rezahamzeh69/TARL-Net-ZeroDay-IDS

GitHub: rezahamzeh69/TARL-Net-ZeroDay-IDS

一个用于 Zero-Day 入侵检测的混合 Transformer–BiLSTM 研究框架,融合自监督学习、开放集识别、持续学习与可解释 AI,解决传统 IDS 在未知威胁识别和概念漂移下的局限。

Stars: 1 | Forks: 0

# TARL-Net **TARL-Net** 的研究型实现,这是一个用于智能入侵检测、Zero-Day 攻击识别、自监督表示学习、开放集识别、持续学习和可解释网络威胁情报的混合深度学习框架。 ## 概述 TARL-Net 是一个统一的深度学习框架,旨在解决现代入侵检测系统 (IDSs) 的几个主要局限性。 与依赖全监督闭集学习的传统 IDS 模型不同,TARL-Net 将多种最先进的 AI 技术集成到一个端到端架构中,能够: - 检测已知攻击 - 识别以前未见过的 (Zero-Day) 攻击 - 从无标签网络流量中学习 - 适应概念漂移 - 生成可解释的安全决策 - 支持早期攻击预测 该框架是网络安全人工智能博士研究项目的一部分。 # 核心特性 ✔ 混合 Transformer–BiLSTM 架构 ✔ 威胁感知自适应向量融合 ✔ 自监督表示学习 ✔ 开放集识别 (Zero-Day 检测) ✔ 可解释 AI (Attention Rollout + Integrated Gradients) ✔ 置信度校准 ✔ 持续学习 (Replay + EWC) ✔ 早期威胁预测 ✔ 多随机种子评估 ✔ 跨数据集 Zero-Shot 迁移 ✔ 稳健的实验协议 # Notebook 此代码库目前包含完整的实现位于: ``` TARL_NET_extended_v3.ipynb ``` 该 notebook 包含了从数据预处理到评估的整个研究 pipeline。 # 研究 Pipeline ``` Raw Network Traffic │ ▼ Data Preprocessing │ ▼ Feature Engineering │ ▼ Self-Supervised Pretraining │ ▼ Hybrid Encoder ┌─────────────────┐ │ Transformer │ └─────────────────┘ + ┌─────────────────┐ │ BiLSTM │ └─────────────────┘ │ ▼ Threat-Aware Adaptive Fusion │ ▼ Open-Set Recognition │ ▼ Threat Classification │ ▼ Explainability │ ▼ Threat Intelligence Report ``` # 主要组件 ## 混合特征编码器 提出的架构结合了 - Transformer - Bidirectional LSTM 以同时建模 - 长距离依赖关系 - 序列时间行为 - 上下文流量关系 ## 威胁感知自适应融合 TARL-Net 没有使用静态特征拼接,而是使用威胁感知自适应向量门动态学习每个表示的贡献。 ## 自监督学习 为了减少对昂贵的标记数据集的依赖,该模型执行 - Masked Traffic Modeling - Contrastive Learning 然后再进行监督微调。 ## 开放集识别 未知攻击使用类条件 Deep SVDD 框架进行识别,该框架能够区分 - 已知攻击 - 未知攻击 - 良性流量 而无需强制将所有样本归入预定义的类别。 ## 可解释 AI 该框架提供 - Attention Rollout - Integrated Gradients - 置信度校准 以提高运营信任度。 ## 持续学习 采用 Replay Memory 和 Elastic Weight Consolidation (EWC) 来减少概念漂移下的灾难性遗忘。 # 实验性新增内容 (v3) 当前的 notebook 包含了应审稿人要求添加的最终内容: - 独立数据集 Zero-Shot 迁移 - 多随机种子消融分析 - MCC - Cohen's Kappa - Balanced Accuracy - 持续学习评估 - 实际运行时间分析 - 多视界预测 - 论文图表导出工具 # 代码库结构 ``` . ├── CITATION.cff ├── CODE_OF_CONDUCT.md ├── CONTRIBUTING.md ├── LICENSE.md ├── README.md ├── SECURITY.md └── TARL_NET_extended_v3.ipynb ``` # 环境要求 Python 3.10+ 推荐的库: ``` torch numpy pandas scikit-learn matplotlib scipy shap captum jupyter ``` # 安装说明 克隆代码库 ``` git clone https://github.com/rezahamzeh69/TARL-Net-ZeroDay-IDS.git ``` 进入项目 ``` cd TARL_NET_extended_v3 ``` 安装依赖项 ``` pip install -r requirements.txt ``` 启动 Jupyter Notebook ``` jupyter notebook ``` 打开 ``` TARL_NET_extended_v3.ipynb ``` # 运行说明 按顺序执行 notebook 的单元格。 可以使用以下命令启动最终实验 ``` main_full_v3(ConfigX(seeds=(1337,))) ``` # 评估指标 该 notebook 报告了 - Accuracy - Precision - Recall - F1-score - Macro F1 - AUROC - MCC - Cohen's κ - Balanced Accuracy - False Positive Rate - Open-Set AUROC - Early Warning Score - 运行时间 - 内存使用量 # 数据集 该实现专为基准入侵检测数据集而设计,包括 - UNSW-NB15 并支持跨数据集迁移评估。 # 研究贡献 提出的框架在统一架构内引入了 - 威胁感知自适应表示融合 - 自监督流量表示学习 - 开放集 Zero-Day 检测 - 可解释网络威胁情报 - 概念漂移下的持续学习 - 早期攻击预测 - 稳健的评估协议 # 引用 如果您在研究中使用了此代码库,请引用: ``` @misc{hamzeh2026tarlnet, title={TARL-Net: Threat-Aware Adaptive Representation Learning Network}, author={Reza Hamzeh}, year={2026}, note={Research implementation} } ``` # 许可证 本项目仅供学术和研究目的使用。 # 致谢 本代码库是关于智能网络威胁检测、可信人工智能和下一代入侵检测系统的博士研究的附属成果。
标签:Apex, Transformer, 人工智能, 凭据扫描, 开集识别, 机器学习, 深度学习, 用户模式Hook绕过, 网络安全, 逆向工具, 隐私保护, 零日攻击