时间: 2020年12月25日 9:30
地点: 基础教学楼B318实验室
参会人员:
嘉宾: 周颖杰,博士,副教授,硕士生导师。毕业于电子科技大学,曾在美国哥伦比亚大学、美国贝尔实验室总部做访问学者。
实验室负责人: 朱敏教授
学生: 318实验室在校全体在读成员、21级准研究生及周老师的两位学生
会议主要内容:
一、 嘉宾分享
周老师的分享主题为“人工智能与行为异常检测——现状、挑战与前沿”,主要分为“人工智能发展简述”、“AI+行为异常检测”、“研究前沿”三个方面,具体内容如下:
-
人工智能发展概述:
人工智能就是为机器赋予人的智能,分为强人工智能(复杂的,拥有人类智慧同样本质特性的机器)和弱人工智能(与人一样,甚至比人更好的执行特定任务的技术)。人工智能、机器学习和深度学习之间是包含关系, 机器学习是一种实现人工智能的方法,深度学习是一种实现机器学习的技术。而数据挖掘,与上述两类没有严格包含关系,机器学习仅仅是数据挖掘其中一种方式。2015年以来,人工智能取得巨大突破,突破背后的关键就在于深度神经网络/卷积神经网络/循环神经网络/对抗生成网络/强化学习等技术的飞速发展。 -
AI+行为异常检测(基于规则到基于学习的转变):
异常检测是指在对信息源建模分析的基础上,勾画出检测对象的行为模式轮廓,通过新数据样本和行为模式轮廓的对比来发现当前行为特征的偏离,以达到异常检测最终目的。而行为异常检测不同于传统的特征分析,主要强调统计特征和外部特性,行为分析旨在理解和分析行为的内在本质并对其进行建模。通过网络或用户进行行为分析,对行为和行为特征之间的潜在关系进行描述,以检测异常的行为(模式)以网络攻击为例,网络攻击为流量异常的“因”,是网络安全的本质;流量异常事件是“果”,是网络共计表现出的现象。前者未知,后者可以获取。
传统的行为异常检测技术主要是基于规则,人根据领域背景知识预先定义规则,然后设计算法。以流量异常检测为例,分类方法包括:检测信息源,构建行为特征技术,行为特征角度,是否考虑流量间关系等。具体实例包含基于规则的骨干网Dos攻击检测与异常流识别、基于时间序列图挖掘的网络流量异常检测方法、基于时间序列图的全局隐蔽式网络异常时间捕获、DDoS攻击的全局时频分析方法、基于小波包的异常流量检测方法等。
基于机器学习的行为异常检测技术是较为新颖的研究方向,核心要素包括数据、标签、系统和算法、应用,该领域关键问题分为问题抽象及模型构建和算法选择两方面。问题可以抽象为分类问题、聚类问题和降维问题;在模型构建/算法选择中也存在很多挑战。例如,骨干网络中分布式异常流量的检测中,某些网络分布式流量异常与路由器节点的空间位置、连接关系等信息密切相关。需要表达出空间信息,构建了路由器之间的图模型。算法选择也同样存在挑战,例如在特定模型下,如何选择契合模型问题和特点的算法及如何对既定算法进行参数调优。基于机器学习的异常检测基础被称为是计算机视觉、自然语言理解、语音识别外,AI的又一落地应用。但其科研门槛较高,需要行业领域知识、运维场景领域知识和机器学习三方面知识。
- 研究前沿:
周老师首先介绍了基于人机交互的异常检测,强调此过程中对异常的标注是极其消耗人力的工作,目前研究热点在于研发基于人机交互的可迭代标注工具,优化异常检测结果。在流量特征提取与检测模型构建方面,周老师概述了目前流量特征的分类和现有研究的限制,强调了检测模型构建性能理论上很大程度取决于设计者对异常的理解与定义。网络安全检测方面,现有机器学习/深度学习算法较多,但大多针对公开数据而没有基于实际需求,倡导此方面的深入研究。最后,周老师分享了八篇前沿的异常检测文章,结合自己的理解抽象其中的联系。
二、 交流提问