基于機(jī)器學(xué)習(xí)的無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)技術(shù)*

肖 衡龍草芳

(1.三亞學(xué)院信息與智能工程學(xué)院，海南 三亞572022；2.三亞學(xué)院陳國(guó)良院士工作站，海南 三亞572022)

無(wú)線傳感網(wǎng)絡(luò)中包含嵌入式計(jì)算、分布式信息處理等技術(shù)，一般被安置于無(wú)人區(qū)域及惡劣環(huán)境中，實(shí)時(shí)監(jiān)測(cè)并感知被監(jiān)測(cè)目標(biāo)的信息，運(yùn)用自組多跳形式[1]傳遞至用戶終端，這一通信傳輸過(guò)程對(duì)安全性要求很高。 但傳感網(wǎng)絡(luò)存在節(jié)點(diǎn)能量受限[2]、節(jié)點(diǎn)數(shù)量較大、缺少明確的網(wǎng)絡(luò)防御邊界等實(shí)際問(wèn)題，與其他類型網(wǎng)絡(luò)相比，更易遭受攻擊者惡意入侵，如何有效抵制異常入侵行為、保障通信數(shù)據(jù)的完整性[3]成為無(wú)線傳感網(wǎng)絡(luò)通信研究的核心內(nèi)容。 無(wú)線傳感網(wǎng)絡(luò)通信的攻擊方式主要有消耗能量與偽造數(shù)據(jù)，不同的攻擊方式對(duì)網(wǎng)絡(luò)的影響與威脅各不相等，通常來(lái)說(shuō)，被動(dòng)攻擊，例如黑洞攻擊、重發(fā)攻擊等對(duì)網(wǎng)絡(luò)通信的威脅較小，但主動(dòng)攻擊譬如洪泛攻擊、女巫攻擊等不會(huì)將網(wǎng)絡(luò)數(shù)據(jù)作為攻擊目標(biāo)，而是把網(wǎng)絡(luò)路由看作攻擊對(duì)象，引發(fā)網(wǎng)絡(luò)局部混亂，更有甚者令網(wǎng)絡(luò)整體癱瘓。以常見的黑洞攻擊、灰洞攻擊、洪泛攻擊與調(diào)度攻擊為例，詳細(xì)闡明攻擊的具體形態(tài)。

第一，黑洞攻擊[4]。 無(wú)線傳感網(wǎng)絡(luò)中的部分節(jié)點(diǎn)會(huì)錯(cuò)誤地匯聚在偽簇頭節(jié)點(diǎn)，出現(xiàn)數(shù)據(jù)包傳輸失誤的情況。 發(fā)起黑洞攻擊的偽簇頭節(jié)點(diǎn)會(huì)舍棄數(shù)據(jù)包，導(dǎo)致無(wú)線傳感網(wǎng)絡(luò)無(wú)法完成通信數(shù)據(jù)的傳輸。

第二，灰洞攻擊。 與黑洞攻擊類似，攻擊節(jié)點(diǎn)在各工作周期初始時(shí)段，把自身簇頭節(jié)點(diǎn)的信息廣播傳送至其余節(jié)點(diǎn)，導(dǎo)致部分節(jié)點(diǎn)加入到偽簇頭節(jié)點(diǎn)中。 與黑洞攻擊的區(qū)別在于，發(fā)起灰洞攻擊的偽虛頭節(jié)點(diǎn)會(huì)在任意舍棄數(shù)據(jù)包的同時(shí)，阻礙數(shù)據(jù)包與基站之間的數(shù)據(jù)傳輸。

第三，洪泛攻擊[5]。 該攻擊模式會(huì)傳輸較多簇頭廣播信息侵占帶寬資源，損耗感知層節(jié)點(diǎn)的能源供應(yīng)，攻擊節(jié)點(diǎn)會(huì)偽裝自己并損耗感知節(jié)點(diǎn)能源。

第四，調(diào)度攻擊。 調(diào)度攻擊產(chǎn)生于傳輸協(xié)議的前期，惡意攻擊會(huì)偽裝成簇頭節(jié)點(diǎn)，給予全部感知節(jié)點(diǎn)相等的數(shù)據(jù)時(shí)間戳，調(diào)整廣播調(diào)度致使數(shù)據(jù)傳輸發(fā)生沖突。

面對(duì)異常入侵檢測(cè)問(wèn)題，文獻(xiàn)[6]提出基于自步學(xué)習(xí)的入侵檢測(cè)方法，該方法通過(guò)自主學(xué)習(xí)模型優(yōu)化損失函數(shù)，調(diào)整權(quán)值更新方法并計(jì)算弱分類器參數(shù)，創(chuàng)建弱分類器實(shí)現(xiàn)入侵檢測(cè)。 該方法能夠很好地解決異常入侵檢測(cè)問(wèn)題，但自主學(xué)習(xí)模型優(yōu)化損失函數(shù)耗時(shí)過(guò)長(zhǎng)，導(dǎo)致入侵檢測(cè)的效率過(guò)低。 文獻(xiàn)[7]提出基于序列模型的入侵檢測(cè)方法，將網(wǎng)絡(luò)與主機(jī)相結(jié)合，創(chuàng)建入侵檢測(cè)系統(tǒng)，利用深度學(xué)習(xí)方法識(shí)別入侵行為。 該方法有效地保證了無(wú)線傳感網(wǎng)絡(luò)的安全，但此方法在構(gòu)建入侵檢測(cè)系統(tǒng)時(shí)沒(méi)有剔除冗余數(shù)據(jù)，導(dǎo)致入侵檢測(cè)精度不足。 文獻(xiàn)[8]提出基于神經(jīng)模糊的入侵檢測(cè)方法，該方法采用模糊神經(jīng)網(wǎng)絡(luò)構(gòu)建入侵檢測(cè)輔助工具，并在每個(gè)輕量級(jí)節(jié)點(diǎn)中進(jìn)行檢測(cè)。 該方法的優(yōu)點(diǎn)是能耗較低，輔助工具可以獨(dú)立地監(jiān)視節(jié)點(diǎn)的行為，判斷節(jié)點(diǎn)的可信程度，從而降低虛警概率。 但是該方法的時(shí)間開銷較大。 文獻(xiàn)[9]針對(duì)無(wú)線傳感網(wǎng)絡(luò)中的入侵檢測(cè)問(wèn)題，以入侵路徑跟蹤為出發(fā)點(diǎn)進(jìn)行研究。 首先計(jì)算出惡意入侵的興趣區(qū)，并檢測(cè)出興趣區(qū)中的入侵痕跡，沿著入侵痕跡明確入侵路徑，從而完成入侵檢測(cè)。 該方法具有可操作性，但是由于興趣區(qū)中的入侵路徑十分不規(guī)則，導(dǎo)致入侵檢測(cè)精度較低。

因此，設(shè)計(jì)了一種基于機(jī)器學(xué)習(xí)的無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)技術(shù)。 全方面分析無(wú)線傳感網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)與遭受的攻擊類型，通過(guò)支持向量機(jī)方法實(shí)現(xiàn)無(wú)線傳感網(wǎng)絡(luò)通信節(jié)點(diǎn)定位，獲悉網(wǎng)絡(luò)節(jié)點(diǎn)分布情況，通過(guò)重要性指標(biāo)衡量節(jié)點(diǎn)是否被入侵，從而實(shí)現(xiàn)異常入侵檢測(cè)。

1 無(wú)線傳感網(wǎng)絡(luò)通信節(jié)點(diǎn)定位

當(dāng)前已有的通信異常入侵檢測(cè)方法，忽略了對(duì)網(wǎng)絡(luò)通信狀態(tài)的獲取，無(wú)法對(duì)通信異常局域?qū)崿F(xiàn)精準(zhǔn)定位[10]。 因此，在本研究進(jìn)行通信異常入侵檢測(cè)前，利用機(jī)器學(xué)習(xí)中的支持向量機(jī)方法定位通信節(jié)點(diǎn)，明確無(wú)線傳感網(wǎng)絡(luò)的通信狀態(tài)，判斷通信過(guò)程是否存在潛在威脅。

支持向量機(jī)將向量非線性映射投影至高維特征空間內(nèi)[11]，完成向量結(jié)構(gòu)的最優(yōu)化處理，其結(jié)構(gòu)如圖1 所示。

圖1 支持向量機(jī)結(jié)構(gòu)

圖1 中，y表示輸出值，x表示輸入值。 從函數(shù)層面來(lái)看，支持向量機(jī)的分類函數(shù)和神經(jīng)網(wǎng)絡(luò)分類函數(shù)較為接近，在輸出的節(jié)點(diǎn)內(nèi)不但擁有線性組合特性，且各節(jié)點(diǎn)內(nèi)的支持向量機(jī)極度相似。

支持向量機(jī)利用線性可分原則分類信息，可明確最優(yōu)分類面之間每個(gè)維度空間節(jié)點(diǎn)的內(nèi)涵。 最優(yōu)分類面必須符合如下兩個(gè)特點(diǎn):第一，準(zhǔn)確評(píng)估兩種不同節(jié)點(diǎn)的類別，第二，判斷分類的特征值要足夠大，也就是向量的分類間隔必須是最高值，實(shí)現(xiàn)精準(zhǔn)分類，符合訓(xùn)練誤差為0 的計(jì)算要求。

假設(shè)X1，…，Xm是一組包含m個(gè)傳感器的數(shù)據(jù)集，xi是傳感器處于網(wǎng)絡(luò)中的方位。 若第一個(gè)傳感器n的方位是已知的，按照傳感器接收或輸送信號(hào)s(xi，xj)的具體狀況，能夠獲得節(jié)點(diǎn)的大概位置。 把(xi，yi)n

i=1看作訓(xùn)練樣本，創(chuàng)建分類核函數(shù)K(x，x′)，該函數(shù)代表兩個(gè)數(shù)據(jù)點(diǎn)x、x′之間的相關(guān)度。 在函數(shù)中必須具備一個(gè)特征空間H。

設(shè)定din是第i個(gè)未知節(jié)點(diǎn)至第n個(gè)錨節(jié)點(diǎn)的測(cè)量距離，是第i個(gè)未知節(jié)點(diǎn)的大概位置，將測(cè)量獲得的一組數(shù)據(jù)向量記作:

將支持向量機(jī)節(jié)點(diǎn)定位的待訓(xùn)練數(shù)據(jù)集合記作:

式中:di表示輸入數(shù)據(jù)，zi表示輸出數(shù)據(jù)。

在初始權(quán)重空間構(gòu)建支持向量機(jī)節(jié)點(diǎn)定位模型:

式中:φ(·)為一種將初始輸入空間映射至高維或無(wú)限維的特征空間非線性函數(shù)，ω為初始權(quán)重空間內(nèi)的權(quán)值。

在支持向量機(jī)節(jié)點(diǎn)定位時(shí)，將最優(yōu)定位問(wèn)題及其約束條件分別定義為:

式中:c表示常數(shù)均為松弛因子，b是偏差項(xiàng)。

組建拉格朗日方程，提升訓(xùn)練過(guò)程中支持向量機(jī)的收斂性能，記作:

式中:α、α*、η、η*均表示拉格朗日乘子[12]，并且均為正數(shù)。 最終將支持向量機(jī)無(wú)線傳感網(wǎng)絡(luò)節(jié)點(diǎn)定位模型描述為:

2 無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)

以入侵損失為研究基礎(chǔ)，無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)為根本目標(biāo)，探尋無(wú)線傳感網(wǎng)絡(luò)內(nèi)的惡意節(jié)點(diǎn)[13]并作出相對(duì)反應(yīng)，評(píng)估該節(jié)點(diǎn)的入侵損失是否屬于惡意行為。

潛在損失包含多個(gè)層面，主要考慮入侵目標(biāo)與行為兩個(gè)指標(biāo)，也就是通信目標(biāo)節(jié)點(diǎn)的重要性與入侵威脅性。 將目標(biāo)節(jié)點(diǎn)重要性記作A，表示被攻擊或入侵目標(biāo)的關(guān)鍵程度。 入侵威脅性表示入侵活動(dòng)自身具備的危害水平，記作B。 由此將入侵潛在損失P描述成:

按照節(jié)點(diǎn)在無(wú)線傳感網(wǎng)絡(luò)通信中的不同功能，量化節(jié)點(diǎn)重要性，將重要性較強(qiáng)的節(jié)點(diǎn)看作容易被攻擊的目標(biāo)，要預(yù)先尋找此類節(jié)點(diǎn)并進(jìn)行保護(hù)。 節(jié)點(diǎn)會(huì)因物理?yè)p壞或能量損耗影響網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，更改其余節(jié)點(diǎn)的路由路徑。 此外，鏈路狀態(tài)的變更也會(huì)形成路徑變化。 長(zhǎng)期進(jìn)行鏈路調(diào)節(jié)，會(huì)減少路由緩存的有效時(shí)間，造成資源浪費(fèi)。 路由樹內(nèi)，路由節(jié)點(diǎn)的子樹節(jié)點(diǎn)數(shù)量可以展現(xiàn)路由節(jié)點(diǎn)的重要性，也就是路由節(jié)點(diǎn)被攻擊引發(fā)的網(wǎng)絡(luò)威脅，重要性與子樹節(jié)點(diǎn)數(shù)量成正比。 由此得到節(jié)點(diǎn)的子節(jié)點(diǎn)個(gè)數(shù)為:

式中:C是節(jié)點(diǎn)i的子節(jié)點(diǎn)集合，gi是運(yùn)算獲得的節(jié)點(diǎn)i的子節(jié)點(diǎn)數(shù)量。

通過(guò)式(9)得到節(jié)點(diǎn)i的重要度:

式中:G是網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量總和，ei是節(jié)點(diǎn)i的重要度，重要度大小表示節(jié)點(diǎn)i在無(wú)線傳感網(wǎng)絡(luò)通信中的重要性，也就是對(duì)通信性能影響的大小。

量化攻擊行為，對(duì)于分析異常入侵檢測(cè)技術(shù)性能優(yōu)劣十分關(guān)鍵。 主動(dòng)攻擊，特別是將破壞網(wǎng)絡(luò)性能的攻擊模式，亟需更為實(shí)用穩(wěn)定的防護(hù)策略。 監(jiān)測(cè)節(jié)點(diǎn)挖掘到網(wǎng)絡(luò)異常信息后，會(huì)快速把信息傳輸至基站，利用基站研究異常信息并評(píng)估是否產(chǎn)生入侵行為，隔離惡意節(jié)點(diǎn)。 由于基站的能量與運(yùn)算性能遠(yuǎn)優(yōu)于傳感器節(jié)點(diǎn)，因此，此次研究借助基站完成異常入侵檢測(cè)。

推算異常行為對(duì)無(wú)線傳感網(wǎng)絡(luò)通信造成的潛在損失，如果此異常行為是入侵攻擊，則潛在損失的判定標(biāo)準(zhǔn)主要取決于三點(diǎn):一是單位時(shí)間內(nèi)異常行為的數(shù)量，二是受到異常行為影響節(jié)點(diǎn)的重要性，三是異常行為造成的后果。 將攻擊特征下對(duì)節(jié)點(diǎn)的威脅性記作:

式中:ai表示節(jié)點(diǎn)i因異常入侵行為影響所受到的威脅程度，wsk表示監(jiān)測(cè)節(jié)點(diǎn)s傳輸給基站報(bào)告入侵行為t的個(gè)數(shù)，τk表示入侵行為k的權(quán)重，代表其危險(xiǎn)性水準(zhǔn)，Mi表示節(jié)點(diǎn)i的監(jiān)測(cè)節(jié)點(diǎn)數(shù)據(jù)集。 節(jié)點(diǎn)i的潛在入侵損失通過(guò)式(12)獲得:

若基站推算得到節(jié)點(diǎn)i某個(gè)時(shí)段的入侵潛在損失高于事先設(shè)定的臨界值P，則將該節(jié)點(diǎn)視為惡意節(jié)點(diǎn)，對(duì)其進(jìn)行網(wǎng)絡(luò)隔離，實(shí)現(xiàn)無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)目標(biāo)。

3 仿真分析

在MATLAB 2020b 仿真平臺(tái)上運(yùn)行了不同的方法，比較了不同方法的檢測(cè)誤報(bào)率、漏報(bào)率、能耗和時(shí)間等指標(biāo)性能。 誤報(bào)率是指將正常行為判斷為異常行為的概率；漏報(bào)率是指將異常行為判斷為正常行為的概率。 設(shè)定了無(wú)線傳感器網(wǎng)絡(luò)通信受到惡意入侵的三種模式:黑洞攻擊、灰洞攻擊和洪流攻擊。入侵次數(shù)隨著網(wǎng)絡(luò)防護(hù)狀態(tài)的好壞而不斷變化。 為了驗(yàn)證本文提出的模型的實(shí)際效果，在UNSW-NB15最新的網(wǎng)絡(luò)異常檢測(cè)數(shù)據(jù)集上進(jìn)行了實(shí)驗(yàn)。

2005年，澳大利亞網(wǎng)絡(luò)安全部門發(fā)布了UNSWNB15 數(shù)據(jù)集。 該數(shù)據(jù)集主要針對(duì)網(wǎng)絡(luò)異常檢測(cè)。同時(shí)彌補(bǔ)了傳統(tǒng)數(shù)據(jù)集冗余度高、信息不全等缺陷。UNSW-NB15 數(shù)據(jù)集不僅覆蓋正常網(wǎng)絡(luò)流量，還覆蓋多種網(wǎng)絡(luò)攻擊類型，可以實(shí)現(xiàn)每個(gè)流量數(shù)據(jù)的49維特征。 本文在覆蓋所有攻擊類型的基礎(chǔ)上，隨機(jī)抽取部分?jǐn)?shù)據(jù)，實(shí)現(xiàn)樣本數(shù)據(jù)的均衡。 數(shù)據(jù)集的統(tǒng)計(jì)信息如表1 所示，在訓(xùn)練中，將某些類型的攻擊作為已知的流量類型進(jìn)行訓(xùn)練，并得到模型。 剩下的攻擊類型將作為未知攻擊來(lái)評(píng)估該模型對(duì)未知攻擊的檢測(cè)效果。 通過(guò)對(duì)數(shù)據(jù)集的劃分，保證用于模型訓(xùn)練的“已知類型”數(shù)據(jù)和用于模型評(píng)估的“未知攻擊”數(shù)據(jù)享有相同的數(shù)據(jù)采集和處理方法，減少不同采集方法造成的數(shù)據(jù)差異，從流量特征的本質(zhì)上評(píng)估模型對(duì)未知攻擊的檢測(cè)效果。

表1 UNSW-NB15 數(shù)據(jù)集統(tǒng)計(jì)信息

對(duì)比方法為基于序列模型的入侵檢測(cè)方法和基于神經(jīng)模糊的入侵檢測(cè)方法。 對(duì)于兩個(gè)隱含層，輸入層和輸出層的神經(jīng)元個(gè)數(shù)分別與數(shù)據(jù)特征個(gè)數(shù)和已知類別個(gè)數(shù)相同，隱含層神經(jīng)元個(gè)數(shù)分別設(shè)置為128 個(gè)和64 個(gè)。 選擇RELU 功能作為激活功能。反向傳播階段采用的優(yōu)化算法是基于動(dòng)量的隨機(jī)梯度下降算法，學(xué)習(xí)率為0.01，動(dòng)量參數(shù)為0.9。 訓(xùn)練過(guò)程經(jīng)過(guò)10 次迭代，每次使用32 個(gè)話務(wù)數(shù)據(jù)進(jìn)行訓(xùn)練，權(quán)值衰減參數(shù)設(shè)置為10-4。 為了防止網(wǎng)絡(luò)過(guò)擬合，采用了插入丟包層的方法，并將丟棄參數(shù)設(shè)置為0.1。

仿真參數(shù)如表2 所示。

表2 仿真分析參數(shù)

為提高仿真分析結(jié)果的可靠性，以文獻(xiàn)[7]提出的基于序列模型的入侵檢測(cè)方法和文獻(xiàn)[8]提出的基于神經(jīng)模糊的入侵檢測(cè)方法作為對(duì)比分析方法，與所提方法的分析結(jié)果相比較，對(duì)比不同方法的應(yīng)用性能。

圖2 給出了三種異常入侵檢測(cè)方法的誤報(bào)率與漏報(bào)率對(duì)比結(jié)果。

從圖2 中可以看出，伴隨攻擊節(jié)點(diǎn)數(shù)量的不斷遞增，三種方法的誤報(bào)率與漏報(bào)率均呈現(xiàn)出上升趨勢(shì)，但是與文獻(xiàn)[7]方法以及文獻(xiàn)[8]方法相比，所提方法的誤報(bào)率和漏報(bào)率都是最低的，表現(xiàn)出良好的檢測(cè)效果。 這是因?yàn)樵跓o(wú)線傳感網(wǎng)絡(luò)中，正常數(shù)據(jù)與入侵?jǐn)?shù)據(jù)的比例不均，屬于不平衡數(shù)據(jù)集，而所提方法使用節(jié)點(diǎn)重要性的評(píng)估策略，將惡意節(jié)點(diǎn)采取網(wǎng)絡(luò)隔離，高精度地實(shí)現(xiàn)異常入侵檢測(cè)任務(wù)。

圖2 三種入侵檢測(cè)方法誤報(bào)率和漏報(bào)率對(duì)比

由于無(wú)線傳感網(wǎng)絡(luò)通信無(wú)人看管且能量有限，采用能耗較大的入侵檢測(cè)技術(shù)會(huì)很快耗盡檢測(cè)節(jié)點(diǎn)的電能令其失效，所以能效性是衡量入侵檢測(cè)技術(shù)的核心要點(diǎn)。 下面對(duì)三種異常入侵檢測(cè)方法運(yùn)算過(guò)程中的能耗進(jìn)行仿真驗(yàn)證，如圖3 所示。

圖3 三種檢測(cè)方法的網(wǎng)絡(luò)能量消耗對(duì)比

從圖3 看出，在攻擊節(jié)點(diǎn)數(shù)量較少的狀態(tài)下，所提方法能量消耗最少，占據(jù)顯著優(yōu)勢(shì)。 文獻(xiàn)[8]提出的基于神經(jīng)模糊的入侵檢測(cè)方法在攻擊節(jié)點(diǎn)數(shù)量為6 時(shí)就達(dá)到了能量消耗的最高值，表明該方法的能量損耗較高，而文獻(xiàn)[7]提出的基于序列模型的入侵檢測(cè)方法在攻擊節(jié)點(diǎn)數(shù)量為12 時(shí)達(dá)到能量消耗最大值，說(shuō)明攻擊節(jié)點(diǎn)逐漸增加，網(wǎng)絡(luò)內(nèi)感知危險(xiǎn)節(jié)點(diǎn)的數(shù)量也會(huì)增多，但所提方法依舊保持較低的能量消耗，說(shuō)明所提方法的能量消耗較少。

為了解三種方法入侵檢測(cè)的及時(shí)性，對(duì)其檢測(cè)時(shí)間進(jìn)行仿真驗(yàn)證，如圖4 所示。

從圖4 可知，在相同仿真分析環(huán)境下，所提方法的檢測(cè)時(shí)間最短。 原因在于所提方法利用機(jī)器學(xué)習(xí)中支持向量機(jī)完成無(wú)線傳感網(wǎng)絡(luò)節(jié)點(diǎn)定位，呈現(xiàn)出當(dāng)前網(wǎng)絡(luò)真實(shí)的運(yùn)行狀態(tài)，極大地提高了異常入侵檢測(cè)效率。

圖4 網(wǎng)絡(luò)異常入侵檢測(cè)時(shí)間

4 結(jié)論

為維護(hù)無(wú)線傳感網(wǎng)絡(luò)的通信安全，保證數(shù)據(jù)可靠傳輸，提出了基于機(jī)器學(xué)習(xí)的無(wú)線傳感網(wǎng)絡(luò)通信異常入侵檢測(cè)技術(shù)。 使用機(jī)器學(xué)習(xí)實(shí)現(xiàn)節(jié)點(diǎn)定位，利用節(jié)點(diǎn)重要性指標(biāo)衡量無(wú)線傳感網(wǎng)絡(luò)通信是否發(fā)生入侵行為，增強(qiáng)節(jié)點(diǎn)能量利用率，在維護(hù)網(wǎng)絡(luò)正常應(yīng)用狀態(tài)下，進(jìn)一步提升異常入侵檢測(cè)結(jié)果的準(zhǔn)確性。 但在分類召回率和區(qū)分未知和已知流量類型的檢測(cè)錯(cuò)誤率方面仍有提升空間，需要在今后的工作中進(jìn)一步解決。 此外，現(xiàn)有的異常檢測(cè)數(shù)據(jù)集還存在樣本分布不均勻的問(wèn)題，一些攻擊樣本數(shù)量較少。利用生成的模型手動(dòng)生成攻擊樣本進(jìn)行模型訓(xùn)練也是今后工作中非常重要的研究?jī)?nèi)容。