在多变量时间序列中检测零日攻击是一个日益重要的领域，这得益于其在安全敏感环境（如网络监控）中的重要性。传统的异常检测方法通常依赖于预定义的模式，而这些模式对于利用先前未识别漏洞的零日攻击无效。为了解决这一限制，我们提出了ZAD-ML，这是一个无监督学习框架，专门用于在不了解攻击特征的情况下通过行为分析来检测零日攻击。ZAD-ML包含一个双层神经网络系统：第一层学习将正常的时间行为模式压缩并编码为密集表示，从而实现高效的异常检测，并能够持续适应和更新对正常行为的理解；第二层通过注意力机制分析时间序列中的行为偏差，使系统能够根据新兴的数据趋势动态更新其正常行为基线。我们结合了深度学习技术来增强模型学习数据行为中复杂模式和异常的能力。我们在四个公共网络数据集上评估了我们的框架，证明了其在检测零日攻击方面的高准确性，并显著降低了误报率。ZAD-ML为实时异常检测提供了一个强大且可适应的解决方案。我们提出的方法的实现现已在https://github.com/don2c/ZAD-ML公开提供。

相关工作

相关工作

异常检测系统传统上依赖于基于特征的方法，通过将观察到的活动与已知模式进行匹配来识别威胁[16]、[17]。例如，TranAD[18]和其他IDS系统使用签名数据库来检测已知的威胁。虽然这些静态系统对于已知攻击有效，但它们在应对利用未知漏洞的零日攻击时存在困难，导致高误报率，并使系统暴露于不断演变的威胁[19]。

提出的RT-APT

方法论

本节概述了开发和评估ZAD-ML框架所采用的方法论，该框架旨在增强多变量时间序列数据中零日攻击的检测能力。我们首先概述了ZAD-ML的架构，如图1所示，它结合了包括深度自动编码器和带有注意力机制的循环神经网络在内的先进机器学习技术。

研究验证和讨论

本节评估了ZAD-ML框架如何通过针对公共数据集的广泛验证以及其适应变化操作条件的能力来解决提出的研究问题。

时间复杂性分析

ZAD-ML的端到端复杂性包括预处理、特征编码和序列建模。

预处理涉及每个时间步和特征的适应性规范化、智能分割和增强，产生$O(n·m)$，其中n是时间步的数量，m是特征维度。

对于特征编码（深度自动编码器），设d为编码器的输入维度，h为表示隐藏宽度。经过n步的前向传递会产生$O(n·d·h)$，假设

有效性的威胁

内部有效性：尽管使用了5折交叉验证进行超参数调整，但数据集特定的最优参数仍可能产生偏差。未来的工作可以结合自动化超参数搜索（例如贝叶斯优化）来进一步减少调整偏差。另一个内部限制是在受污染的训练数据下校准异常分数的问题仅在高层次上进行了讨论。在这个版本中，我们没有报告不同情况下的完整敏感性分析。

与现有系统的集成

将ZAD-ML集成到现有安全基础设施中需要一种策略性方法，以确保兼容性并增强现有功能而不造成中断。

•

基于API的集成： ZAD-ML可以通过明确定义的API集成，使其能够与现有安全工具和基础设施无缝通信。这种方法支持灵活的集成策略，无需对现有系统进行大量修改。

•

数据流管理： 数据的仔细规划

结论

本研究介绍并验证了一个新型机器学习框架ZAD-ML，该框架利用双层架构结合深度自动编码器和带有注意力机制的循环神经网络在多变量时间序列数据中进行异常检测。这种结构使其能够适应性地学习和识别复杂的数据模式，显著优于传统的静态模型。关键发现包括ZAD-ML更好的适应性和学习能力，使其能够

CRediT作者贡献声明

Edward Kwadwo Boahen：写作 – 审稿与编辑，撰写原始草稿，可视化，验证，软件，资源，方法论，调查，形式分析，数据整理，概念化。Ahmad Salehi Shahraki：写作 – 审稿与编辑，撰写原始草稿，验证，监督，资源，项目管理，方法论，资金获取，概念化。

利益冲突声明

作者声明他们没有已知的财务利益或个人关系可能影响本文报告的工作。