聶俊珂　馬鵬　蘇旸　王緒安

摘? 要： 針對(duì)傳統(tǒng)網(wǎng)絡(luò)入侵檢測方法無法有效檢測高維網(wǎng)絡(luò)下的低頻攻擊問題，提出一種結(jié)合聚類方法與非對(duì)稱堆疊去噪自動(dòng)編碼器（ASDA）進(jìn)行改進(jìn)的入侵檢測方法。該方法首先利用非對(duì)稱堆疊去噪自動(dòng)編碼器對(duì)網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)進(jìn)行數(shù)據(jù)特征提取和降維的操作，將輸出結(jié)果進(jìn)行重構(gòu)平衡。將平衡重構(gòu)后的數(shù)據(jù)集作為輸入，利用改進(jìn)K均值和密度聚類 （DBSCAN）相結(jié)合的聚類分析技術(shù)進(jìn)行特征選擇，將選擇后的特征數(shù)據(jù)作為輸入，利用淺層學(xué)習(xí)分類器隨機(jī)森林（RF）進(jìn)行分類識(shí)別。實(shí)驗(yàn)結(jié)果證明，該文方法與傳統(tǒng)入侵檢測方法相比，提升了高維網(wǎng)絡(luò)下低頻攻擊的檢測準(zhǔn)確率及效率，同時(shí)降低了誤報(bào)率。

關(guān)鍵詞： 低頻攻擊; 入侵檢測; 高維網(wǎng)絡(luò); 聚類分析; 特征提取; 分類識(shí)別

中圖分類號(hào)： TN752?34; TP393? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A? ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2020）20?0087?05

Method of low?frequency attack detection based on clustering and

asymmetric autoencoding

NIE Junke1， MA Peng1， SU Yang1，2， WANG Xuan1，2

（1. College of Cryptographic Engineering， Engineering University of Armed Police Force， Xian 710086， China;

2. Key Laboratory of Network and Information Security of Armed Police Force， Engineering University of Armed Police Force， Xian 710086， China）

Abstract： In allusion to the problem that the traditional network intrusion detection method cannot effectively detect low?frequency attack in the high?dimensional networks， a improved intrusion detection method combing the clustering method with the asymmetric stacked denosing autoencoder （ASDA） is proposed. In this method， the ASDA is utilized to extract data features and reduce dimension of network intrusion data， and then the output results are reconstructed to balance dataset. The reconstructed equilibrium dataset is taken as the input， and the clustering analysis technology combing the improved K?Means and density?based spatial clustering of applications with noise （DBSCAN） is utilized to select the feature data. The selected feature data is used as input， and the shallow learning classifier random forests （RF） is used to conduct the classification and identification. The experimental results show that， in comparison with the traditional intrusion detection method， this method can promote the accuracy and efficiency of low?frequency attacks detection in high?dimensional networks， and reduce the false alarm rate.

Keywords： low?frequency attack; intrusion detection; high?dimensional network; clustering analysis; feature extraction; classification recognition

0? 引? 言

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全問題變得更加復(fù)雜，需要加以解決。異常檢測綜合利用聚類分析和人工智能等方法，從正常模式中識(shí)別惡意行為，具有檢測未知攻擊的優(yōu)點(diǎn)。盡管所有這些方法都可以單獨(dú)使用來提高入侵檢測系統(tǒng)的性能，但采用混合學(xué)習(xí)方法可以獲得最佳的檢測精度和檢測率。

文獻(xiàn)[1]改進(jìn)了K均值算法，實(shí)現(xiàn)了對(duì)非常規(guī)行為的識(shí)別。首先，對(duì)數(shù)據(jù)集中的離群點(diǎn)和錯(cuò)誤點(diǎn)進(jìn)行過濾，然后計(jì)算出相關(guān)數(shù)據(jù)點(diǎn)之間的度量，并使用一個(gè)動(dòng)態(tài)和迭代的過程獲取K簇的中心，實(shí)驗(yàn)證明該聚類方法檢測率有所提升和誤差率有所降低。文獻(xiàn)[2]為了解決現(xiàn)有方法無法探測網(wǎng)絡(luò)中復(fù)雜的攻擊問題，提出了一種K均值聚類和貝葉斯分類相結(jié)合的方法。首先對(duì)數(shù)據(jù)進(jìn)行聚類，然后對(duì)其進(jìn)行分類。文獻(xiàn)[3]使用神經(jīng)網(wǎng)絡(luò)的組合方法來進(jìn)行網(wǎng)絡(luò)入侵檢測研究。首先利用自動(dòng)編碼器對(duì)攻擊特征進(jìn)行約簡，然后用DBN學(xué)習(xí)方法對(duì)攻擊進(jìn)行識(shí)別。該文獻(xiàn)提出的神經(jīng)網(wǎng)絡(luò)的組合方法是在不同的重復(fù)情況下進(jìn)行的，與使用單一神經(jīng)網(wǎng)絡(luò)方法相比，重復(fù)次數(shù)越多，該組合模型對(duì)網(wǎng)絡(luò)攻擊的檢測精度越高。

大多數(shù)研究人員在試驗(yàn)各種算法的結(jié)合，以及為特定數(shù)據(jù)集生成最精確和最有效解決方案的分層方法。盡管上述方法已經(jīng)取得了較高的檢測精度，但也存在一些問題。以前的異常檢測技術(shù)無法有效檢測低頻攻擊，包括人工智能方法。該問題源于訓(xùn)練數(shù)據(jù)集的不平衡，這意味著當(dāng)面對(duì)這些類型的低頻攻擊時(shí)，NIDS提供了較弱的檢測精度。同時(shí)高維網(wǎng)絡(luò)中存儲(chǔ)和通過網(wǎng)絡(luò)的數(shù)據(jù)量持續(xù)增加，實(shí)際應(yīng)用中要高速處理大量網(wǎng)絡(luò)數(shù)據(jù)包，確保令人滿意的精確度、有效性和效率也是NIDS的一個(gè)重大挑戰(zhàn)。

針對(duì)高維網(wǎng)絡(luò)下處理大量數(shù)據(jù)效率低、低頻攻擊檢測精度低等問題，本文設(shè)計(jì)了一種采用聚類分析技術(shù)與非對(duì)稱堆疊去噪自編碼網(wǎng)絡(luò)結(jié)合的入侵檢測分類模型KDBSCAN?ASDA（Asymmetric Stacked Denosing Autoencoder），該模型使用隨機(jī)森林作為分類器，將深度學(xué)習(xí)方法與淺層分類器結(jié)合起來。該分類模型采用分級(jí)非對(duì)稱自編碼結(jié)構(gòu)，適用于處理高維網(wǎng)絡(luò)的數(shù)據(jù)輸入，對(duì)數(shù)據(jù)集進(jìn)行平衡處理，增大低頻攻擊貢獻(xiàn)度，同時(shí)結(jié)合K均值和DBSCAN（Density?Based Spatial Clustering of Applications with Noise）兩種聚類方法提升準(zhǔn)確度以及檢測效率。本文使用ISCX 2012數(shù)據(jù)集對(duì)該模型的有效性進(jìn)行了實(shí)驗(yàn)評(píng)估，證明了在檢測高維網(wǎng)絡(luò)下低頻攻擊的任務(wù)上，該方案的檢測準(zhǔn)確度以及檢測效率優(yōu)于傳統(tǒng)檢測方法。

1? 改進(jìn)的K均值與DBSCAN結(jié)合算法

DBSCAN算法使用參數(shù)（ε，MinPts）鄰域來描述樣本集的相似性。其中，ε是某一樣本的鄰域距離度量，MinPts是上述度量鄰域中樣本個(gè)數(shù)的閾值。假設(shè)樣本集是D，則相關(guān)定義如下[4]：

定義1（ε?鄰域）：對(duì)于xj∈D，其中ε?鄰域包含樣本集D中以xj為圓心，半徑為ε范圍內(nèi)的子樣本，這個(gè)子樣本的個(gè)數(shù)記為：

[Nε（xj）=xj∈D|distance（xi，xj）≤ε]? （1）

定義2（核心對(duì)象）：對(duì)于任一樣本xj，如果[Nε（xj）≥MinPts]，則xj是核心對(duì)象。

K均值算法采用歐氏距離來評(píng)價(jià)相似性，它是求初始聚類中心向量[V=（v1，v2，…，vk）T] 的最優(yōu)分類，使得聚類準(zhǔn)則函數(shù)[Jc]最小。聚類準(zhǔn)則函數(shù)[Jc]定義為：

[Jc=i=1kp∈Cip-Mi2] （2）

式中，[Mi]，p是類[Ci]中數(shù)據(jù)對(duì)象的均值與空間點(diǎn)。

DBSCAN算法能根據(jù)數(shù)據(jù)集的密度分布自動(dòng)聚類，而K均值算法一般只適用于凸樣本集的聚類，DBSCAN算法兩者都可適用，但類別數(shù)目可能達(dá)不到預(yù)期目標(biāo)。因此本文將DBSCAN算法聚類后的結(jié)果輸入K均值算法進(jìn)行聚類，加快收斂速度，達(dá)到預(yù)期目標(biāo)數(shù)目。

輸入數(shù)據(jù)集D，給定鄰域距離閾值ε及鄰域中樣本個(gè)數(shù)的閾值MinPts，改進(jìn)后的算法步驟如下：

1） 初始化核心對(duì)象集合[Π]為空集， 初始化聚類簇?cái)?shù)k=0，初始化未訪問樣本集合[Γ]=D，? 簇劃分C為空集。

2） 對(duì)于j=1，2，…，m， 按下面的步驟找出所有的中心對(duì)象：

① 通過距離度量方式，找到樣本xj的ε?鄰域子樣本集Nε（xj）;

② 如果子樣本集樣本個(gè)數(shù)滿足[Nε（xj）≥MinPts]，將xi加入中心對(duì)象集：[Π=Π?xi]。

3） 如果中心對(duì)象集合[Π]為空，則算法結(jié)束，輸出簇劃分C={C1，C2，…，Ck};否則轉(zhuǎn)入步驟4）。

4） 在中心樣本集中，隨機(jī)選取中心對(duì)象[o]，初始中心對(duì)象隊(duì)列[Πr]， 初始類號(hào)k=k+1，初始化對(duì)象集合Ck={o}， 更新未讀集合[Γ=Γ-o]。

5） 如果當(dāng)前中心對(duì)象隊(duì)列[Πr]為空，則該聚類簇Ck生成完畢， 更新簇劃分C={C1，C2，…，Ck}，更新中心對(duì)象集合[Π=Π-Ck]， 轉(zhuǎn)入步驟3）。

6） 在該核心隊(duì)列中取出一個(gè)核心對(duì)象[o′]，通過ε找出該鄰域子集[Nε（o′）]，令[Δ=Nε（o′）?Γ]， 更新當(dāng)前簇樣本集合[Ck=Ck?Δ]，更新未訪問樣本集合[Γ=Γ-Δ]，更新[Πr=Πr?（Δ?Π）-o′]，轉(zhuǎn)入步驟5）。

7） 令DBSCAN的輸出簇C={C1，C2，…，Ck}作為K均值初始聚類中心[Zj（I）]，[j=1，2，…，k]。

8） 若C>2，則用K均值對(duì)均值漂移做C-2次聚類，并使用Silhouette判斷評(píng)分最高的2個(gè)聚類，算法結(jié)束。否則轉(zhuǎn)入步驟9）。

9） 計(jì)算該點(diǎn)與DBSCAN聚類簇的距離[D（xi，Zj（I））]，[i=1，2，…，n]，[j=1，2，…，k];如果滿足[D（xi，Zj（I））=minD（xi，Zj（I）），j=1，2，…，n]，則[xi∈wk]。

10） 計(jì)算聚類準(zhǔn)則函數(shù)[Jc]。

11） 判斷：若[Jc（I）-Jc（I-1）<ε]，則算法結(jié)束;否則[I=I+1]，計(jì)算新的聚類中心，轉(zhuǎn)入步驟8）。

從上述步驟可以看出，當(dāng)條件滿足時(shí)，該算法將收斂到此點(diǎn)附近的對(duì)應(yīng)值。

2? KDBSCAN?ASDA入侵檢測分類模型

2.1? 模型設(shè)計(jì)

該入侵檢測分類模型包含4個(gè)階段： 數(shù)據(jù)處理階段、基于ASDA的特征提取和數(shù)據(jù)集重構(gòu)階段，聚類分析階段和基于RF（Random Forests）分類器的識(shí)別。數(shù)據(jù)集預(yù)處理階段：在此將數(shù)據(jù)集分割成網(wǎng)絡(luò)流文件，并進(jìn)行不正確和重復(fù)記錄的標(biāo)簽移除，詳見第3.1節(jié)?；贏SDA的特征提取和數(shù)據(jù)集重構(gòu)階段：文獻(xiàn)[5]和文獻(xiàn)[6]詳細(xì)研究了網(wǎng)絡(luò)深度、節(jié)點(diǎn)數(shù)等參數(shù)對(duì)入侵檢測性能的影響。本文綜合采用4層非對(duì)稱結(jié)構(gòu)，即輸入層節(jié)點(diǎn)數(shù)為41，隱含層依次為14，28，和14。聚類分析階段：這一階段將DBSCAN算法聚類后的輸出簇作為K均值算法的初始聚類中心進(jìn)行分析，增加了對(duì)噪聲的魯棒性同時(shí)滿足所需要的聚類數(shù)目?；赗F的入侵識(shí)別：與RF判別模型相比，由于其具有典型Soft?Max層的堆疊式自動(dòng)編碼器的分類能力相對(duì)較弱，因此將ASDA的深度學(xué)習(xí)能力與淺層分類器RF結(jié)合起來。

2.2? 模型訓(xùn)練

特征提取模塊采用無解碼器的非對(duì)稱結(jié)構(gòu)，它采用類似于經(jīng)典的自動(dòng)編碼器訓(xùn)練策略來學(xué)習(xí)非平凡特性，訓(xùn)練后的輸出不再進(jìn)行解碼，而是作為聚類分析模塊的輸入進(jìn)行聚類分析，最終將聚類后的結(jié)果作為分類器的輸入進(jìn)行訓(xùn)練。本文提出的入侵檢測模型采用輸入向量x∈Rd，并使用如式（3）所示的確定性函數(shù)逐步映射到其潛在的表示hi∈Rd，這里d表示向量的維數(shù)。

[hi=σ（Wi?hi-1+bi），? i=1，2，…，n] （3）

式中，h0=x;σ是一個(gè)激活函數(shù)，在此使用sigmod函數(shù);n為隱含層數(shù)。

與傳統(tǒng)的自動(dòng)編碼器不同，提出的堆疊去噪自編碼器不包含解碼器，其輸出向量由與式（4）相似的公式計(jì)算，作為潛在的表示。

[y=σ（Wn+1·hn+bn+1）] （4）

模型的估計(jì)量可以通過最小化m個(gè)訓(xùn)練樣本上的平方重建誤差來獲得，如下：

[E（θ）=i=1m（x（i）-y（i））2] （5）

ASDA提供了一種分層的無監(jiān)督學(xué)習(xí)算法，具有提取復(fù)雜特征的功能，因此它能夠通過對(duì)貢獻(xiàn)度最大特征進(jìn)行排序來細(xì)化模型。然而，具有典型Soft?Max層的堆疊式自動(dòng)編碼器的分類能力相對(duì)較弱。因此，將ASDA的深度學(xué)習(xí)能力與淺層學(xué)習(xí)分類器RF結(jié)合起來。RF是一種集成學(xué)習(xí)方法，可以認(rèn)為是這些未經(jīng)修剪的決策樹的包裝（記錄是隨機(jī)選擇的，從原始數(shù)據(jù)中替換），在每次分割時(shí)隨機(jī)選擇特征。它具有低偏差、對(duì)異常點(diǎn)的魯棒性和過度擬合校正等優(yōu)點(diǎn)，所有這些優(yōu)點(diǎn)在入侵檢測場景中都有較好的適用性。在深度學(xué)習(xí)研究中，入侵檢測模型的精確結(jié)構(gòu)決定了它的成功。通過對(duì)多種結(jié)構(gòu)成分的實(shí)驗(yàn)，得到了該分類模型的精確結(jié)構(gòu)，如圖1所示，取得了較好的分類效果。這些精確的參數(shù)（即神經(jīng)元和隱含層的數(shù)目）是通過交叉驗(yàn)證許多組合，直到確定最有效的組合為止，避免過度適應(yīng)的風(fēng)險(xiǎn)。

3? 實(shí)驗(yàn)結(jié)果與分析

3.1? 實(shí)驗(yàn)數(shù)據(jù)集預(yù)處理

目前，研究方法大多采用人工設(shè)計(jì)的網(wǎng)絡(luò)流量特征，因此大多數(shù)公共入侵檢測數(shù)據(jù)集，如NSL?KDD和KDD?CUP 1999，都不包含原始流量數(shù)據(jù)。為了驗(yàn)證所提出的網(wǎng)絡(luò)安全入侵檢測框架的時(shí)間效率和有效性，在少數(shù)幾個(gè)包含原始流量數(shù)據(jù)的公共數(shù)據(jù)集中，選擇ISCX 2012作為實(shí)驗(yàn)數(shù)據(jù)集。此數(shù)據(jù)集包含7天的原始網(wǎng)絡(luò)流量數(shù)據(jù)，包括正常流量和4種類型的攻擊流量：暴力破解SSH攻擊（BruteForce SSH）、分布式拒絕服務(wù)攻擊（DDoS）、HTTP拒絕服務(wù)攻擊（HTTP DoS）以及滲透攻擊（Infiltrating）。此外，攻擊流量的百分比約為2.8%，這使得ISCX 2012與實(shí)際情況相似，并且這些數(shù)據(jù)集所包含的發(fā)布時(shí)間和惡意軟件流量類型差別很大。因此，它們可以有效地評(píng)估本文所提方法的有效性。

ISCX 2012的流量格式是非拆分的PCAP，必須分割成多個(gè)網(wǎng)絡(luò)流文件。此外，標(biāo)簽文件還包含一些問題，如重復(fù)的記錄和不正確的標(biāo)簽。

1） 使用PKT2FLOW工具將原始網(wǎng)絡(luò)流量數(shù)據(jù)拆分為多個(gè)網(wǎng)絡(luò)流。

2） 檢查每個(gè)標(biāo)簽文件，所有重復(fù)的記錄和不正確的標(biāo)簽移除。

3） 將每個(gè)網(wǎng)絡(luò)流文件與處理后的標(biāo)簽文件進(jìn)行匹配。這里使用60%和40%的比例將ISCX 2012分為訓(xùn)練集和測試集，這個(gè)比率由于最近被許多研究人員使用，因此簡化了本文方法與其他方法的比較。圖2顯示了ISCX 2012數(shù)據(jù)集的預(yù)處理結(jié)果。

3.2? 實(shí)驗(yàn)設(shè)計(jì)與分析

為驗(yàn)證本文提出的入侵檢測模型的有效性，設(shè)計(jì)以下實(shí)驗(yàn)：

1） 測試數(shù)據(jù)集規(guī)模大小對(duì)模型檢測率影響的對(duì)比分析;

2） 分析單獨(dú)聚類算法和結(jié)合后對(duì)檢測性能的影響，以及與其他模型的對(duì)比。

由于許多研究人員已經(jīng)驗(yàn)證過單一K均值（K?means）和DBSCAN算法的檢測效果，本文采用同樣的測試樣例數(shù)量，即500測試樣例和1 000測試樣例，來進(jìn)行兩者結(jié)合的檢測效果對(duì)比。表1顯示，在結(jié)合2種聚類方法，隨著測試樣例數(shù)量的上升，檢測準(zhǔn)確率有了提升，這種優(yōu)勢是單一聚類方法所不具備的，驗(yàn)證了本文提出的模型在高維網(wǎng)絡(luò)中大量數(shù)據(jù)輸入情況下的入侵檢測性能。

由于本文使用的數(shù)據(jù)集為ISCX 2012，數(shù)據(jù)集的標(biāo)簽對(duì)檢測結(jié)果的性能有一定影響，因此本文的實(shí)驗(yàn)分析只對(duì)使用ISCX 2012數(shù)據(jù)集的入侵檢測模型進(jìn)行比較。此數(shù)據(jù)集發(fā)布的時(shí)間較晚，因此可獲得的實(shí)驗(yàn)結(jié)果相對(duì)較少。從圖3可以看出，本文提出的模型在低頻攻擊如滲透攻擊（Infiltrating）、暴力破解SSH攻擊（BFFSSH），以及HTTP拒絕服務(wù)攻擊（HTTP DoS）上具有很好的表現(xiàn)，雖然相對(duì)于其他類型的攻擊數(shù)據(jù)檢測精確率較低，但這是由于數(shù)據(jù)集預(yù)處理后仍然具有不平衡的特性導(dǎo)致的。

其次在可獲得的實(shí)驗(yàn)結(jié)果基礎(chǔ)上，以正常流量檢測率、攻擊流量檢測率、準(zhǔn)確性和總體誤報(bào)率作為評(píng)價(jià)指標(biāo)，圖4顯示了本文提出的方法與已經(jīng)公布的方法在ISCX 2012數(shù)據(jù)集上實(shí)驗(yàn)結(jié)果的比較。從圖4可以看出，KDBSCAN?ASDA在實(shí)驗(yàn)評(píng)價(jià)標(biāo)準(zhǔn)以及總體上具有最佳性能。

在訓(xùn)練和測試時(shí)間方面，KDBSCAN?ASDA的輸入數(shù)據(jù)由原始網(wǎng)絡(luò)流量組成。因此，該方法的訓(xùn)練和測試時(shí)間包括特征提取和特征選擇所需的時(shí)間。相反，前面提到的方法直接使用人工設(shè)計(jì)的特征，并且不需要時(shí)間來進(jìn)行特征提取和選擇。因此，直接比較它們的訓(xùn)練和測試時(shí)間是不合適的。然而，本文列出一些方法在文獻(xiàn)中存在的訓(xùn)練和測試時(shí)間。圖5顯示了ISCX 2012數(shù)據(jù)集的培訓(xùn)和測試時(shí)間的比較。

其他公布方法的比較

圖5顯示了KDBSCAN?ASDA與其他方法在ISCX2012數(shù)據(jù)集的訓(xùn)練和測試時(shí)間的比較結(jié)果。從圖中可以看出，雖然KDBSCAN?ASDA所提方法的時(shí)間包含特征提取和選擇階段，但它仍然達(dá)到了最低的訓(xùn)練和測試時(shí)間，這清楚地表明了本文提出的入侵檢測方法的高效率。

4? 結(jié)? 語

本文首先介紹K?means和DBSCAN算法的相關(guān)知識(shí)以及結(jié)合兩者進(jìn)行改進(jìn)的聚類算法步驟。其次，又針對(duì)傳統(tǒng)的異常檢測技術(shù)在高維網(wǎng)絡(luò)下并不能有效地檢測到低頻攻擊、訓(xùn)練時(shí)間過長等問題，提出了使用非對(duì)稱去噪自編碼網(wǎng)絡(luò)結(jié)構(gòu)處理高維網(wǎng)絡(luò)數(shù)據(jù)，結(jié)合聚類分析技術(shù)與淺層學(xué)習(xí)分類器RF的低頻攻擊檢測方法。該方法首先對(duì)原始數(shù)據(jù)集ISCX進(jìn)行平衡處理，同時(shí)結(jié)合改進(jìn)的K?Means和DBSCAN兩種聚類方法加快收斂速度，減少訓(xùn)練時(shí)間。本文也為如何檢測高維網(wǎng)絡(luò)下的低頻攻擊，提高檢測效率與準(zhǔn)確度提供了一種新的研究思路，下一步將結(jié)合無監(jiān)督學(xué)習(xí)等方法研究如何在高維動(dòng)態(tài)網(wǎng)絡(luò)下實(shí)時(shí)檢測未知攻擊的相關(guān)問題。

注：本文通訊作者為蘇旸。

參考文獻(xiàn)

[1] HAN L. Using a dynamic k?means algorithm to detect anomaly activities [C]// Seventh International Conference on Computational Intelligence & Security. Hainan： IEEE， 2012： 1049?1052.

[2] MUDA Z， YASSIN W， SULAIMAN M N， et al. Intrusion detection based on K?means clustering and OneR classification [C]// 7th International Conference on Information Assurance and Security. Melacca： IEEE， 2011： 1?6.

[3] ARUN K S， GOVINDAN V K. A hybrid deep learning architecture for latent topic?based image retrieval [J]. Data science & engineering， 2018， 3（2）： 166?195.

[4] 孫名松，韓群.基于LDA模型的海量APT通信日志特征研究[J].計(jì)算機(jī)工程，2017，43（2）：194?200.

[5] 高妮，高嶺，賀毅岳，等.基于自編碼網(wǎng)絡(luò)特征降維的輕量級(jí)入侵檢測模型[J].電子學(xué)報(bào)，2017，45（3）：730?739.

[6] SHONE N， NGOC T N， PHAI V D， et al. A deep learning approach to network intrusion detection [J]. IEEE transactions on emerging topics in computational intelligence， 2018， 2（1）： 41?50.

[7] AKYOL A， HACIBEYO?LU M， KARLIK B. Design of multilevel hybrid classifier with variant feature sets for intrusion detection system [J]. IEICE transactions on information and systems， 2016， 99（7）： 1810?1821.

[8] ANBAR M， ABDULLAH R， HASBULLAH I H， et al. Comparative performance analysis of classification algorithms for intrusion detection system [C]// Privacy， Security & Trust. Auckland： IEEE， 2017： 282?288.

[9] PATEL G K， DABHI V K， PRAJAPATI H B. Clustering using a combination of particle swarm optimization and K?means [J]. Journal of intelligent systems， 2016， 26 （3）： 395?406.

[10] TAN Z， JAMDAGNI A， HE X， et al. Detection of denial?of?service attacks based on computer vision techniques [J]. IEEE transactions on computers， 2015， 64（9）： 2519?2533.

[11] BATAGHVA M， WANG X， BEHNAD A， et al. On efficiency enhancement of the correlation?based feature selection for intrusion detection systems [C]// Information Technology， Electronics & Mobile Communication Conference. Vancouver： IEEE， 2016： 1?7.

[12] KATO K， KLYUEV V. Development of a network intrusion detection system using Apache Hadoop and Spark [C]// IEEE Conference on Dependable & Secure Computing. Taipei， China： IEEE， 2017： 416?423.

[13] 陳良臣，劉寶旭，高曙.網(wǎng)絡(luò)攻擊檢測中流量數(shù)據(jù)抽樣技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2019，19（8）：22?28.