Sreeshan7/EvoIDS

GitHub: Sreeshan7/EvoIDS

EvoIDS 是一个自演化入侵检测框架,通过漂移感知自适应学习和多检测器开放集识别来应对云环境中流量模式变化导致的模型性能衰退和零日攻击检测难题。

Stars: 0 | Forks: 0

# 🛡️ EvoIDS **面向非平稳云环境的漂移感知自演化入侵检测框架** [![云安全](https://img.shields.io/badge/Domain-Cloud_Security-1E90FF?style=for-the-badge&logo=cloudflare&logoColor=white)](#) [![机器学习](https://img.shields.io/badge/AI-Machine_Learning-FF8C00?style=for-the-badge&logo=scikitlearn&logoColor=white)](#) [![状态](https://img.shields.io/badge/Status-Research_Accepted-4CAF50?style=for-the-badge)](#) EvoIDS Health Monitor Dashboard
*云计算中的网络入侵检测面临着**概念漂移**这一根本性挑战,不断变化的流量模式、用户行为和新型攻击方法会导致静态模型的性能迅速下降。**EvoIDS** 引入了一个统一的框架,将自适应学习与开放集识别相结合,以在时间上不断变化且真实的云流量条件下保持稳健的运行效能。*
## 🌟 核心贡献 - 🕰️ **真实的时间维度评估**:揭示了随机划分训练集与测试集的陷阱(这会夸大模型性能),并展示了在 **CICIDS2017** 数据集上进行真实的时间序列部署时,模型性能衰退的严重程度(运行性能下降高达 **64%**)。 - 🧬 **漂移引导的自演化**:引入了多信号健康监控器(MSHM),结合群体稳定性指数(PSI)和预测置信度来触发自适应重训练,成功恢复高达 **99.5% 的准确率**。 - 🔍 **多检测器开放集识别(MDOM)**:融合了自编码器重构、k-NN 潜在空间距离、Isolation Forest 和马氏距离,并采用 CDF 秩合成方法,成功标记了 **99.96% 的 PortScan**、**91.53% 的 DDoS** 和 **85.74% 的 Bot** 零日攻击。 ## 🏗️ 系统架构 EvoIDS 由三个核心协同的子系统组成,旨在长期保持入侵检测的稳健性。

🎯 1. 监督分类

EvoIDS 的核心是一个高效的 LightGBM 梯度提升分类器,用于区分恶意网络活动和合法流量。与静态分类器不同,该子系统完全支持对其参数进行增量更新或无缝微调。

🩺 2. 多信号健康监控器

监控传入流量中的协变量漂移和概念漂移,而不依赖于单一指标的经验法则。它集成了:
  • PSI:通过比较特征分布来量化协变量漂移。
  • 错误率追踪:识别真实关系的转变。
  • 预测置信度分布:分析熵以判断模型的确定性。

🛡️ 3. Multi-Detector Open-Set Module (MDOM)

A parallel processing stream identifying novel attacks by verifying flow conformity against known distributions. Uses 5 complementary detectors fused via Cumulative Distribution Function (CDF) rank aggregation to score the "unknownness" of each sample.

Open Set Zero-Day Detection
## 📊 实验结果 ### 📈 静态模型衰退与 EvoIDS 自适应恢复对比 按时间顺序进行评估时,传统的静态模型会出现灾难性的性能下降。通过利用回放记忆(Replay Memory)并仅在越过漂移阈值时触发重训练,EvoIDS 能够有效地调整其决策边界。

Static models exhibit a sharp F1-score and Accuracy collapse when exposed to temporally subsequent data (Concept Drift).


EvoIDS seamlessly adapts and recovers predictive performance, showcasing an average gain of 24.7 percentage points compared to static deployments.


### 🔬 分布外检测与特征 EvoIDS 利用马氏距离和潜在空间分析,成功地对未知输入进行了映射和标记。

Mahalanobis distance separating known vs unknown classes.


Global Feature Importance determining attack attributes.


Per-Attack Detection Rate Comparison across different threat vectors.

基于 标准许可证 发布。有关完整详细信息,请参阅本仓库中包含的研究论文。

标签:Apex, 入侵检测系统, 安全数据湖, 机器学习, 概念漂移, 网络安全, 逆向工具, 隐私保护, 零日攻击检测