基于對(duì)抗性機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)研究

摘" 要： 為精準(zhǔn)、自動(dòng)辨識(shí)網(wǎng)絡(luò)欺騙攻擊模式，提升網(wǎng)絡(luò)傳輸安全性，提出基于對(duì)抗性機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)方法。該方法提取可描述網(wǎng)絡(luò)流量的行為模式、分布狀況以及流量間相互關(guān)系的網(wǎng)絡(luò)流表特征集，將其輸入生成對(duì)抗網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，構(gòu)建網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)模型；生成器在損失函數(shù)的指導(dǎo)下生成接近真實(shí)樣本的數(shù)據(jù)集，再將其輸入判別器中；判別器采用多層結(jié)構(gòu)設(shè)計(jì)，將各個(gè)判別器的輸出結(jié)果進(jìn)行整合后獲取其平均值作為最后的判斷依據(jù)，結(jié)合權(quán)重矩陣對(duì)該結(jié)果進(jìn)行投票，輸出網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)結(jié)果。測(cè)試結(jié)果顯示，該方法能夠可靠提取網(wǎng)絡(luò)流表特征，各個(gè)網(wǎng)絡(luò)欺騙攻擊類(lèi)別的平均絕對(duì)誤差百分比結(jié)果均在0.014 0以下，最小結(jié)果僅為0.005 8，效果良好。

關(guān)鍵詞： 對(duì)抗性機(jī)器學(xué)習(xí)； 網(wǎng)絡(luò)欺騙； 攻擊模式辨識(shí)； 生成器； 判別器； 網(wǎng)絡(luò)流表特征

中圖分類(lèi)號(hào)： TN711?34； TM76" " " " " " " " " " " 文獻(xiàn)標(biāo)識(shí)碼： A" " " " " " " " " " 文章編號(hào)： 1004?373X（2025）05?0086?05

Research on network spoofing attack pattern identification"based on adversarial machine learning

YANG Peng， GUO Siying

（School of Computer Science and Engineering， North Minzu University， Yinchuan 750000， China）

Abstract： A network spoofing attack pattern identification method based on adversarial machine learning （AML） is proposed to accurately and automatically identify the behavior patterns of network spoofing attacks and improve network transmission security. In this method， a feature set of network flow tables that can describe the behavior patterns， distribution status and interrelationships of network flow is extracted and input into a generative adversarial network （GAN） for training， so as to construct a network spoofing attack pattern identification model. Under the guidance of the loss function， the generator generates a dataset close to the real sample， and the dataset is then input into a discriminator. The discriminator is designed in a multi?layer structure. The output results of each discriminator are synthesized to obtain the average value， which is taken as the final judgment basis. In combination with the weight matrix， the result is subjected to vote to output the network spoofing attack recognition results. The test results show that the proposed method can extract network flow table features reliably. In addition， its mean absolute error （MAE） percentage for various types of network spoofing attacks is below 0.014 0， with a minimum of only 0.005 8， indicating good identification effect.

Keywords： adversarial machine learning; network spoofing; attack pattern identification; generator; discriminator; network flow table feature

0" 引" 言

網(wǎng)絡(luò)欺騙攻擊是指攻擊者利用各種手段建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接，利用假冒、偽裝后的身份與其他主機(jī)進(jìn)行合法的通信或者發(fā)送虛假報(bào)文，進(jìn)而實(shí)施非授權(quán)操作[1]，如注冊(cè)一個(gè)具有欺騙性的網(wǎng)站或發(fā)送釣魚(yú)郵件等，使受到攻擊的主機(jī)出現(xiàn)錯(cuò)誤[2]，從而獲取敏感數(shù)據(jù)或執(zhí)行惡意操作，獲取用戶(hù)的重要信息。該類(lèi)攻擊具備偽裝性、隱蔽性、多樣性等特點(diǎn)，辨別難度較大[3]，常見(jiàn)的網(wǎng)絡(luò)欺騙攻擊包括IP欺騙、ARP欺騙、DNS欺騙、電子郵件欺騙、Web欺騙等多種類(lèi)型。該類(lèi)攻擊造成受害者的系統(tǒng)癱瘓或無(wú)法正常運(yùn)行，并且導(dǎo)致隱私泄露和身份被盜用的風(fēng)險(xiǎn)增加以及商業(yè)機(jī)密泄露等[4]。因此，及時(shí)、精準(zhǔn)識(shí)別網(wǎng)絡(luò)欺騙攻擊模式，是保證隱私安全的主要手段。文獻(xiàn)[5]為可靠完成攻擊檢測(cè)，將動(dòng)態(tài)和靜態(tài)行為和特征相結(jié)合，構(gòu)建行為特性集，將該特征集輸入Transformer?Encoder模型中，通過(guò)該模型對(duì)特征集中的攻擊行為進(jìn)行檢測(cè)，輸出檢測(cè)結(jié)果。該方法在應(yīng)用過(guò)程中，靜態(tài)特征分析主要基于已知的惡意軟件、IP地址和域名黑名單等信息，對(duì)于未知的威脅無(wú)法有效識(shí)別。而動(dòng)態(tài)行為分析雖然能夠?qū)崟r(shí)監(jiān)測(cè)異常行為，但對(duì)于精心設(shè)計(jì)的APT攻擊，其攻擊行為會(huì)與正常行為相似，從而難以區(qū)分，降低了攻擊檢測(cè)精度。文獻(xiàn)[6]為實(shí)現(xiàn)網(wǎng)絡(luò)攻擊檢測(cè)，主要以E?RAD（Enhanced Rank Attack Detection，增強(qiáng)等級(jí)攻擊檢測(cè)）算法為核心，并使用DIS（DODAG Information Solicitation，DODAG信息請(qǐng)求）來(lái)隔離等級(jí)攻擊者，以此實(shí)現(xiàn)攻擊早期檢測(cè)和隔離確定攻擊者，并進(jìn)行攻擊者風(fēng)險(xiǎn)程度排名。但是E?RAD算法依賴(lài)于特定的網(wǎng)絡(luò)結(jié)構(gòu)或協(xié)議，如果網(wǎng)絡(luò)結(jié)構(gòu)或協(xié)議發(fā)生變化，在高速網(wǎng)絡(luò)流量或大規(guī)模攻擊的情況下，算法無(wú)法及時(shí)響應(yīng)，導(dǎo)致安全漏洞。文獻(xiàn)[7]為保證攻擊行為的有效檢測(cè)，提出分層檢測(cè)方法，將獲取的網(wǎng)絡(luò)特征輸入支持向量機(jī)中，以此實(shí)現(xiàn)特征分類(lèi)，獲取其中的異常特征。在此基礎(chǔ)上，確定網(wǎng)絡(luò)攻擊行為，但是在分層環(huán)境中，正常操作的數(shù)據(jù)通常遠(yuǎn)多于異?；蚬魯?shù)據(jù)，這導(dǎo)致數(shù)據(jù)分布不平衡。這種不平衡影響RVM和SVM等算法的分類(lèi)性能，使其對(duì)少數(shù)類(lèi)的檢測(cè)效果不佳。文獻(xiàn)[8]為確定網(wǎng)絡(luò)中的攻擊行為，將條件熵和決策樹(shù)相結(jié)合，對(duì)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行判斷，獲取網(wǎng)絡(luò)特征后，進(jìn)行網(wǎng)絡(luò)流量分類(lèi)，以此確定網(wǎng)絡(luò)中的攻擊行為。在大規(guī)模的高速網(wǎng)絡(luò)環(huán)境中，攻擊以極高的速度發(fā)生，此時(shí)該算法需對(duì)大量的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行處理，進(jìn)而導(dǎo)致算法的實(shí)時(shí)性下降，降低網(wǎng)絡(luò)安全。

由于網(wǎng)絡(luò)欺騙攻擊行為不僅難以察覺(jué)，而且具有較高的隱蔽性和復(fù)雜性。因此，為保證該攻擊的識(shí)別精度，本文提出基于對(duì)抗性機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)方法。對(duì)抗性機(jī)器學(xué)習(xí)（Adversarial Machine Learning， AML）的核心是通過(guò)欺騙性的輸入進(jìn)行機(jī)器學(xué)習(xí)模型的欺騙，使機(jī)器學(xué)習(xí)模型在遭受對(duì)抗性樣本的干擾下依然能夠保持高準(zhǔn)確率和可信度[9]。該方法通過(guò)機(jī)器學(xué)習(xí)的手段，自動(dòng)識(shí)別和發(fā)現(xiàn)網(wǎng)絡(luò)欺騙攻擊的行為模式，從而有效地提高網(wǎng)絡(luò)安全的防御能力。

1" 網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)

1.1" 網(wǎng)絡(luò)流表特征提取

為精準(zhǔn)辨識(shí)網(wǎng)絡(luò)中的欺騙攻擊模式，需先對(duì)網(wǎng)絡(luò)特征進(jìn)行提取，在獲取特征過(guò)程中，充分考慮攻擊辨識(shí)需求，并且保證攻擊辨識(shí)的實(shí)時(shí)性[10]，需選擇數(shù)量較少的特征，以此降低算法的數(shù)據(jù)處理耗時(shí)，并且該特征需充分描述網(wǎng)絡(luò)狀態(tài)和行為變化特點(diǎn)?；诖耍闹羞x擇網(wǎng)絡(luò)流表特征作為所需特征，該特征主要關(guān)注網(wǎng)絡(luò)流量的行為模式、分布狀況以及流量間的相互關(guān)系等。

為獲取網(wǎng)絡(luò)流表特征，依據(jù)網(wǎng)絡(luò)中數(shù)據(jù)轉(zhuǎn)發(fā)規(guī)則對(duì)數(shù)據(jù)進(jìn)行匹配，計(jì)算數(shù)據(jù)流表的平均數(shù)[A]，其計(jì)算公式為：

[A=DT] （1）

式中：[D]表示數(shù)據(jù)包數(shù)量；[T]表示流表項(xiàng)數(shù)。

采用兩兩相加或相乘的方式對(duì)所有流表進(jìn)行處理，以此生成特征數(shù)，其公式為：

[N=nn-12+n] （2）

式中：[n]表示原始特征數(shù)量；[N]表示生成后的特征數(shù)量。

將[N]個(gè)特征進(jìn)行組合生成一維列向量[a=a1，a2，…，anT]，使用矩陣乘法生成特征矩陣[y]，其公式為：

[y=AaT] （3）

式（3）獲取的矩陣維度為[n×n]，將[y]處理成一維特征集。

1.2" 基于生成對(duì)抗網(wǎng)絡(luò)的網(wǎng)絡(luò)欺騙攻擊識(shí)別

1.2.1" 網(wǎng)絡(luò)欺騙攻擊識(shí)別模型構(gòu)建

為精準(zhǔn)、實(shí)時(shí)完成網(wǎng)絡(luò)欺騙攻擊識(shí)別[11]，文中采用生成對(duì)抗網(wǎng)絡(luò)構(gòu)建欺騙攻擊識(shí)別模型，該模型整體包含兩個(gè)部分，分為生成器和判別器，模型在進(jìn)行欺騙攻擊模式識(shí)別時(shí)，判別器和生成器之間會(huì)形成一種博弈關(guān)系。其中：判別器通過(guò)提高其分類(lèi)準(zhǔn)確性來(lái)推動(dòng)生成器生成更真實(shí)的數(shù)據(jù)；生成器則通過(guò)提高其生成數(shù)據(jù)的質(zhì)量來(lái)挑戰(zhàn)判別器的分類(lèi)能力。這種博弈關(guān)系使得GANs能夠不斷優(yōu)化，生成越來(lái)越接近真實(shí)數(shù)據(jù)的結(jié)果。模型的整體結(jié)構(gòu)如圖1所示。

將1.1節(jié)獲取的一維特征集作為原始數(shù)據(jù)樣本集，輸入生成判別網(wǎng)絡(luò)的欺騙攻擊識(shí)別模型中，先進(jìn)行生成器和判別器之間的對(duì)抗訓(xùn)練，完成正常網(wǎng)絡(luò)測(cè)量數(shù)據(jù)和欺騙攻擊數(shù)據(jù)增強(qiáng)模型構(gòu)建。通過(guò)該模型對(duì)欺騙攻擊數(shù)據(jù)進(jìn)行過(guò)采樣處理[12]，獲取平衡的欺騙攻擊識(shí)別數(shù)據(jù)集。利用極端隨機(jī)樹(shù)作為模型的分類(lèi)器，檢測(cè)欺騙攻擊行為。同樣使用該增強(qiáng)模型生成數(shù)量與上述獲取的平衡數(shù)據(jù)集一致的正常數(shù)據(jù)集和攻擊數(shù)據(jù)集，并將其作為訓(xùn)練集，原始數(shù)據(jù)集作為測(cè)試集，分別用網(wǎng)絡(luò)訓(xùn)練和多分類(lèi)器構(gòu)建，通過(guò)構(gòu)建的分類(lèi)器進(jìn)行輸入數(shù)據(jù)集的分類(lèi)識(shí)別，輸出分類(lèi)結(jié)果。最后結(jié)合權(quán)重矩陣對(duì)分類(lèi)結(jié)果進(jìn)行投票，輸出網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)結(jié)果。

1.2.2" 生成器結(jié)構(gòu)

生成器是模型實(shí)現(xiàn)欺騙攻擊識(shí)別的重要部分，主要以1.1節(jié)獲取的一維特征集為基礎(chǔ)，將其作為原始樣本數(shù)據(jù)集，與噪聲同時(shí)輸入生成器中，生成器則在該數(shù)據(jù)集中生成一個(gè)與訓(xùn)練集類(lèi)似的數(shù)據(jù)集[13]，然后通過(guò)一系列的神經(jīng)網(wǎng)絡(luò)層逐漸將其轉(zhuǎn)化為一個(gè)與真實(shí)樣本相似的輸出。生成器結(jié)構(gòu)如圖2所示。

生成器在進(jìn)行特征集處理時(shí)，以最小化價(jià)值函數(shù)作為目標(biāo)進(jìn)行訓(xùn)練，以此保證生成器輸出結(jié)果為最優(yōu)解。生成器在生成盡可能逼真的樣本時(shí)，為指導(dǎo)生成器在訓(xùn)練過(guò)程中優(yōu)化方向，衡量生成樣本與真實(shí)樣本之間的差距，需進(jìn)行生成器損失函數(shù)的構(gòu)建。根據(jù)特定的任務(wù)需求和數(shù)據(jù)的分布特點(diǎn)，選擇合適的損失函數(shù)引導(dǎo)生成器生成更加符合要求的樣本，以此保證生成樣本質(zhì)量；并且在整個(gè)識(shí)別模型中，通過(guò)設(shè)定合理的損失函數(shù)，平衡生成器和判別器之間的競(jìng)爭(zhēng)，確保生成器和判別器能夠相互促進(jìn)、共同優(yōu)化。

如果一維特征集用[pzy]表示，其中[z]表示噪聲，對(duì)[pzy]進(jìn)行參數(shù)化處理，依據(jù)處理后的分布情況獲取生成的樣本結(jié)果[x]。文中結(jié)合欺騙攻擊模式的辨識(shí)需求，設(shè)定生成器的損失函數(shù)為兩個(gè)損失函數(shù)，其計(jì)算公式為：

[Lg=η1L1+η2L2] （4）

式中：[L1]和[L2]分別表示判別損失函數(shù)和分類(lèi)損失函數(shù)；[η1]、[η2]分別表示兩種損失函數(shù)對(duì)應(yīng)的權(quán)重系數(shù)。

[L1]主要對(duì)生成器的樣本生成進(jìn)行指導(dǎo)，使生成的數(shù)據(jù)樣本最大程度接近目標(biāo)數(shù)據(jù)樣本的分布結(jié)果；[L2]主要保證判別器能夠可靠完成生成樣本攻擊行為類(lèi)別的預(yù)測(cè)，并輸出預(yù)測(cè)結(jié)果。兩個(gè)損失函數(shù)的計(jì)算公式分別為：

[L1=-EpdDGz，y，y] （5）

[L2=-EpdLDGz，y，y] （6）

式中：[Epd]表示期望結(jié)果；[D?]表示生成樣本的實(shí)際概率；[LD]表示鑒別器；[y]表示樣本標(biāo)簽。

1.2.3" 判別器結(jié)構(gòu)

在生成對(duì)抗網(wǎng)絡(luò)中，判別器發(fā)揮著重要作用，它的核心任務(wù)是對(duì)接收到的輸入數(shù)據(jù)進(jìn)行分類(lèi)，判斷這些數(shù)據(jù)是來(lái)自于真實(shí)數(shù)據(jù)集還是由生成器生成的。除此之外，判別器通過(guò)向生成器提供反饋信號(hào)，推動(dòng)了整個(gè)網(wǎng)絡(luò)的優(yōu)化過(guò)程。為保證判別器的效果，同時(shí)提升欺騙攻擊模式識(shí)別精度，采用多判別器結(jié)構(gòu)對(duì)不同的數(shù)據(jù)進(jìn)行不同處理，最大程度提升判別器對(duì)于欺騙攻擊的判斷效果。多判別器結(jié)構(gòu)如圖3所示。

多判別器在進(jìn)行欺騙攻擊模式判別過(guò)程中，將各個(gè)判別器的輸出結(jié)果進(jìn)行綜合后獲取其平均值作為最后的判斷結(jié)果，并且將平均值和設(shè)定的攻擊閾值進(jìn)行對(duì)比，如果超過(guò)閾值即為存在欺騙攻擊，反之，則不存在。判別器的輸出計(jì)算公式為：

[yDxn=13yD1xn+yD2xn+yD3xn] （7）

式中：[yD1xn]、[yD2xn]、[yD3xn]分別表示各個(gè)判別器的輸出結(jié)果。

為保證判別器的欺騙攻擊識(shí)別效果，文中設(shè)計(jì)判別器的分類(lèi)損失函數(shù)，其公式為：

[Lu=EpdLDyfbx] （8）

式中[fb]表示攻擊算法。

依據(jù)式（8）的計(jì)算結(jié)果，最后結(jié)合權(quán)重矩陣對(duì)分類(lèi)結(jié)果進(jìn)行投票，輸出網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)結(jié)果。

2" 測(cè)試分析

為驗(yàn)證本文方法對(duì)于網(wǎng)絡(luò)欺騙攻擊模式的辨識(shí)效果，本文搭建欺騙入侵攻擊測(cè)試網(wǎng)絡(luò)，該搭建采用OpenFlow 1.3協(xié)議完成。網(wǎng)絡(luò)中設(shè)置的IP地址為103.0.111～103.0.119，通過(guò)Hping3工具進(jìn)行欺騙攻擊仿真，通過(guò)本文方法進(jìn)行欺騙攻擊模式識(shí)別，以此測(cè)試本文方法的應(yīng)用效果。通過(guò)該網(wǎng)絡(luò)測(cè)試平臺(tái)模擬網(wǎng)絡(luò)欺騙攻擊，5種欺騙類(lèi)別分別為釣魚(yú)網(wǎng)站欺騙、IP欺騙、MAC地址欺騙、ARP欺騙以及DNS欺騙，在進(jìn)行網(wǎng)絡(luò)欺騙攻擊識(shí)別測(cè)試前需進(jìn)行網(wǎng)絡(luò)超參數(shù)設(shè)置。網(wǎng)絡(luò)迭代周期為50，批大小為64，損失函數(shù)損失項(xiàng)取值為0.5，權(quán)重系數(shù)分別為0.9和0.6。

本文方法在進(jìn)行欺騙攻擊模式識(shí)別前，需提取網(wǎng)絡(luò)流表特征，特征提取結(jié)果對(duì)于攻擊識(shí)別結(jié)果存在直接關(guān)聯(lián)，因此需測(cè)試本文方法的流表特征結(jié)果。由于篇幅限制，結(jié)果僅隨機(jī)呈現(xiàn)10個(gè)網(wǎng)絡(luò)流表特征的提取結(jié)果，本文方法應(yīng)用后，能夠可靠提取網(wǎng)絡(luò)流表特征，并且呈現(xiàn)流量表特征詳情，同時(shí)可確定各個(gè)特征的數(shù)量，以此為網(wǎng)絡(luò)欺騙攻擊模式識(shí)別提供可靠依據(jù)。為驗(yàn)證本文方法對(duì)于網(wǎng)絡(luò)欺騙攻擊模式的辨識(shí)效果，測(cè)試該方法在不同的攻擊比例下對(duì)5種欺騙攻擊的辨識(shí)結(jié)果，該結(jié)果通過(guò)平均絕對(duì)誤差百分比進(jìn)行描述，其取值在0～1之間，結(jié)果越小，表示辨識(shí)效果越佳，測(cè)試結(jié)果如表1所示。

依據(jù)表1測(cè)試結(jié)果可知：隨著攻擊比例的逐漸增加，通過(guò)本文方法進(jìn)行不同類(lèi)別欺騙攻擊辨識(shí)后，各個(gè)攻擊類(lèi)別的平均絕對(duì)誤差百分比結(jié)果均在0.014 0以下，最小結(jié)果僅為0.005 8。因此，本文方法可較好完成各個(gè)類(lèi)別的網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)，并且辨識(shí)精度較高。

為進(jìn)一步驗(yàn)證本文方法對(duì)于網(wǎng)絡(luò)欺騙攻擊模式的識(shí)別效果，以測(cè)試網(wǎng)絡(luò)中的隨機(jī)3個(gè)IP地址的DNS服務(wù)器為例，對(duì)服務(wù)器進(jìn)行ARP欺騙，并且獲取本文方法的辨識(shí)結(jié)果，如圖4所示。圖中白色框?yàn)楸疚姆椒ǖ谋孀R(shí)結(jié)果。

依據(jù)圖4測(cè)試結(jié)果可知：對(duì)3個(gè)不同的DNS服務(wù)器進(jìn)行ARP欺騙攻擊，通過(guò)本文方法進(jìn)行攻擊辨識(shí)后，能夠精準(zhǔn)識(shí)別該欺騙攻擊的IP地址，并且呈現(xiàn)攻擊的字節(jié)長(zhǎng)度以及欺騙時(shí)間，因此，該方法應(yīng)用效果良好，能夠完成網(wǎng)絡(luò)欺騙攻擊辨識(shí)。

3" 結(jié)" 論

網(wǎng)絡(luò)欺騙攻擊對(duì)于網(wǎng)絡(luò)傳輸安全存在較大影響，會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸數(shù)據(jù)發(fā)生泄露、篡改等，因此，為及時(shí)、精準(zhǔn)識(shí)別網(wǎng)絡(luò)欺騙攻擊模式。本文提出基于對(duì)抗性機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)欺騙攻擊模式辨識(shí)方法。通過(guò)驗(yàn)證該方法的應(yīng)用效果后，確定其具備較好的欺騙網(wǎng)絡(luò)攻擊辨識(shí)能力，能夠可靠辨識(shí)不同類(lèi)型的欺騙攻擊，為網(wǎng)絡(luò)安全防護(hù)提供可靠依據(jù)。

注：本文通訊作者為郭思瑩。

參考文獻(xiàn)

[1] 王小雨，高媛媛，沙楠，等.無(wú)蜂窩大規(guī)模MIMO中導(dǎo)頻欺騙攻擊檢測(cè)方法[J].信號(hào)處理，2022，38（9）：1922?1930.

[2] 高春剛，王永杰，熊鑫立.MTD增強(qiáng)的網(wǎng)絡(luò)欺騙防御系統(tǒng)[J].計(jì)算機(jī)工程與應(yīng)用，2022，58（15）：124?132.

[3] 郭方洪，易新偉，徐博文，等.基于深度信念網(wǎng)絡(luò)和遷移學(xué)習(xí)的隱匿FDI攻擊入侵檢測(cè)[J].控制與決策，2022，37（4）：913?921.

[4] 張宇翔，韓久江，劉建，等.ATTamp;CK框架下基于事件序列關(guān)聯(lián)的網(wǎng)絡(luò)高級(jí)威脅檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2023，50（z1）：710?716.

[5] 梁鶴，李鑫，尹南南，等.結(jié)合動(dòng)態(tài)行為和靜態(tài)特征的APT攻擊檢測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用，2023，59（18）：249?259.

[6] NANDHINI P S， KUPPUSWAMI S， MALLIGA S， et al. Enhanced rank attack detection algorithm （E?RAD） for securing RPL?based IoT networks by early detection and isolation of rank attackers [J]. Journal of supercomputing， 2023， 79（6）： 6825?6848.

[7] 黃兆軍，曾明如.基于RVM聯(lián)合GSA?SVM的ICS分層入侵檢測(cè)算法[J].控制工程，2022，29（7）：1323?1329.

[8] 傅友，鄒東升.SDN中基于條件熵和決策樹(shù)的DDoS攻擊檢測(cè)方法[J].重慶大學(xué)學(xué)報(bào)，2023，46（7）：1?8.

[9] 董運(yùn)昌，王啟明，曹杰，等.基于過(guò)采樣和級(jí)聯(lián)機(jī)器學(xué)習(xí)的電網(wǎng)虛假數(shù)據(jù)注入攻擊識(shí)別[J].電力系統(tǒng)自動(dòng)化，2023，47（8）：179?188.

[10] 禹寧，谷良，狄婷.基于深度學(xué)習(xí)的網(wǎng)絡(luò)攻擊檢測(cè)模型[J].火力與指揮控制，2023，48（5）：66?74.

[11] 王鎖成，陳世平.一種基于殘差網(wǎng)絡(luò)改進(jìn)的異常流量入侵檢測(cè)模型[J].小型微型計(jì)算機(jī)系統(tǒng)，2023，44（12）：2757?2764.

[12] 李晶，黃杰，朱國(guó)威，等.基于自適應(yīng)一維CNN的網(wǎng)絡(luò)入侵檢測(cè)方法[J].武漢大學(xué)學(xué)報(bào)（工學(xué)版），2022，55（11）：1176?1185.

[13] 肖耿毅.基于SPCSE與WKELM的網(wǎng)絡(luò)入侵檢測(cè)方法研究[J].計(jì)算機(jī)仿真，2022，39（6）：425?429.

[14] 傅長(zhǎng)弘，賈愛(ài)軍.局域生成對(duì)抗網(wǎng)絡(luò)下視頻動(dòng)態(tài)監(jiān)控系統(tǒng)設(shè)計(jì)[J].電子設(shè)計(jì)工程，2023，31（10）：186?190.

基金項(xiàng)目：寧夏自然科學(xué)基金資助項(xiàng)目（2023AAC03310）；北方民族大學(xué)人才引進(jìn)科研項(xiàng)目（2023QNPY06）

作者簡(jiǎn)介：楊" 鵬（1981—），男，寧夏吳忠人，博士研究生，正高級(jí)工程師，研究方向?yàn)榫W(wǎng)絡(luò)安全。

郭思瑩（1987—），女，山西太原人，碩士研究生，助教，研究方向?yàn)榫W(wǎng)絡(luò)工程。