胡健 蘇永東 黃文載 肖鵬 劉玉婷 楊本富

摘 要：入侵檢測系統(tǒng)（IDS）已成為網(wǎng)絡安全體系結(jié)構(gòu)中的必要組成部分。在面對現(xiàn)代網(wǎng)絡安全需求時，現(xiàn)有的入侵檢測方法的可行性和持續(xù)性仍然存在提高空間，主要體現(xiàn)在更早地發(fā)現(xiàn)入侵威脅和提高入侵檢測系統(tǒng)的檢測精準度，為此提出一種基于互信息加權(quán)的集成遷移學習（ETL）入侵檢測方法。首先，通過遷移策略對多組特征集進行建模;然后，使用互信息度量在遷移模型下特征集在不同域中的數(shù)據(jù)分布;最后，根據(jù)度量值對多個遷移模型進行集成加權(quán)，得到集成遷移模型。該方法通過學習新環(huán)境下的少量有標記樣本和以往環(huán)境下的大量有標記樣本的知識，可以建立效果優(yōu)于傳統(tǒng)非集成、非遷移的入侵檢測模型。使用基準NSLKDD數(shù)據(jù)集對該方法進行評估，實驗結(jié)果表明，所提方法具有良好的收斂性能，并提高了入侵檢測的精準率。

關(guān)鍵詞：入侵檢測;遷移學習;互信息;集成學習;加權(quán)集成

中圖分類號：TP393.08

文獻標志碼：A

Intrusion detection method based on

ensemble transfer learning via weighted mutual information

HU Jian1*， SU Yongdong1， HUANG Wenzai1， XIAO Peng1， LIU Yuting1， YANG Benfu2

1.Information Center， Yunnan Power Grid Company Limited， Kunming Yunnan 650217， China;

2.Yunnan Yundian Tongfang Technology Company Limited， Kunming Yunnan 650217， China

Abstract：

Intrusion Detection System （IDS） has become an essential part of network security system， the practicability and durability of the existing intrusion detection methods still have improvement space， like detecting intrusion threats earlier and improving the detection accuracy of intrusion detection systems. Therefore， an intrusion detection method based on Ensemble Transfer Learning （ETL） via weighted mutual information was proposed. Firstly， the transfer strategy was used to model multiple feature sets， then the mutual information was used to measure the data attribution of feature sets under the transfer models in different domains. Finally， the weighted ensemble was performed to the multiple transfer models according to the measures， obtaining the ensemble transfer model. The method was able to construct the intrusion detection model better than the traditional models without ensemble or transfer learning by learning the knowledge of little labeled samples in the new environment and many labeled samples in the prior environment. The benchmark NSLKDD dataset was used to evaluate the proposed method and the results show that the proposed method has good convergence performance and improve the accuracy of intrusion detection.

Key words：

intrusion detection; transfer learning; mutual information; ensemble learning; weighted ensemble

0?引言

新型的網(wǎng)絡攻擊呈現(xiàn)出了規(guī)模化、分布化、復雜化趨勢，對入侵檢測方法的有效性和及時性提出了更高的要求。目前普遍應用的以異常檢測和誤用檢測（也叫基于簽名的檢測）為代表的入侵檢測技術(shù)普遍存在檢測率低、誤報過高以及過渡依賴知識庫等不足?，F(xiàn)有入侵檢測方法發(fā)展已經(jīng)遇到瓶頸，主要有3個限制性因素：第一是網(wǎng)絡數(shù)據(jù)量的急劇增長，并將長期高速增長，需要快速在海量的網(wǎng)絡流量中分析網(wǎng)絡行為; 第二網(wǎng)絡應用的更高級更抽象，需要更加詳細和豐富的上下文知識，

提高入侵檢測方法的監(jiān)控深度和分析粒度; 第三是網(wǎng)絡協(xié)議的多樣性和攻擊行為的高級可持續(xù)性，增加了建立規(guī)范的難度。隨著人工智能技術(shù)的快速發(fā)展，基于人工智能技術(shù)的入侵檢測方法已成為入侵檢測系統(tǒng)（Intrusion Detection System， IDS）[1]研究的熱點之一。

1?相關(guān)研究

1.1?基于機器學習的入侵檢測及其仍然存在的問題

將機器學習技術(shù)應用在入侵檢測[2-3]是入侵檢測問題中的熱點研究領(lǐng)域之一，它依賴大量的有標注的網(wǎng)絡訪問數(shù)據(jù)，通過監(jiān)督式學習方法（如決策樹、支持向量機、神經(jīng)網(wǎng)絡等）對數(shù)據(jù)進行模式識別并建立分類模型，借助該分類模型，對未來的網(wǎng)絡訪問實例進行判斷，預測新的訪問實例是否安全。圖1是基于機器學習的入侵檢測模型基本流程，首先，研究者從數(shù)據(jù)倉庫將歷史訪問數(shù)據(jù)取出，每一條歷史訪問數(shù)據(jù)包含了其在訪問時的一些附加信息，如訪問時長、使用的是TCP（Transmission Control Protocol）協(xié)議或是UDP（User Datagram Protocol）協(xié)議等;然后，對這些數(shù)據(jù)進行標記，標記哪些是正常的訪問，哪些是非正常的訪問;最后，將這些數(shù)據(jù)作為訓練數(shù)據(jù)置于機器學習算法中，通過監(jiān)督式機器學習算法的訓練，可以得到入侵檢測的分類模型，并對未知的訪問進行預測。

但是傳統(tǒng)的機器學習算法在解決入侵檢測時也有其弊端：

1）傳統(tǒng)的監(jiān)督式機器學習算法基于兩個基本假設：①訓練數(shù)據(jù)的樣本量足夠多; ②訓練數(shù)據(jù)和真實環(huán)境的數(shù)據(jù)的分布相同。前者保證了訓練的模型足夠可信，后者保證了訓練的模型在新的環(huán)境下可用。但是，實際場景下，訓練過程中使用的數(shù)據(jù)往往和真實環(huán)境下的數(shù)據(jù)存在數(shù)據(jù)分布差異;而給真實環(huán)境下的數(shù)據(jù)標記又是一件費時費力的工作，如何對缺乏足夠訓練樣本的真實環(huán)境下的數(shù)據(jù)進行建模，是一項具有實際意義的工作。

2）傳統(tǒng)的機器學習算法應用在入侵檢測系統(tǒng)上也有其局限性，研究者通常使用單一的機器學習算法對入侵檢測數(shù)據(jù)進行建模，比如，僅僅使用神經(jīng)網(wǎng)絡[4-5]或者支持向量機[6]等來訓練入侵檢測的分類模型，雖然已經(jīng)有研究者證明，對于經(jīng)典的入侵檢測數(shù)據(jù)集KDD99或者NSLKDD[7]而言，這些強分類器（如神經(jīng)網(wǎng)絡和支持向量機）已經(jīng)取得了不錯的效果[8]。但更新的研究也證明集成學習對于入侵檢測是有利的[9]。

因此，如何在目標領(lǐng)域的數(shù)據(jù)量不足的情況下，使用集成策略（通過多分類器對各自適合的特征）進行模型訓練并對各個模型進行有效集成，是解決實際的新環(huán)境下入侵檢測問題的難點。

1.2?遷移學習和集成學習

為了彌補訓練樣本不足的問題，機器學習研究領(lǐng)域的很多研究者開始將目光投向遷移學習領(lǐng)域，遷移學習旨在能夠?qū)W習相關(guān)領(lǐng)域源域（source Domain，Ds）的知識，并將之應用在另外一個數(shù)據(jù)分布不同但是卻相關(guān)的領(lǐng)域目標域（target Domain，Dt），Pan等[10]早在2009年對遷移學習研究領(lǐng)域目前的研究進展進行了歸納，在其綜述中，描述了基于樣本的遷移、基于特征表達的遷移、基于關(guān)系的遷移、基于知識的遷移四種基本的遷移方式， 其中，基于樣本的遷移學習方法是在源域有標記樣本充足、目標域有標記樣本數(shù)據(jù)量很少的情況下，使用源域的有標記樣本來輔助目標域構(gòu)建模型的方法。由于基于樣本的遷移學習算法易于實現(xiàn)，且與產(chǎn)業(yè)界的實際應用場景密切相關(guān)，目前已經(jīng)在具體的領(lǐng)域，如銀行的用戶信用評估[11]、垃圾文本內(nèi)容分類[12]、新聞文本分類[13]、推薦系統(tǒng)[14]、圖片分類[15]等任務中被廣泛應用。

另外，在具體的數(shù)據(jù)建模問題中，數(shù)據(jù)的來源具有多樣化的特點，這也就導致了數(shù)據(jù)的各個特征可能分別屬于不同的數(shù)據(jù)類型。如果使用TrAdaboost[16]方法僅僅對某些特定類型的特征建模，并不會有效利用好所有的特征信息。考慮到對不同類型的數(shù)據(jù)特征而言，有適合它的機器學習算法， 因此，借鑒集成學習的策略，首先對不同的特征集（同數(shù)據(jù)集某幾個特征組成的特征集合）獨立進行遷移模型的訓練，并在最后對這些模型進行有效組合，是可以提升遷移模型的效果的。

2?基于集成遷移學習技術(shù)的入侵檢測

2.1?簡單遷移模型策略

對于某特定的特征集進行遷移模型的訓練，可以使用極簡的遷移策略[17]，如圖2。

圖2中Dt是少量有類別標簽的目標域樣本，Ds是大量的有類別標簽的源域樣本。通過極少的Dt結(jié)合一種分類算法，可以訓練得到一個簡單分類模型;隨后，將之應用在源域Ds進行預測，保留預測正確的樣本集Ds′;最后通過混合Ds′和Dt的樣本，使用相同的分類算法，訓練得到遷移模型。這個模型有速度快，且適用于多個簡單遷移模型集成的優(yōu)點。

2.2?集成遷移模型

在簡單遷移模型的基礎上，引入集成學習的概念，可得到集成遷移學習模型。首先，源域和目標域被成對地劃分為不同的特征集，研究者可以在每對特征集上訓練一個簡單的遷移分類模型;與此同時，計算該特征集下的源域和目標域的數(shù)據(jù)分布的互信息值，并用這個互信息值來衡量不同的域在不同特征集上的差異情況;最后通過互信息值對多個簡單遷移模型加權(quán)，得到最后的加權(quán)后的集成遷移模型。

實際上，對不同的特征集分別訓練不同模型并將其組合的策略，在機器學習的相關(guān)研究中已經(jīng)得到了充分肯定，比如在推薦系統(tǒng)中，寬深模型[18]就是最為經(jīng)典的且具有高準確率的集成模型算法。寬深模型通過利用一個深度神經(jīng)網(wǎng)絡著重對連續(xù)型隨機變量進行建模;然后，使用邏輯回歸模型對離散型隨機變量進行建模;最后，通過再一層的邏輯回歸模型學習到加權(quán)方案，就得到一個集成了“寬”模型和“深”模型的算法模型，原實驗證明這種思路可以極大地利用好各類數(shù)據(jù)特征。

集成遷移學習模型的模型流程如圖2所示：首先源域（Ds）和目標域（Dt）中的有標記樣本按照不同的特征集被分為多組子源域（Ds1～Dsn）和子目標域（Dt1～Dtn），每組子源域Dsi和子目標域Dti可以訓練得到一組簡單的單模型遷移策略Mi，同時，在遷移過程中，計算子源域和子目標域之間的互信息值并以之作為權(quán)重值來衡量模型的重要性，通過加權(quán)組合多個遷移策略（M1～Mn），就得到了最終的集成遷移模型。

2.3?加權(quán)集成方式

集成遷移模型的最終目的是將多個不同的遷移分類模型進行融合，而融合多模型最常用的方法是對多個模型的效果進行線性加權(quán)。加權(quán)的本質(zhì)是對學習到的不同內(nèi)容賦予不同的重要性，對于遷移學習而言，學習到的知識越有利于遷移，這個權(quán)值就應該越大。在集成遷移模型中，可以在不同特征集下使用源域和目標域的數(shù)據(jù)分布相似程度來評價簡單遷移模型的遷移效果。

互信息（mutualinformation）是用在信號學中的一個度量方法，用以衡量信號傳輸前后的損失或者差異，Ambusaidi等[19]曾在IDS系統(tǒng)中使用了互信息用來輔助特征選擇，而在集成遷移模型中，通過互信息可以衡量由源域到目標域的分布差異。

當給定兩個連續(xù)型隨機變量U={u1， u2， …， ud}和V={v1， v2， …， vd}，其中d表示樣本個數(shù)，U和V互信息之間的計算方式如下：

I（U;V）=H（U）+H（V）-H（U，V）（1）

其中：H（U）和H（V）分別表示隨機變量U和V的信息熵，H（U， V）為U和V的交叉熵。

當U和V是連續(xù)（continuous）型變量時，U和V之間的交叉熵記為：

I（U;V）=∫u∫vp（u，v）lgp（u，v）p（u）p（v）dudv（2）

當U和V是離散（discrete）型變量時，U和V之間的交叉熵記為：

I（U;V）=∑u∈U∑v∈Vp（u，v）lgp（u，v）p（u）p（v）（3）

結(jié)合上面互信息的定義，定義使用互信息加權(quán)的廣義集成方案如式（4），其中M是各個獨立的遷移模型（Mi）的加權(quán)組合模型：

M=∑ni=1I（Ui;Vi）×Mi∑ni=1I（Ui;Vi）（4）

3?實驗

3.1?入侵檢測數(shù)據(jù)集

實驗使用NSLKDD基準數(shù)據(jù)集，該數(shù)據(jù)集是目前主要用于判斷入侵檢測系統(tǒng)性能的標準數(shù)據(jù)。NSLKDD數(shù)據(jù)集是1999年KDD CUP競賽所使用的入侵檢測數(shù)據(jù)集的改進版本，其包含了41個特征，訓練數(shù)據(jù)集包含了23個類別標簽，這23個類別標簽隸屬5個大類，而這5個大類中有4個大類（u2r、dos、r2l和probe）屬于非正常的網(wǎng)絡訪問類別，正常的訪問標記，只包含normal一種。訓練數(shù)據(jù)集的類別標簽的關(guān)系如表1所示。

通常情況下，研究者會將其中的KDDTrain或者KDDTrain+_20Percent作為模型訓練的訓練集，將KDDTest作為模型的測試集。而由于訓練數(shù)據(jù)和測試數(shù)據(jù)的數(shù)據(jù)分布（均值和方差）存在差異，如表2，且測試集中甚至出現(xiàn)了訓練集中不存在的非正常網(wǎng)絡鏈路的標記，如：saint、 xsnoop、 mailbomb、 udpstorm、 httptunnel、 sendmail、 sqlattack、 worm、 snmpguess、 perl、 mscan、 apache2、 xterm、 named、 snmpgetattack、 processtable、 ps、 xlock，因此訓練集和測試集的邊緣概率分布和條件概率分布都不一致[20]，符合遷移學習的使用條件，因此該訓練集和測試集也可以被認為是入侵檢測領(lǐng)域的源域和目標域。

3.2?實驗設置

首先，實驗任務是一個遷移學習場景下的二分類任務，即在目標域的有標記樣本量不足的情況下，結(jié)合遷移學習策略和集成學習方法，根據(jù)網(wǎng)絡鏈路行為判斷新的訪問行為是否為入侵行為。

1）目標域數(shù)據(jù)劃分。

由于在基于實例的遷移學習中，目標域難以獲取足量的有標記樣本，因此在實驗中，只設置0.1%～2.5%的目標域有標記樣本來進行遷移學習模型的訓練，而源域中的樣本由于都是有標記的，因此可以完全被利用。

2）加權(quán)集成方案。

對于入侵檢測的數(shù)據(jù)而言，數(shù)據(jù)往往包含了多種多樣的數(shù)據(jù)類型：在NSLKDD數(shù)據(jù)集中，其包含了分類特征和數(shù)值特征，而數(shù)值特征甚至也包含了已經(jīng)被歸一化的取值范圍為[0， 1]的數(shù)值特征。實驗擬對特征進行拆分，獨立訓練多個遷移學習模型并對模型的學習結(jié)果進行集成，使之更加有效利用原始數(shù)據(jù)的各類數(shù)據(jù)信息，使源域的知識能夠最大化地被遷移到目標域中。

當使用數(shù)值型（記為numr）特征、歸一化數(shù)值（記為norm）特征以及離散型（記為cate）特征分別得到了多個模型Mnumr、Mnorm、Mcate以及互信息值Inumr、Inorm、Icate時，使用互信息值對不同的預測模型結(jié)果進行加權(quán)集成，即得到了最終的學習器M，記為式（5）：

M=Inumr×Mnumr+Inorm×Mnorm+Icate×McateInumr+Inorm+Icate（5）

3）分類算法和評估方法。

在使用集成遷移模型來解決不同環(huán)境下的入侵檢測問題中，實驗使用多層感知機對取值區(qū)間為[0，1]的連續(xù)特征集建模，使用決策樹對離散特征和取值區(qū)間為實數(shù)的連續(xù)特征建模。對于使用了遷移策略的實驗而言，最終使用互信息加權(quán)策略對模型進行加權(quán)融合，得到最終的模型。

考慮到入侵檢測的標準是既需要較高的精準率也需要較高的召回率，F(xiàn)1score作為一種常用的評估方法，兼顧了精準率和召回率兩個主要的指標，其評價更具有實際意義，因此使用F1score來對模型效果進行效果評定。而F1score的評估目標，是目標域中無標記樣本中的入侵檢測樣本是否能夠得到有效判別。

4）對照實驗組設定。

實驗同時設置了對照組，對于遷移學習而言，對照組實驗需要從以下幾個方面設置：

①與直接使用目標域的少量樣本訓練的模型進行對比;

②與不使用遷移學習的方法（使用源域數(shù)據(jù)訓練模型并將之直接應用在目標域數(shù)據(jù)上）進行對比;

③為了研究集成策略是否有效，對照組中也應該包含了訓練無集成加權(quán)遷移學習模型的實驗。

5）互信息計算過程。

在基于集成遷移學習算法的模型中，按照如下方式計算法互信息：計算源域有標記樣本的數(shù)據(jù)分布描述和目標域有標記樣本的數(shù)據(jù)分布描述（數(shù)據(jù)分布描述，包含均值和標準差，實驗過程中使用python中Pandas庫里的describe（）函數(shù)生成）之間的互信息值。

6）實驗使用的基本分類器參數(shù)設置。

本實驗中主要使用了兩類監(jiān)督式學習算法：決策樹算法和感知機算法，其中決策樹被使用在了非遷移或非集成的對照組實驗中，同時也被使用在了集成遷移學習模型的分類特征集和數(shù)值特征集上，而感知機由于較好適用于數(shù)值分布在[0，1]的特征，因此被使用在集成遷移模型的歸一化特征集的遷移模型中。決策樹和感知機的基本參數(shù)設置如表3。

實驗記錄了在使用不同量目標域數(shù)據(jù)情況下，各個特征集在不同域上的互信息值的變化情況，當目標域的有標記樣本量比例從0.1%逐漸擴量到2.5%時，不同特征集下的源域和目標域互信息值如圖4所示。

圖4中，mu_nurm描述了數(shù)值型特征在源域和目標域之間的互信息值，mu_cate表示類別型特征在源域和目標域之間數(shù)據(jù)分布的互信息值，mu_norm表示已經(jīng)歸一化的特征在源域和目標域之間數(shù)據(jù)分布的互信息值。

由圖4可知，分類特征和數(shù)值特征隨著目標域有標記樣本量的增加，其源域和目標域之間的互信息值也產(chǎn)生了一些波動，而同時已經(jīng)被歸一化的數(shù)值特征由于原始的均值和標準差較為穩(wěn)定，因此波動較小，以上數(shù)據(jù)曲線也說明了每一次源域和目標域在某一特征集上的可遷移的知識權(quán)重實際是存在差異的。

7）實驗結(jié)果。

實驗統(tǒng)計了隨著目標域有標記樣本在目標域樣本中所占比率逐漸增多的情況下，使用集成遷移模型和使用非集成、非遷移模型的實驗結(jié)果，節(jié)選的部分結(jié)果（目標域有標記樣本所占比率為0.1%～1.3%）如表4所示。更豐富的實驗結(jié)果繪制如圖5和圖6所示，其中，圖5描述了集成遷移模型和非集成遷移模型的實驗對照，而圖6顯示了集成遷移模型和簡單遷移模型的實驗對照。

8）實驗分析。

結(jié)合表4，分析圖5、6的實驗結(jié)果，可以得到兩組實驗的一些基本結(jié)論：

由圖5中的實驗1可知：僅僅使用源域的數(shù)據(jù)混合目標域中的少量有標簽數(shù)據(jù)訓練分類模型，在目標域的無標記樣本上的預測結(jié)果并不佳，當目標域中的有標記樣本在0.02%～0.25%區(qū)間段遞增時，這種策略甚至比不上直接使用目標域的少量有標記樣本直接訓練的模型（圖5中實驗2）的效果好。

在同樣的實驗條件下，使用了集成遷移學習模型的預測結(jié)果，是優(yōu)于以上兩種不使用遷移策略的方法的。在目標域樣本極少（0.1%）時，集成遷移模型的預測效果在一開始較高，這說明極大地利用了目標域的有限樣本篩選了更多對目標域有利的源域樣本，并據(jù)此輔助訓練目標域模型，這也說明有選擇地遷移源域知識對訓練目標域的模型是有利的。

另外，對比圖6中的兩組曲線可知，對多個特征集分別訓練遷移模型并使用互信息加權(quán)集成多個模型的效果，是好于不使用集成策略的遷移學習模型的。雖然在目標域有限樣本量更多的情況下，不使用集成策略的遷移模型會慢慢追平使用集成策略的遷移模型的F1score值，但是在樣本量更少的情況下，集成遷移模型可以具有更強的提早發(fā)現(xiàn)入侵檢測異常的能力，而這一點非常適用于真實環(huán)境下的網(wǎng)絡入侵檢測環(huán)境。

因此，結(jié)合以上的實驗結(jié)論可知，在基于實際場景下跨領(lǐng)域的入侵檢測分類問題中，完全混合源域和目標域的數(shù)據(jù)訓練模型以及直接使用目標域少量數(shù)據(jù)訓練模型，不會對目標任務有利，而基于互信息加權(quán)的集成遷移模型對于目標域的模型訓練有利。

4?結(jié)語

通過將遷移學習技術(shù)和集成學習的思想應用在入侵檢測領(lǐng)域，對源域和目標域多組不同的特征集，使用簡單的遷移策略，訓練較好的獨立的遷移模型;然后使用互信息衡量源域和目標域在該特征集下的數(shù)據(jù)分布差異并以之對多個遷移模型進行集成加權(quán)，得到最終的集成遷移模型。通過在NSLKDD標準的入侵檢測數(shù)據(jù)集中的實驗得知，該集成遷移模型的效果好于不使用遷移模型的效果，同時也好于不使用集成策略的遷移模型的效果。

遷移的本質(zhì)是挖掘源域中的可用知識來輔助目標域決策，雖然使用集成模型的方法已經(jīng)一定程度上優(yōu)化了對目標域的分類模型的學習。但是，對于分類特征而言，它仍然包含了一些沒有得到有效解析的自然語言相關(guān)的信息，未來如何引入NLP（Natural Language Processing）相關(guān)的知識來對這些特征進行遷移也是解決入侵檢測問題的新視角之一。

參考文獻 （References）

[1]?AKHIL J， SULTANA A. Intelligent network intrusion detection system using data mining techniques[C]// Proceedings of the 2nd International Conference on Applied and Theoretical Computing and Communication Technology. Piscataway： IEEE， 2016：329-333.

[2]?AHMADI R， MACREDIE R D， TUCKER A. Intrusion detection using transfer learning in machine learning classifiers between noncloud and cloud datasets[C]// Proceedings of the 2018 International Conference on Intelligent Data Engineering and Automated Learning， LNCS 11314. Berlin： Springer， 2018： 556-566.

[3]?ALJAWARNEH S， ALDWAIRI M， YASSEIN M B. Anomalybased intrusion detection system through feature selection analysis and building hybrid efficient model[J]. Journal of Computational Science， 2018， 25： 152-160.

[4]?陳虹，萬廣雪，肖振久. 基于優(yōu)化數(shù)據(jù)處理的深度信念網(wǎng)絡模型的入侵檢測方法[J]. 計算機應用， 2017， 37（6）：1636-1643. （CHEN H， WAN G X， XIAO Z J. Intrusion detection method of deep belief network model based on optimization of data processing[J]. Journal of Computer Applications， 2017， 37（6）： 1636-1643.）

[5]?LIU J， HE J， ZHANG W， et al. ANIDSEoKELM： adaptive network intrusion detection based on selective ensemble of kernel ELMs with random features[J]. KnowledgeBased Systems， 2019， 177： 104-116.

[6]?BENMESSAHEL I， XIE K， CHELLAL M， et al. A new evolutionary neural networks based on intrusion detection systems using locust swarm optimization[J]. Evolutionary Intelligence， 2019， 12（2）： 131-146.

[7]?Canadian Institute for Cybersecurity， University of New Business. NSLKDD dataset[DB/OL]. [2018-07-20]. https：//www.unb.ca/cic/datasets/nsl.html.

[8]?汪世義，陶亮，王華彬. 幾種機器學習方法在IDS中的性能比較[J]. 計算機仿真， 2010， 27（8）：92-94. （WANG S Y， TAO L， WANG H B. Performance comparison of several machine learning methods for intrusion detection[J]. Computer Simulation， 2010， 27（8）：92-94.）

[9]?劉冬蘭，馬雷，劉新，等. 基于深度學習的電力大數(shù)據(jù)融合與異常檢測方法[J]. 計算機應用與軟件， 2018， 35（4）： 61-64. （LIU D L， MA L， LIU X， et al . Deep learning based anomaly detection approach for power big data[J]. Computer Applications and Software， 2018， 35（4）： 61-64.）

[10]?PAN S J， YANG Q. A survey on transfer learning[J]. IEEE Transactions on Knowledge & Data Engineering， 2010， 22（10）：1345-1359.

[11]?XIAO J， WANG R， TENG G， et al. A transfer learning based classifier ensemble model for customer credit scoring[C]// Proceedings of the 7th International Joint Conference on Computational Sciences and Optimization. Piscataway： IEEE， 2014：64-68.

[12]?SUN Q， AMIN M， YAN B， et al. Transfer learning for bilingual content classification[C]// Proceedings of the 21th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. New York： ACM， 2015：2147-2156.

[13]?SHAO L， ZHU F， LI X. Transfer learning for visual categorization： a survey[J]. IEEE Transactions on Neural Networks and Learning Systems， 2015， 26（5）：1019-1034.

[14]?TANG J， ZHAO Z， BEI J， et al. The application of transfer learning on ecommerce recommender systems[C]// Proceedings of the 10th Web Information System and Application Conference. Piscataway： IEEE， 2013： 479-482.

[15]?HUYNH B Q， LI H， GIGER M L. Digital mammographic tumor classification using transfer learning from deep convolutional neural networks[J]. Journal of Medical Imaging， 2016， 3（3）： No.034501.

[16]?ZHAO H， LIU Q， YANG Y. Transfer learning with ensemble of multiple feature representations[C]// Proceedings of the IEEE 16th International Conference on Software Engineering Research， Management and Applications. Piscataway： IEEE， 2018： 54-61.

[17]?DAI W， YANG Q， XUE G， et al. Boosting for transfer learning[C]// Proceedings of the 2007 International Conference on Machine Learning. New York： ACM， 2007：193-200.

[18]?JAVAID A， NIYAZ Q， SUN W， et al. A deep learning approach for network intrusion detection system[C]// Proceedings of the 9th EAI International Conference on Bioinspired Information and Communications Technologies （formerly BIONETICS）. Brussels， Belgium： ICST， 2016： 21-26.

[19]?AMBUSAIDI M A， HE X， NANDA P， et al. Building an intrusion detection system using a filterbased feature selection algorithm[J]. IEEE Transactions on Computers， 2016， 65（10）： 2986-2998.

[20]?KABIR E， HU J， WANG H， et al. A novel statistical technique for intrusion detection systems[J]. Future Generation Computer Systems， 2018， 79： 303-318.

HU Jian， born in 1992， M. S.， engineer. His research interests include information security， machine learning.

SU Yongdong， born in 1967， senior engineer. Her research interests include information security.

HUANG Wenzai， born in 1963， M. S.， senior engineer. His research interests include automation of electric power system.

XIAO Peng， born in 1988， engineer. His research interests include cyberspace security.

LIU Yuting， born in 1987， M. S.， engineer. Her research interests include information security.

YANG Benfu， born in 1982， engineer. His research interests include software engineering， information security.