UnDiff

Paper：Facing Anomalies Head-On: Network Traffic Anomaly Detection via Uncertainty-Inspired Inter-Sample Differences，WWW’s 25

论文解决的核心问题：网络流量的异常检测。

传统的自编码器模型通常采用衡量原始输入与重构输出的距离来识别异常。但是存在问题，就是自编码器学会了不加思考的复制粘贴输入，导致即使是全新的攻击流量，也能很好的识别。

论文提出的核心观点：放弃关注重构的像不像，而是关注模型对该样本有多不确定。

image.png

论文的核心架构如上。

模型不再输出单一的重构值，而是输出一个正态-反伽马分布的超参数集合 。

然后模型使用不确定性直接作为异常评分：

什么是正态-反伽马分布？

正态-反伽马分布通常用于处理当观测数据服从正态分布，但均值方差均未知的情况。

这个时候方差 服从反伽马分布，用来表示对数据本身分散多么不确定。

其中：

• 控制形状。
• 控制尺度。

然后在给定 的条件下，均值 的条件分布是正态分布。

其中 是先验知识， 是控制对 多么自信的超参数。