rezahamzeh69/TARL-Net-ZeroDay-IDS
GitHub: rezahamzeh69/TARL-Net-ZeroDay-IDS
一个用于 Zero-Day 入侵检测的混合 Transformer–BiLSTM 研究框架,融合自监督学习、开放集识别、持续学习与可解释 AI,解决传统 IDS 在未知威胁识别和概念漂移下的局限。
Stars: 1 | Forks: 0
# TARL-Net
**TARL-Net** 的研究型实现,这是一个用于智能入侵检测、Zero-Day 攻击识别、自监督表示学习、开放集识别、持续学习和可解释网络威胁情报的混合深度学习框架。
## 概述
TARL-Net 是一个统一的深度学习框架,旨在解决现代入侵检测系统 (IDSs) 的几个主要局限性。
与依赖全监督闭集学习的传统 IDS 模型不同,TARL-Net 将多种最先进的 AI 技术集成到一个端到端架构中,能够:
- 检测已知攻击
- 识别以前未见过的 (Zero-Day) 攻击
- 从无标签网络流量中学习
- 适应概念漂移
- 生成可解释的安全决策
- 支持早期攻击预测
该框架是网络安全人工智能博士研究项目的一部分。
# 核心特性
✔ 混合 Transformer–BiLSTM 架构
✔ 威胁感知自适应向量融合
✔ 自监督表示学习
✔ 开放集识别 (Zero-Day 检测)
✔ 可解释 AI (Attention Rollout + Integrated Gradients)
✔ 置信度校准
✔ 持续学习 (Replay + EWC)
✔ 早期威胁预测
✔ 多随机种子评估
✔ 跨数据集 Zero-Shot 迁移
✔ 稳健的实验协议
# Notebook
此代码库目前包含完整的实现位于:
```
TARL_NET_extended_v3.ipynb
```
该 notebook 包含了从数据预处理到评估的整个研究 pipeline。
# 研究 Pipeline
```
Raw Network Traffic
│
▼
Data Preprocessing
│
▼
Feature Engineering
│
▼
Self-Supervised Pretraining
│
▼
Hybrid Encoder
┌─────────────────┐
│ Transformer │
└─────────────────┘
+
┌─────────────────┐
│ BiLSTM │
└─────────────────┘
│
▼
Threat-Aware Adaptive Fusion
│
▼
Open-Set Recognition
│
▼
Threat Classification
│
▼
Explainability
│
▼
Threat Intelligence Report
```
# 主要组件
## 混合特征编码器
提出的架构结合了
- Transformer
- Bidirectional LSTM
以同时建模
- 长距离依赖关系
- 序列时间行为
- 上下文流量关系
## 威胁感知自适应融合
TARL-Net 没有使用静态特征拼接,而是使用威胁感知自适应向量门动态学习每个表示的贡献。
## 自监督学习
为了减少对昂贵的标记数据集的依赖,该模型执行
- Masked Traffic Modeling
- Contrastive Learning
然后再进行监督微调。
## 开放集识别
未知攻击使用类条件 Deep SVDD 框架进行识别,该框架能够区分
- 已知攻击
- 未知攻击
- 良性流量
而无需强制将所有样本归入预定义的类别。
## 可解释 AI
该框架提供
- Attention Rollout
- Integrated Gradients
- 置信度校准
以提高运营信任度。
## 持续学习
采用 Replay Memory 和 Elastic Weight Consolidation (EWC) 来减少概念漂移下的灾难性遗忘。
# 实验性新增内容 (v3)
当前的 notebook 包含了应审稿人要求添加的最终内容:
- 独立数据集 Zero-Shot 迁移
- 多随机种子消融分析
- MCC
- Cohen's Kappa
- Balanced Accuracy
- 持续学习评估
- 实际运行时间分析
- 多视界预测
- 论文图表导出工具
# 代码库结构
```
.
├── CITATION.cff
├── CODE_OF_CONDUCT.md
├── CONTRIBUTING.md
├── LICENSE.md
├── README.md
├── SECURITY.md
└── TARL_NET_extended_v3.ipynb
```
# 环境要求
Python 3.10+
推荐的库:
```
torch
numpy
pandas
scikit-learn
matplotlib
scipy
shap
captum
jupyter
```
# 安装说明
克隆代码库
```
git clone https://github.com/rezahamzeh69/TARL-Net-ZeroDay-IDS.git
```
进入项目
```
cd TARL_NET_extended_v3
```
安装依赖项
```
pip install -r requirements.txt
```
启动 Jupyter Notebook
```
jupyter notebook
```
打开
```
TARL_NET_extended_v3.ipynb
```
# 运行说明
按顺序执行 notebook 的单元格。
可以使用以下命令启动最终实验
```
main_full_v3(ConfigX(seeds=(1337,)))
```
# 评估指标
该 notebook 报告了
- Accuracy
- Precision
- Recall
- F1-score
- Macro F1
- AUROC
- MCC
- Cohen's κ
- Balanced Accuracy
- False Positive Rate
- Open-Set AUROC
- Early Warning Score
- 运行时间
- 内存使用量
# 数据集
该实现专为基准入侵检测数据集而设计,包括
- UNSW-NB15
并支持跨数据集迁移评估。
# 研究贡献
提出的框架在统一架构内引入了
- 威胁感知自适应表示融合
- 自监督流量表示学习
- 开放集 Zero-Day 检测
- 可解释网络威胁情报
- 概念漂移下的持续学习
- 早期攻击预测
- 稳健的评估协议
# 引用
如果您在研究中使用了此代码库,请引用:
```
@misc{hamzeh2026tarlnet,
title={TARL-Net: Threat-Aware Adaptive Representation Learning Network},
author={Reza Hamzeh},
year={2026},
note={Research implementation}
}
```
# 许可证
本项目仅供学术和研究目的使用。
# 致谢
本代码库是关于智能网络威胁检测、可信人工智能和下一代入侵检测系统的博士研究的附属成果。
标签:Apex, Transformer, 人工智能, 凭据扫描, 开集识别, 机器学习, 深度学习, 用户模式Hook绕过, 网络安全, 逆向工具, 隐私保护, 零日攻击