汪祖民，王冬昊，梁 霞，鄒啟杰，秦 靜，高 兵

(1.大連大學(xué) 信息工程學(xué)院，遼寧 大連 116622；2.大連大學(xué) 軟件工程學(xué)院，遼寧 大連 116622；3.遼寧輕工職業(yè)學(xué)院 信息工程系，遼寧 大連 116100)

0 引言

物聯(lián)網(wǎng)的普及使更多的新用戶、新設(shè)備不斷地連入網(wǎng)絡(luò)[1]。由于保護(hù)個(gè)人信息的需要，對網(wǎng)絡(luò)安全的需求也在快速增長。因此，網(wǎng)絡(luò)入侵的防御與檢測已經(jīng)成為網(wǎng)絡(luò)安全管理系統(tǒng)中的重要組成部分[2]。隨著機(jī)器學(xué)習(xí)與深度學(xué)習(xí)技術(shù)的不斷成熟，二者在網(wǎng)絡(luò)入侵檢測中更加重要。然而，在網(wǎng)絡(luò)流量中通常存在著嚴(yán)重的數(shù)據(jù)不平衡問題[3]，即異常數(shù)據(jù)流量遠(yuǎn)小于正常數(shù)據(jù)流量，同時(shí)各類別所占的數(shù)據(jù)比例分布不均勻[4]，這就使得分類器的學(xué)習(xí)性能和準(zhǔn)確率顯著下降。

為解決網(wǎng)絡(luò)入侵檢測中數(shù)據(jù)不平衡問題，眾多學(xué)者對其進(jìn)行了深入研究，主要通過數(shù)據(jù)生成和特征處理2種方式來提升網(wǎng)絡(luò)入侵檢測的檢測精度。在數(shù)據(jù)生成方面，王磊等[5]將K-means算法與加權(quán)隨機(jī)森林結(jié)合，引入歐式距離作為欠采樣時(shí)分配樣本個(gè)數(shù)的權(quán)重依據(jù)，算法在面對不平衡數(shù)據(jù)時(shí)具有較好的穩(wěn)定性。高忠石等[6]提出了一種基于PCA-LSTM(principal components analysis long short term memory)的入侵檢測方法，該方法著重提高了小樣本數(shù)據(jù)集的檢測精度，但在面對大量樣本的檢測時(shí)性能較差。張仁杰等[7]通過聚類法對數(shù)據(jù)集進(jìn)行劃分，使用變分自編碼器對劃分出的邊界樣本進(jìn)行擴(kuò)充，比原始樣本檢測精度提高了20.9百分點(diǎn)。王垚等[8]提出了一種新的過采樣方法，通過計(jì)算實(shí)例硬度，準(zhǔn)確識(shí)別難以正確分類的樣本。通過聚類算法結(jié)合實(shí)例硬度識(shí)別安全區(qū)域，并依據(jù)統(tǒng)計(jì)學(xué)最優(yōu)分配原理進(jìn)行過采樣，從而有效提高了分類器的分類性能。

在特征處理方面，李小劍等[9]將堆疊稀疏自編碼網(wǎng)絡(luò)和加權(quán)極限學(xué)習(xí)(weighted extreme learning machine，WELM)進(jìn)行融合，再以WELM作為集成算法(AdaBoost)的基礎(chǔ)分類器來解決高維海量數(shù)據(jù)的類別分布不均衡問題，準(zhǔn)確率達(dá)到93.83%。馮英引等[10]提出了一種類別重組技術(shù)結(jié)合FocalLoss損失函數(shù)的處理方法，對原始網(wǎng)絡(luò)入侵流量分類，該方法提高了入侵檢測中的稀有類樣本的準(zhǔn)確率。王榮杰等[11]從數(shù)據(jù)集劃分算法和集成規(guī)則2個(gè)角度入手提出一種新的集成分類算法，有效提高了分類精度，但穩(wěn)定性較低。徐雪麗等[12]將卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks，CNN)和支持向量機(jī)(support vector machine，SVM)結(jié)合，極大地提高了學(xué)習(xí)速度和泛化性能，但對于海量不平衡數(shù)據(jù)的檢測速度較慢。徐偉等[13]提出了一種先采用人工蜂群(ABC)算法進(jìn)行特征提取，再通過XGBoost算法對特征進(jìn)行分類和評價(jià)的方法，該方法能夠準(zhǔn)確地對不同攻擊類型進(jìn)行分類，但同樣在面對海量高維不平衡數(shù)據(jù)時(shí)，檢測精度略有下降。梁杰等[14]使用獨(dú)熱編碼將數(shù)據(jù)集中的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行編碼降維后再通過卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行特征學(xué)習(xí)，準(zhǔn)確率達(dá)到99%以上，但在對攻擊類別的樣本識(shí)別上表現(xiàn)較差。

在上述研究中，模型普遍在二分類表現(xiàn)突出，而在面對海量不平衡數(shù)據(jù)和稀有類攻擊樣本時(shí)表現(xiàn)欠佳。因此，本文通過深度學(xué)習(xí)和機(jī)器學(xué)習(xí)結(jié)合的方式，提出一種基于DBSCAN_GAN_XGBoost的網(wǎng)絡(luò)入侵檢測模型來解決現(xiàn)有問題。在擴(kuò)充稀有攻擊類樣本時(shí)，著重?cái)U(kuò)充特征不明顯的離群樣本，以保證分類器可以充分學(xué)習(xí)離群樣本，提高分類模型在面對不平衡數(shù)據(jù)時(shí)的檢測精度。

1 基于DBSCAN_GAN_XGBoost的入侵檢測方法

本文針對入侵檢測數(shù)據(jù)集中樣本數(shù)據(jù)不平衡、無法使分類器充分訓(xùn)練而導(dǎo)致的檢測精度不高的問題，提出了一種基于DBSCAN_GAN_XGBoost的入侵檢測模型，如圖1所示，具體步驟如下。

圖1 DBSCAN_GAN_XGBoost模型

步驟1數(shù)據(jù)預(yù)處理。將數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行數(shù)值化、歸一化處理，再將處理后的數(shù)據(jù)集按7∶3的比例進(jìn)行數(shù)據(jù)劃分，提取出訓(xùn)練集中的稀有類攻擊樣本。

步驟2DBSCAN噪聲樣本提取。采用DBSCAN對提取出的稀有類攻擊樣本分別聚類，劃分成離群樣本和簇內(nèi)樣本，分別提取游離在簇外的噪聲樣本和簇內(nèi)樣本。

步驟 3GAN樣本生成。采用生成對抗網(wǎng)絡(luò)對各稀有類數(shù)據(jù)樣本中的簇內(nèi)樣本和噪聲樣本進(jìn)行數(shù)據(jù)擴(kuò)充，使其在數(shù)據(jù)集中比例均衡，并保證其樣本內(nèi)部的多樣性。

步驟4XGBoost集成分類器樣本檢測。將GAN生成后的數(shù)據(jù)樣本與原始訓(xùn)練集合并成為新的訓(xùn)練數(shù)據(jù)集，訓(xùn)練得到最優(yōu)分類模型，并采用測試集完成對網(wǎng)絡(luò)異常流量的檢測。

1.1 數(shù)據(jù)預(yù)處理

(1)對字符型特征數(shù)值化。首先將UNSW-NB15數(shù)據(jù)集中的字符型特征與標(biāo)簽轉(zhuǎn)換為數(shù)值型。訓(xùn)練集和測試集中proto、service、state字符型數(shù)據(jù)表示為數(shù)值型。以service為例，該屬性共包括13個(gè)變量，用1～13依次表示13個(gè)變量。類別標(biāo)簽Normal、Backdoor、Analysis等轉(zhuǎn)化為數(shù)值表示：Normal表示為1，Backdoor表示為2，Analysis表示為3，以此類推。

(2)歸一化處理。由于各個(gè)特征屬性之間的數(shù)值相差較大，故對所有特征進(jìn)行數(shù)值歸一化處理。采用min-max方法將數(shù)據(jù)集中不同特征的取值轉(zhuǎn)換到[-1,1]中，不改變其原始信息。轉(zhuǎn)換表達(dá)式為

(1)

1.2 DBSCAN樣本提取

網(wǎng)絡(luò)入侵檢測中對稀有攻擊類型樣本進(jìn)行樣本擴(kuò)充時(shí)，通常直接對提取出的稀有類數(shù)據(jù)進(jìn)行過采樣。該方法只平衡了不同類別樣本數(shù)量差異，忽略了樣本內(nèi)部的不同，即同一種攻擊類型數(shù)據(jù)也會(huì)有不同的攻擊特征，如果將數(shù)據(jù)集中稀有攻擊類數(shù)據(jù)提取后直接送入生成模型中進(jìn)行訓(xùn)練，那么訓(xùn)練后依然會(huì)有分布在原始樣本邊緣的噪聲樣本，且噪聲樣本的數(shù)量較小，無法使分類器得到充分學(xué)習(xí)，進(jìn)而影響分類器的泛化能力和多數(shù)類樣本分類的準(zhǔn)確率。本文在對稀有攻擊類樣本進(jìn)行樣本擴(kuò)充前，先將稀有攻擊類樣本進(jìn)行聚類，分離出簇內(nèi)樣本和噪聲樣本。相較于其他聚類算法，基于密度聚類的DBSCAN算法能夠有效處理任意形狀的聚類，通過將簇定義為密度相連點(diǎn)的最大集合，在樣本內(nèi)將具有高密度的區(qū)域劃分為簇，有效分離出樣本內(nèi)的不同簇與噪聲樣本。

傳統(tǒng)的DBSCAN[15]算法使用歐式距離來計(jì)算兩點(diǎn)間的距離是否小于設(shè)置的鄰域值,但在面對實(shí)際的入侵檢測問題時(shí)，數(shù)據(jù)集內(nèi)的各個(gè)特征重要性不同，從而導(dǎo)致各特征維度對簇結(jié)構(gòu)的作用程度不同。因此，本文在計(jì)算歐式距離時(shí)引入每個(gè)特征維度的權(quán)重，使鄰域內(nèi)的密度點(diǎn)可以有效避免噪聲維度對聚類精度的影響。加權(quán)的歐式距離為

(2)

模型首先使用XGBoost算法對樣本的特征權(quán)重進(jìn)行計(jì)算，賦予每個(gè)特征維度一個(gè)權(quán)重值。接著隨機(jī)選取樣本A，計(jì)算樣本A到訓(xùn)練集中其他樣本點(diǎn)的加權(quán)歐式距離，根據(jù)鄰域大小和最小樣本數(shù)檢索樣本A的所有密度可達(dá)點(diǎn)。如果樣本A是一個(gè)核心點(diǎn)，此過程就產(chǎn)生一個(gè)關(guān)于樣本A的簇;如果樣本A是一個(gè)邊界點(diǎn)并且樣本A沒有密度可達(dá)點(diǎn)，將訪問下一個(gè)樣本。每個(gè)簇由樣本相關(guān)性高的樣本聚集在一起，使用DBSCAN對分離出的稀有攻擊類樣本進(jìn)行聚類，通過調(diào)整核心點(diǎn)周圍鄰近區(qū)域的半徑和鄰近區(qū)域內(nèi)最少包含樣本數(shù)，使樣本劃分為離群樣本和簇內(nèi)樣本。

1.3 GAN稀有類樣本擴(kuò)充

數(shù)據(jù)集中的稀有攻擊類樣本在經(jīng)過DBSCAN算法處理后，獲得樣本間相關(guān)性高的簇內(nèi)樣本和容易與其他攻擊類型產(chǎn)生混淆的噪聲樣本。接著使用生成模型對其進(jìn)行樣本擴(kuò)充。

目前，在數(shù)據(jù)生成階段主流的生成模型為變分自編碼器(variational auto-encoders，VAE)和生成對抗網(wǎng)絡(luò)(GAN)，然而變分自編碼器生成的樣本要盡可能與原樣本相似，并不能生成多樣化的樣本。在實(shí)際的入侵檢測問題中，如果生成的樣本與原樣本相同，那么就會(huì)因同一攻擊類型樣本單一、缺乏多樣性造成分類器的學(xué)習(xí)不充分，容易產(chǎn)生過擬合。與VAE非黑即白的判別方式不同，GAN通過生成器和判別器的共同進(jìn)步，使得生成的樣本具有多樣性，并且GAN的生成效果要優(yōu)于VAE，所以本文采用生成對抗網(wǎng)絡(luò)對聚類后的樣本進(jìn)行樣本擴(kuò)充。

生成對抗網(wǎng)絡(luò)是Goodfellow等[16]基于零和博弈理論，通過生成模型和判別模型交互博弈而提出的一種新的生成模型，如圖2所示。

圖2 生成對抗網(wǎng)絡(luò)

在訓(xùn)練過程中，生成器不斷提升偽造數(shù)據(jù)欺騙判別器，而判別器努力學(xué)習(xí)區(qū)分真假數(shù)據(jù)的能力。二者不斷迭代優(yōu)化，最后達(dá)到動(dòng)態(tài)均衡。生成器最終完成數(shù)據(jù)擴(kuò)充并生成仿真樣本，整個(gè)模型的目標(biāo)函數(shù)為

min maxV(D,G)=Ex～Pm[ln(D(X))]+

Ez～Pz[ln(1-D(G(z)))]。

(3)

式中：D(x)為判別器辨別從訓(xùn)練集中抽取的簇內(nèi)樣本為真的概率；1-D(G(z))為判別器辨別由生成模型生成的簇內(nèi)樣本為偽造樣本的概率；x～Pm為x取自訓(xùn)練數(shù)據(jù)中簇內(nèi)樣本的分布；z～Pz為z取自生成模型G生成簇內(nèi)樣本的數(shù)據(jù)分布；V(D,G)為損失函數(shù)，優(yōu)化D(X)時(shí)就讓V(D,G)最大，優(yōu)化G(X)就讓V(D,G)最小，最終求出最優(yōu)解的生成模型。

1.4 XGBoost分類器

XGBoost[17]在梯度提升的基礎(chǔ)上改善了目標(biāo)函數(shù)的計(jì)算方式以提高模型精確度，同時(shí)在訓(xùn)練數(shù)據(jù)前，預(yù)先對數(shù)據(jù)進(jìn)行排序并保存，以便在之后的迭代中重復(fù)使用，降低了模型的計(jì)算量，可以較好地解決網(wǎng)絡(luò)入侵檢測在面對海量高維度數(shù)據(jù)時(shí)的檢測精度和速度問題。XGBoost的目標(biāo)函數(shù)Obj為

(4)

(5)

(6)

然后，再利用ft=0處的泰勒二階展開式找到使ft最小化的目標(biāo)函數(shù)，去除常數(shù)項(xiàng)并優(yōu)化損失函數(shù)項(xiàng)，即

(7)

式中：gi為一階導(dǎo)數(shù)；hi為二階導(dǎo)數(shù)。

(8)

(9)

(10)

此時(shí)目標(biāo)函數(shù)為關(guān)于葉子節(jié)點(diǎn)分?jǐn)?shù)wj的一元二次函數(shù)，求最優(yōu)解并將其代入到目標(biāo)函數(shù)中，如式(11)所示：

(11)

2 實(shí)驗(yàn)與分析

2.1 實(shí)驗(yàn)數(shù)據(jù)

本文使用UNSW-NB15數(shù)據(jù)集[18]對模型進(jìn)行驗(yàn)證。該數(shù)據(jù)集是真實(shí)的網(wǎng)絡(luò)正常行為和網(wǎng)絡(luò)流量攻擊的混合體，能夠較全面地反映當(dāng)前網(wǎng)絡(luò)流量的多樣性和現(xiàn)代低足跡攻擊。數(shù)據(jù)集中包含了大量低使用率的入侵攻擊和深度網(wǎng)絡(luò)流量信息。該數(shù)據(jù)集共有257 673個(gè)樣本，包含正常數(shù)據(jù)Normal和9種攻擊類型：Fuzzers、Analysis、Backdoor、DoS、Exploit、Generic、Reconnaissance、Shellcode和Worms。每1條數(shù)據(jù)都是由47維特征、多分類標(biāo)識(shí)符、二分類標(biāo)識(shí)符組成。數(shù)據(jù)集分為訓(xùn)練集(175 341個(gè)樣本)和測試集(82 332個(gè)樣本)，各類數(shù)據(jù)分布見表1。

表1 UNSW-NB15數(shù)據(jù)集各類數(shù)據(jù)分布

2.2 實(shí)驗(yàn)參數(shù)設(shè)置

基于密度的聚類算法將樣本中的高密度區(qū)域劃分為簇，每個(gè)簇看作是樣本空間中被噪聲分隔開的稠密區(qū)域，從而解決了挖掘數(shù)據(jù)時(shí)對簇的形狀要求單一的問題。DBSCAN算法通過對eps和minPts的設(shè)置可以發(fā)現(xiàn)任意形狀的簇類。eps表示每個(gè)核心點(diǎn)的鄰域中樣本間的最大距離，如果樣本間的最大距離小于或等于eps，那么將樣本劃分為同一類別,eps越大產(chǎn)生的簇就越大，包含的樣本點(diǎn)就越多。minPts表示一個(gè)鄰域半徑內(nèi)最少樣本的數(shù)量,minPts越低，算法則會(huì)建立更多的簇與噪聲樣本。在一定程度上，minPts數(shù)越大產(chǎn)生的簇就越健壯。為了確保樣本間的相似性，避免同類樣本生成過多子簇，本文經(jīng)過實(shí)驗(yàn)對比不同參數(shù)的輪廓系數(shù)，得出稀有攻擊類樣本的eps、minPts參數(shù)設(shè)置如表2所示。

表2 各稀有攻擊類eps、minPts參數(shù)設(shè)置

實(shí)驗(yàn)對DBSCAN算法分離后的少量攻擊類樣本使用GAN進(jìn)行訓(xùn)練。以Analysis樣本為例，Analysis攻擊類型被劃分為2個(gè)子簇和1份噪聲樣本，其數(shù)量分別為1 436、564、100。按照比例使用GAN算法生成新的樣本并分別設(shè)置時(shí)期為100、批大小為40、學(xué)習(xí)率為0.000 2，生成新樣本，其損失曲線分別如圖3、4所示。由圖3、4可知,當(dāng)訓(xùn)練次數(shù)到達(dá)1 000左右，生成器和判別器模型開始收斂。

圖3 生成器損失曲線

圖4 判別器損失曲線

通過GAN算法將UNSW-NB15數(shù)據(jù)集中稀有攻擊類型數(shù)據(jù)分別擴(kuò)充到10 000，對比數(shù)據(jù)生成前后各個(gè)類別的數(shù)據(jù)量。如表3所示，采用GAN算法進(jìn)行數(shù)據(jù)擴(kuò)充后，數(shù)據(jù)集中的各類別樣本比例更為均衡。

表3 樣本擴(kuò)充前后各類型數(shù)據(jù)量對比

使用樣本擴(kuò)充后的數(shù)據(jù)集對XGBoost算法進(jìn)行多次實(shí)驗(yàn)，調(diào)優(yōu)XGBoost參數(shù)。損失函數(shù)設(shè)置為Softmax，目的是把回歸結(jié)果映射成最終的多標(biāo)簽分類。eta為每個(gè)迭代產(chǎn)生的模型的權(quán)重;max_depth為每棵樹的最大深度，其值越大,模型的學(xué)習(xí)越具體，越容易過擬合。XGBoost的參數(shù)設(shè)置如表4所示。

表4 XGBoost參數(shù)設(shè)置

2.3 實(shí)驗(yàn)結(jié)果及分析

分別使用原始訓(xùn)練集和重構(gòu)后的訓(xùn)練集對XGBoost模型進(jìn)行訓(xùn)練，并在測試集進(jìn)行測試。如圖5所示，模型的準(zhǔn)確率和精確率分別為98.76%和96.50%，比樣本擴(kuò)充前分別提高了15.63百分點(diǎn)和19.60百分點(diǎn)。圖6、7分別為模型對于稀有攻擊類型數(shù)據(jù)在擴(kuò)充前后的召回率和精確率對比。實(shí)驗(yàn)結(jié)果表明，對稀有攻擊類型樣本擴(kuò)充后模型的召回率和精確率有顯著提高。這是因?yàn)楸疚脑趯颖緮U(kuò)充時(shí)，著重?cái)U(kuò)充了特征不明顯的離群樣本，讓分類器能充分學(xué)習(xí)此類樣本，使模型能夠更好地識(shí)別出稀有攻擊類型數(shù)據(jù)的類別并且提高了稀有攻擊類型數(shù)據(jù)的判別精度。

圖5 稀有攻擊類樣本擴(kuò)充前后評價(jià)指標(biāo)對比

圖6 稀有攻擊類樣本擴(kuò)充前后召回率對比

圖7 稀有攻擊類樣本擴(kuò)充前后精確率對比

如表5所示，樣本擴(kuò)充后，稀有攻擊類型Backdoor、Analysis、Shellcode和Worms的召回率均提升顯著。攻擊類型Backdoor、Analysis在數(shù)據(jù)生成前的召回率都普遍較低，這是因?yàn)閿?shù)據(jù)數(shù)量占比低，數(shù)據(jù)得不到充分學(xué)習(xí)，從而導(dǎo)致其行為難以檢測，召回率低。分別對稀有攻擊類的數(shù)據(jù)樣本和噪聲樣本進(jìn)行擴(kuò)充，提高稀有攻擊類別的占比，使稀有攻擊類樣本能夠充分被分類器學(xué)習(xí)，提高其召回率。

表5 樣本擴(kuò)充前后各類型召回率對比

本文方法與其他方法的檢測率對比如表6所示。文獻(xiàn)[14]利用CNN(convolutional neural network)對獨(dú)熱編碼處理后的原始網(wǎng)絡(luò)包進(jìn)行提取，對部分大樣本攻擊類型檢測精度達(dá)90%以上，但在面對小樣本攻擊類型時(shí)檢測精度大幅下降。

表6 不同類別數(shù)據(jù)檢測率對比

通過實(shí)驗(yàn)結(jié)果分析可知，本文通過提升Backdoor、Analysis、Shellcode、Worms稀有攻擊類型數(shù)據(jù)占比，將稀有攻擊類型數(shù)據(jù)的檢測率分別提高至99.01%、95.61%、95.51%和88.38%，證明本研究方法在網(wǎng)絡(luò)流量的檢測上對稀有攻擊類型有較好的檢測精度，特別是在Backdoor和Analysis上有較大幅度的提升。同時(shí)，文獻(xiàn)[6]在多樣本類別的檢測率上均有所提高，這是因?yàn)槲墨I(xiàn)[6]在特征維度重構(gòu)時(shí)，丟棄了會(huì)影響模型特征學(xué)習(xí)和泛化能力的只含有IP頭部信息的數(shù)據(jù)包以及空數(shù)據(jù)包內(nèi)容，從而避免了數(shù)據(jù)集在訓(xùn)練過程中形成的特征干擾，提高了檢測精度。此外，本文算法在Generic類別上有了較大提升，這是由于Generic與部分Exploit的攻擊特性接近，且在文獻(xiàn)[9-10，14]中Generic與Exploit數(shù)量相差較大,提升樹在創(chuàng)建時(shí)學(xué)習(xí)不充分，導(dǎo)致較多的特征重要性較高的特征值被誤判為Exploit攻擊。

為了進(jìn)一步驗(yàn)證DBSCAN_GAN_XGBoost算法的性能，將其與傳統(tǒng)的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法進(jìn)行比較，結(jié)果如表7所示。由表7可知，經(jīng)典機(jī)器學(xué)習(xí)算法DT(decision tree)、LR(logistic regression)檢測效果均不理想；深度學(xué)習(xí)算法LSTM(long short term memory)和DBN(deep belief networks)的檢測效果均優(yōu)于DT和LR。相比于其他算法，本文的DBSCAN_GAN_XGBoost算法在準(zhǔn)確率上平均提高了8.24百分點(diǎn)，誤報(bào)率低于LSTM算法。綜上所述，本文算法在入侵檢測中表現(xiàn)較好。

表7 算法的檢測效果

3 結(jié)論

為了使網(wǎng)絡(luò)入侵檢測能更精準(zhǔn)地辨別稀有類攻擊類型，本文提出了一種基于DBSCAN_GAN_XGBoost的入侵檢測模型。首先，模型將數(shù)據(jù)集中稀有類攻擊樣本通過加權(quán)密度聚類，分離出簇內(nèi)樣本和離群樣本。然后，使用GAN算法對分離出的樣本進(jìn)行重采樣，以確保生成的樣本滿足類別比例平衡的同時(shí)保證樣本內(nèi)部的多樣性。最后，將重采樣后攻擊類別平衡的數(shù)據(jù)集輸入到XGBoost分類器中進(jìn)行訓(xùn)練和測試，并使用攻擊類別更多且樣本量豐富的UNSW-NB15數(shù)據(jù)集來評估模型的有效性。實(shí)驗(yàn)結(jié)果表明，本文模型在保證了多數(shù)類樣本檢測精度的前提下，對稀有類攻擊類型的檢測準(zhǔn)確率和召回率提升顯著。下一步考慮在此基礎(chǔ)上使用多維優(yōu)化的方法對入侵檢測數(shù)據(jù)中數(shù)據(jù)量較多的攻擊類型進(jìn)行數(shù)據(jù)抽樣，提升多數(shù)類樣本攻擊類型檢測率，并在多個(gè)數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，從而更全面地驗(yàn)證所提算法的效果。