量很少,属于小样本,为了实验设置样本数量的平衡性,去除HeartBleed,Infiltration这两种样本量比较少的类别,剩下的7个恶意流量类别作为实验类别.与一般的零样本学习采用自然语言描述中提取的向量作为辅助属性特征不同,本文方法采用自动化工具生成的统计特征作为辅助属性,使得方法效果不会因为自然语言描述内容和信息提取方法的不同而受到影响.
零样本学习分为传统零样本学习和广义零样本学习 [22].在传统零样本学习中,测试集合中的测试类别只包含在训练集中未出现过的类别.在广义零样本学习中,测试集合中除了在训练集合中未出现的类别外,还有在训练集合中出现过的类别.因此,在本文的实验中,在零样本的实验条件下,数据集的划分如表1所示.训练集和测试集的类别没有交集.在广义零样本的实验条件下,数据集的划分如表2所示,在训练集中存在的类别同时在测试集中也存在.
4.1.2 评价指标与对比方法 本文采用精确率( Precision )、召回率( Recall )、 F 1分类( F1-score )、准确率( Accuracy )来评估方法的有效性,计算公式为
Precision= TP TP+FP (5)
Recall= TP TP+FN (6)
F1-score=2× Precision×Recall Precision+Recall (7)
Accuracy= TC TC+FC (8)
其中, TP 表示当前类的预测类别与真实类别一致; FP 表示预测类别为当前类别,但是真实类别为其他类别; FN 预测类别为其他类别; TC 表示整体分类中,正确分类数; FC 表示整体分类中,错误分类数目.
本文方法基于零样本学习,为了与本文方法进行对比,我们将经典的零样本学习方法(Label-Embedding for Attribute-Base,ALE) [23]作为对比方法.此外,我们还将SAE(Semantic Autoencoder) [24]方法用于对比,在该方法基础之上,有许多研究者使用该方法变形结构用于未知攻击分类检测 [25].
4.2 恶意流量分类实验
4.2.1 传统零样本未知恶意流量分类 在传统零样本条件下,训练集中只有已知类别的恶意流量样本与对应标签,在测试集中只有未知类别的恶意流量样本,对原始网络流量处理后进行划分,流量划分情况如表1所示.七类流量中,FTP、SSH、DOS和WebAttack作为已知恶意流量.Bot、PortScan和DDoS作为未知恶意流量类别,各类样本具体数量如表1所示.
在该数据集划分情况下,我们进行了传统零样本条件下的未知恶意流量分类检测实验.在训练阶段,使用训练集数据去训练网络模型.在生成阶段,利用训练好的生成器结合未知类别的语义属性来生成未知类别的恶意流量样本.然后利用生成的未知恶意流量样本训练检测器.在测试阶段,在如表1划分的测试集上进行测试.
实验结果如表3所示.在精准率上,我们提出的方法在三种未知类别上都超过了95%,SAE方法在PortScan和DDoS上超过了95%,但是在Bot上精准率只有55%.而ALE在PortScan和DDoS上精准率不超过85%.在召回率上,我们提出的方法在三个未知类别都超过了95%.ALE方法在PortScan和DDoS上超过了95%,但是在Bot类别上召回率只有0.03%.SAE方法在Bot和PortScan上超过了95%,在DDoS上只有69%.从 F 1分数上来看,本文提出的方法在三类未知样本上都取得最好的结果,优于另外两种方法.在准确率上,我们提出的方法比ALE方法高15%,比SAE方法高12%.在传统零样本条件下,我们的方法比另外两种方法表现更好.因此,我们提出的方法能够很好地解决传统零样本条件下未知恶意流量分类检测问题.
4.2.2 广义零样本未知恶意流量分类 在传统零样本条件下,测试数据集中只包含未知的恶意流量类别.在真实的网络环境中,通常已知恶意流量伴随着未知恶意流量一起出现.因此,在分类检测未知恶意流量的同时,对已知恶意流量进行分类同样也很重要.所以除了进行传统零样本实验以外,我们同样进行了广义零样本实验.在广义零样本实验中,训练集类别与传统零样本实验中设置一样,只包含已知恶意流量类别.但是在测试集中,除了包含未知恶意流量类别样本外,还包含了已知恶意流量类别样本.在广义零样本实验条件下,数据集的划分情况如表2所示.七类流量中,FTP、SSH、DOS和WebAttack作为已知恶意流量.Bot、PortScan和DDoS作为未知恶意流量类别.
同样,在广义零样本实验中,在训练阶段,利用已知流量类别样本和恶意流量属性结合生成对抗网络和比较网络进行学习.在生成阶段,使用生成对抗网络中的生成器结合未知恶意流量类别的属性特征,生成对应类别的未知恶意流量特征,然后用生成的未知恶意流量特征与真实的已知恶意流量特征一起训练恶意流量分类检测器.在测试阶段,测试数据划分如表2所示.使用真实的已知恶意流量和真实的未知恶意流量检验方法效果,实验结果如表4所示.
表4中,在精准率上,ALE方法只有FTP超过了90%,在Bot和DDoS上精准率为0.SAE方法中,有4类的精准率超过了95%,但是有3类的精准率接近0.而我们提出的方法除了DDoS的精准率为76%,其余各类精准率都在90%以上.在召回率上,ALE方法有4类超过了95%,而有3类召回率接近0.SAE方法中,有3类召回率超过85%,3类接近0.而我们提出的方法中有5类超过90%,2类超过80%.在 F 1分类中,ALE方法中仅有1类超过了90%,SAE方法也只有1类超过了90%,而我们提出的方法中有4类超过了90%,3类超过了85%.而在准确率上,ALE的平均准确率降为53%,SAE的平均准确率只有24%,而我们提出的方法仍然能够保持93%的准确率.在更接近真实环境的广义零样本条件下,相比与零样本条件下的实验, ALE方法和SAE方法对已知类别的恶意流量分类检测效果都下降严重,而我们提出的方法仍然能够保持良好的效果.由此可见,我们提出的方法能够解决未知恶意流量的分类检测问题.
5 结 论
在本文中,我们提出了一种基于生成式零样本学习未知恶意流量分类方法.为了更好地抽取恶意流量的特征,我们提出以数据流为单位,抽取固定长度的数据并转化为二维灰度图像作为数据流的流量特征表示.通过条件生成对抗网络结合流量属性特征生成未知恶意流量特征,同时为了提高生成质量,在生成网路中加入对比网络,最终利用生成的未知恶意流量特征将未知恶意流量检测问题变成了普通的分类问题.实验结果表明,本文提出的方法对于未知恶意流量的分类具有良好的表现.
参考文献:
[1] Gu R, Wang H, Sun Y, et al . Fast traffic classification using joint distribution of packet size and estimated protocol processing time[J]. IEICE T Inf Syst, 2010, 93: 2944.
[2] Alshammari R, Zincir-Heywood A N. Machine learning based encrypted traffic classification: Identifying ssh and skype [C]//Proceedings of the 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications. Ottawa: IEEE, 2009: 1.
[3] Wang Z. The applications of deep learning on traffic identification [J]. BlackHat USA, 2015, 24: 1.
[4] Wang W, Shang Y, He Y, et al . BotMark: automated botnet detection with hybrid analysis of flow-based and graph-based traffic behaviors [J]. Inform Sci, 2020, 511: 284.
[5] Akshaya S, Padmavathi G. A study on zero-day attacks [J]. SSRN Electron J, 2019, 5: 1.
[6] Wu Y, Wei D, Feng J. Network attacks detection methods based on deep learning techniques: a survey[J]. Secur Commun Netw, 2020, 2020: 1.
[7] Liu A, Wang Y, Li T. SFE-GACN: a novel unknown attack detection under insufficient data via intra categories generation in embedding space [J]. Comput Secur, 2021, 105: 102262.
[8] Zhang Y, Niu J, Guo D, et al . Unknown network attack detection based on open set recognition [J]. Procedia Comput Sci, 2020, 174: 387.
[9] Wang C, Wang B, Sun Y, et al . Intrusion detection for industrial control systems based on open set artificial neural network[J]. Secur Commun Netw, 2021, 2021: 1.
[10] Sarhan M, Layeghy S, Gallagher M, et al . From zero-shot machine learning to zero-day attack detection [EB/OL]. [2022-06-28].https://arxiv.org/abs/2109.14868.
[11] Saied A, Overill R E, Radzik T. Detection of known and unknown DDoS attacks usingartificial neural networks[J]. Neurocomputing, 2016, 172: 385.
[12] Sun X, Dai J, Liu P, et al . Using bayesian networks for probabilistic identification of zero-day attack paths[J]. IEEE T Inf Foren Sec, 2018, 13: 2506.
[13] Duessel P, Gehl C, Flegel U, et al . Detecting zero-day attacks using context-aware anomaly detection at the application-layer [J]. Int J Inf Secur, 2017, 16: 475.
[14] Zhang J, Chen X, Xiang Y, et al . Robust network traffic classification[J]. IEEE ACM T Network, 2014, 23: 1257.
[15] Rivero J, Ribeiro B, Chen N, et al . A grassmannian approach to zero-shot learning for network intrusion detection [C]// Proceedings of the International Conference on Neural Information Processing. Guangzhou: Springer, Cham, 2017: 565.
[16] Zhang Z , Liu Q, Qiu S, et al . Unknown attack detection based on zero-shot learning[J].IEEE Access, 2020, 8: 193981.
[17] Lampert C H, Nickisch H, Harmeling S. Learning to detect unseen object classes by between-class attribute transfer [C]//Proceedings of the 2009 IEEE Conference on Computer Vision and Pattern Recognition. Miami: IEEE, 2009: 951.
[18] Larochelle H, Erhan D, Bengio Y. Zero-data learning of new tasks [J]. AAAI, 2008, 1: 3.
[19] Sun X, Gu J, Sun H. Research progress of zero-shot learning [J]. Appl Intel, 2021, 51: 3600.
[20] Mirza M, Osindero S. Conditional generative adversarial nets [J]. Comput Sci, 2014, 2014: 2672.
[21] Chen T, Kornblith S, Norouzi M, et al . A simple framework for contrastive learning of visual representations[C]//Proceedings of the International Conference on Machine Learning. Vienna: PMLR, 2020: 1597.
[22] Wang W, Zheng V W, Yu H, et al . A survey of zero-shot learning: Settings, methods, and applications [J]. ACM T Intell Syst Tec, 2019, 10: 1.
[23] Akata Z, Perronnin F, Harchaoui Z, et al . Label-embedding for attribute-based classification[C]//Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. Portland: IEEE, 2013: 819.
[24] Kodirov E, Xiang T, Gong S. Semantic autoencoder for zero-shot learning [C]//Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition.Hawaii: IEEE, 2017: 3174.
[25] Zhang Z, Liu Q, Qiu S, et al . Unknown attack detection based on zero-shot learning [J]. IEEE Access, 2020, 8: 193981.
