一種適用于小樣本條件的網絡入侵檢測方法

胡煒晨，許聰源，詹勇，陳廣輝，劉思情，王志強，王曉琳

研究與開發

一種適用于小樣本條件的網絡入侵檢測方法

胡煒晨，許聰源，詹勇，陳廣輝，劉思情，王志強，王曉琳

（嘉興學院信息科學與工程學院，浙江 嘉興 314001）

現有的網絡入侵檢測技術多數需要大量惡意樣本用于模型訓練，但在現網實戰時，往往只能獲取少量的入侵流量樣本，屬于小樣本條件。對此，提出了一種適用于小樣本條件的網絡入侵檢測方法。該方法由數據包采樣模塊和元學習模塊兩部分組成，數據包采樣模塊用于對網絡原始數據進行篩選、剪切與重組，元學習模塊則用于特征提取、結果分類。在基于真實網絡流量數據源構建的3個小樣本數據集上的實驗結果表明，該方法適用性好、收斂快，能有效減少異常點的出現，在10個訓練樣本下的檢測率最高可達99.29%，準確率最高可達97.93%，相比目前已有的算法，分別提升了0.12%和0.37%。

入侵檢測；小樣本；元學習；網絡安全；深度學習

0 引言

網絡入侵手段層出不窮，極大地威脅了網絡安全。網絡入侵檢測是實現網絡安全的重要內容之一，也是保障網絡安全的重要手段。在當下的網絡環境中，網絡入侵檢測是頗具復雜性與挑戰性的工作。各種機器學習算法，特別是深度學習算法，被認為可以用于檢測大規模網絡流量中的入侵行為[1]。

大部分研究人員建立的入侵檢測模型在KDD99、CICIDS2017、ISCX2012等被廣泛使用的入侵檢測數據集上都可以達到較高的檢測率?，F有的機器學習算法在面對大量樣本時，有非常出色的表現，但是在實際的網絡環境中，并沒有這樣理想。Zhang等[2]認為基于深度學習的流量檢測方法依賴于大量的樣本數據，Li等[3]認為深度網絡從少量數據中學習新概念的能力有限。在面對新出現的入侵時，能獲取的樣本數量往往非常少，無法獲取足夠多且已標記的樣本來制作數據集，使得現有的基于深度學習的入侵檢測算法很難發揮原有的作用。而且對每一種新的入侵手段制作相應的數據集是非常困難的，一方面是時間上的限制，制作這樣一個數據集需要大量的時間；另一方面是人力物力的限制，需要大量的資源才能制作一個數據集。因此，已廣泛使用的基于深度學習的檢測方法都難以在小樣本條件下有效解決入侵檢測技術存在的問題，而能對網絡安全構成威脅的往往就是這種無法獲取足夠樣本的新的入侵方式。若要維護網絡安全，如何實現小樣本條件下的網絡入侵的有效檢測是亟待解決的問題。

小樣本條件下的機器學習算法在圖像分類領域已經有了一些進展，例如，Zhang等[4]提出的不確定性感知小樣本圖像分類方法，利用數據獨立的不確定性建模，來降低噪聲對小樣本學習的不良影響；Afrasiyabi等[5]引入基于混合的特征空間學習，以在小樣本圖像分類的背景下獲得豐富而穩健的特征表示；Kang等[6]提出的關系嵌入網絡結合自關聯和交叉關聯兩個關系模塊，學習端到端管理器中的關系嵌入。但是在入侵檢測領域，針對小樣本場景的研究還非常有限。因此，本文針對性地提出了一種小樣本入侵檢測方法，可以利用它來檢測只有少量樣本的入侵行為。

本文的主要貢獻如下。

? 提出了一種適用于小樣本條件的網絡入侵檢測方法。在10個訓練樣本下的檢測率最高可達99.29%，準確率最高可達97.93%，優于現有其他方法。

? 實驗使用ISCX2012、CICIDS2017、CICIDS2018數據集的原始流量，并提出了將原始流量轉換成小樣本數據集的方法，轉換后的數據適用于評估小樣本檢測方法。

1 相關工作

1.1 網絡入侵檢測

近年來，網絡入侵檢測已經成為網絡研究領域的一個熱點。傳統的網絡入侵檢測方法分為兩種：基于規則的檢測方法和基于負載特征的檢測方法。這些網絡入侵檢測技術存在一些問題，如缺乏靈活性、誤報或漏報率較高等。

隨著機器學習方法的不斷進步，與之相關的方法也被引進入侵檢測領域中。例如，Aldwairi等[7]在網絡入侵檢測技術中結合了一種被稱為受限玻爾茲曼機的機器學習技術；Abdelmoumin等[8]提出了一種優化技術來增強使用單學習器的基于異常的機器學習入侵檢測系統的性能?；跈C器學習的檢測技術的一大局限是需要設計一個能準確反映數據特征的特征集。這個特征集的質量對整個模型的性能有著決定性的影響，但設計一個好的特征集是十分困難的。

然而，深度學習的出現，克服了傳統機器學習面臨的困難，深度學習能夠使模型自動化地學習到有效的特征。深度學習的方法自推出以來就在眾多研究領域上取得了巨大的成功。越來越多的研究人員將深度學習引入網絡入侵檢測技術，Haghighat等[9]提出一種新型基于投票的深度學習的框架，可以利用任何類型的深度學習結構，并且提供了聚合最佳模型的能力。Basati等[10]提出使用一種輕量級和高效的基于深度特征提取思想的神經網絡，在該模型中，網絡的輸入向量被排列在3D空間中，其各個值彼此靠近，可以搭建更輕量化的模型結構。Soltani等[11]提出一種深度入侵檢測系統，在該系統的學習和檢測階段使用了流量的元數據和純文本，使系統可以挖掘到在流量中被自動提取的特征之間的復雜關系。

1.2 小樣本網絡入侵檢測

當出現一種新的網絡入侵手段時，如上所述，大部分檢測模型并不能準確并且快速地識別出這些入侵。這個難題被定義為在小樣本條件下的網絡入侵檢測問題。

近幾年，有學者提出一些有關小樣本學習的算法。這些小樣本學習算法著重解決深度神經網絡依賴大樣本的問題，并且吸引更多的學者去研究小樣本問題。如上所述，隨著小樣本學習研究的興起，已經有學者在網絡入侵檢測技術中采用小樣本學習方法。例如，Liang等[12]提出一種優化的基于類內/類間的變分小樣本學習模型，其中，基于變分貝葉斯來優化類內距離的近似值，基于特征融合的相似最大化用于優化類間距離；Xu等[13]提出一種基于元學習框架的檢測方法，設計了一個由特征提取網絡和比較網絡組成的深度神經網絡；Iliyasu等[14]提出一種利用有監督的自動編碼器判別表示學習的方法；Yang等[15]提出一個多任務表示增強元學習模型，將監督學習和基于聚類的無監督學習結合，以提升來自少量標記數據的加密流量表示的差異性；Ouyang等[16]基于原型網絡提出了一種新的小樣本學習入侵檢測算法，通過一種協調獨熱編碼和主成分分析的新方法來預處理數據集；Yu等[17]提出一種基于分層數據的卷積神經網絡，第一層從原始流量中自動提取抽象特征，第二層從數據包進一步構建表示；Zhang等[2]通過利用協方差矩陣表征每個流量類別，并根據協方差度量函數計算查詢流量與每個類別之間的相似度來實現小樣本入侵檢測； Wang等[18]提出一種新的孿生網絡，設計的深度學習網絡能捕捉流量特征的動態關系；Gamal等[19]提出一種基于小樣本深度學習的入侵檢測系統，可自動識別來自網絡邊緣的零日攻擊；Shi等[20]提出一種基于模型無關的元學習（model-agnostic meta-learning，MAML）的入侵檢測框架，從原始流量中提取統計和序列特征，并引入學習遺忘衰減機制來動態控制沖突的影響；Ye等[21]提出一種用于語義感知流量檢測的小樣本潛在狄利克雷生成學習的方法，使用基于潛在狄力克雷分配的偽樣本生成算法增強訓練數據，并提出一種模糊回收方法，提高基于長短期記憶（long short-term memory，LSTM）的分類器的魯棒性；Verkerken等[22]提出一種分層入侵檢測多階段方法；Xu等[23]提出一種基于度量的一階元學習框架，通過多個任務訓練入侵檢測模型，以最大化模型的泛化能力。

本文在上述研究的基礎上，進一步降低檢測需要的樣本數量，提出的方法使用了更少的訓練樣本。此外，為了更貼合實戰環境，考慮在不同網絡下進行實驗，即使用不同網絡下采集的數據集進行實驗和測試，如使用CICIDS2017數據集進行訓練，并使用ISCX2012數據集進行測試。

2 小樣本網絡入侵檢測方法

2.1 數據預處理

大多數研究工作利用了數據集中已經提取好特征的子集合，如CICIDS2017數據集，用CICFlowMeter軟件提取了80多個特征。但是本文直接使用數據集提供的pcap包。pcap包中包含了全部原始流量，可以使模型在訓練過程中充分地學習到更多的有效特征。

首先，本文根據官方提供的可擴展標記語言（extensible markup language，XML）文件對pcap包中的數據打標簽。根據XML文件中所提供的數據流的源IP地址、源端口、目的IP地址和目的端口，對每條數據流打上相應的標簽。為了得到適用于小樣本網絡入侵檢測的數據集，構建了ISCX2012AS（after samping，數據采樣后）數據集和CICIDS2017AS數據集。ISCX2012AS數據集中包含了正常流量和4類攻擊，其中攻擊包括內部網絡滲透、超文本傳送協議（hypertext transfer protocol，HTTP）拒絕服務攻擊、使用互聯網中繼交談（Internet relay chat，IRC）僵尸網絡的分布式拒絕服務（distributed denial of service，DDoS）攻擊、暴力破解安全外殼（secure shell，SSH）；CICIDS2017AS數據集中包含了正常流量和5類攻擊，其中攻擊包括暴力破解文件傳送協議（file transfer protocol，FTP），暴力破解SSH，使用Slowloris、Slowhttptest、Hulk、GoldenEye進行的拒絕服務（denial of service，DoS）攻擊，端口掃描攻擊，使用LOIT的DDoS攻擊。

進一步地，對上述已經打過標簽的數據進行裁剪，對每條數據流都提取前16個數據包，每個數據包提取前256 byte，并且將提取的每條數據處理為16×16×16的數組。然后，為了得到相對平衡的數據集，將提取過的數據打亂，并且按照相同比例提取每一種類型的數據。

然后，使用歸一化方法將偏差過大的數值變換到0-1分布內，轉化后的數據集按照8:2的比例隨機切割為訓練集和測試集，再從訓練集中取20%作為查詢集，剩余的作為支持集。

最后，為了更好地處理網絡入侵檢測中樣本數量少的問題，引入了元學習任務的概念，將類型隨機組合形成多個小任務，從而充分利用已有樣本的信息，在隨機過程中選取任意一天中的正常和入侵數據作為測試集，其余數據均作為訓練集，任務分類如圖2所示。

圖2 任務分類

2.2 元學習算法

算法1 訓練算法

隨機初始化θ

for all epoch do

for1 to update do

計算梯度下降的自適應參數：

end

end

end

模型的訓練過程如式2所示。

面對新的任務，在元模型的基礎上，測試模型的過程與訓練的過程大致相同，不同的地方主要在于以下兩點。

3 實驗與分析

3.1 數據集

本文使用兩個公開數據集作為流量數據的來源，分別是CICIDS2017[24]與ISCX2012[25]。CICIDS2017數據集由加拿大網絡安全研究所（Canadian Institute for Cybersecurity，CIC）于2017年7月3日至7日采集，包含5天的數據流量，總共2 830 473個網絡流量，除了正常的流量，還包含入侵的流量。網絡數據的格式由原始網絡數據包（pcap包）和CICFlowMeter提取的數值統計特征組成，更加類似于真實流量。ISCX2012數據集由新不倫瑞克大學AliShiravi等人在2012年創建，旨在為網絡入侵檢測構建當代基準。該數據集通過監測7天網絡活動得來，由正常流量和惡意流量組成。該數據集能反映現實的網絡和流量，并且具備多樣化的入侵場景。生成該數據集的方法通過完全捕獲網絡跟蹤，使得數據集的自然性得以保留。

目前，還缺乏小樣本的基準數據集，所以利用這兩個數據集的原始數據，通過本文方法中的數據采樣，制作了ISCX2012AS和CICIDS2017AS兩個小樣本數據集。為了區分兩個數據集，用小寫字母（a、b、c等）表示來自ISCX2012的數據，用大寫字母（A、B、C等）表示來自CICIDS2017的數據，ISCX2012AS和CICIDS2017AS數據集中包含的攻擊類型分別見表1和表2。

表1 ISCX2012AS數據集中包含的攻擊類型

表2 CICIDS2017AS數據集中包含的攻擊類型

3.2 實驗設置

本文實驗中用到的軟/硬件環境如下：CPU為Intel(R) Xeon(R) Platinum 8350C CPU @ 2.60 GHz，內存為128 GHz，操作系統為Ubuntu 20.04，GPU為NVIDIA RTX3090，顯存為24 GB。采用CUDA 11.3作為GPU加速庫，使用了Python 3.8和深度學習框架PyTorch 1.1.0。

在本文方法中，構造模塊作為特征提取器與分類器。其中，特征提取器用于處理16通道16×16的數據。模塊的結構如圖3所示。特征提取器的輸出為64×1×1，其中還使用批標準化（batch normalization，BN）約束數據正態化讓數據分布更集中，最后使用線性整流函數（rectified linear unit，ReLU）作為激活函數。

圖3 模塊N的結構

其中，卷積層的參數分別是輸入通道數、輸出通道數、卷積核的尺寸、步長與填充，最大池化層的參數分別是窗口大小和步幅，全連接層的參數分別是輸入的樣本大小、輸出的樣本大小。

算法的超參數設置見表3。

根據訓練集與測試集的數據來源，設計了如下兩類實驗，實驗Ⅰ為同網實驗，表示在同種網絡情況下，各種攻擊類型和樣本數量在兩種數據集上的檢測情況。而在真實場景中，所獲取的數據往往來自不同的網絡，即存在跨網情況，因此設計實驗Ⅱ為跨網實驗，通過改變訓練集與測試集的網絡來源，模擬真實場景下的小樣本條件。具體實驗如下。

表3 算法的超參數設置

實驗Ⅰ：在兩個數據集上分別進行實驗，保證在實驗Ⅰ中的訓練集與測試集均來自同一個數據集，即用同一個網絡環境中的數據檢測相同網絡環境情況下的攻擊類型。ISCX2012AS包含4種攻擊類型。使用其中3種作為訓練集的數據，另一種攻擊類型作為測試集的數據。構建足夠數量的訓練和測試任務進行實驗。相應地，CICIDS2017AS數據集包含5種攻擊類型。將其中4種作為本方法訓練集的數據，剩下1種作為測試集的數據。分別提供4組和5組的平行實驗，對所求得的數據取均值作為評判性能的標準。由于每個實驗是相互獨立的，所以可以在多臺計算機上同時進行實驗。

為了系統性探究小樣本問題，考慮了典型的樣本數量，設置了=5、10，此外，為了進一步探究極小樣本的情況，還設置了=3進行研究，分別在ISCX2012AS和CICIDS2017AS這兩個數據集上進行實驗。

實驗Ⅱ：僅將ISCX2012AS或CICIDS2017AS中的一個作為訓練集，另一個數據集作為測試集，保證訓練集與測試集中的數據來自不同的網絡，用訓練集與測試集的來源不同來表示跨網，其余參數與實驗Ⅰ中保持一致，最后與實驗Ⅰ中的結果進行比較。

綜上所述，面對來自不同網絡的數據、不同的軟/硬件環境、不同的攻擊類型，實驗Ⅱ更具有挑戰性和實用性。

3.3 檢測結果

實驗Ⅰ：在ISCX2012AS、CICIDS2017AS數據集上的結果分別見表4和表5，將準確率（ACC）與檢測率（DR）作為衡量標準?？梢钥闯觯c傳統的監督學習算法需要大量樣本進行訓練不同，本文方法在面對不同攻擊類型時均有不錯的表現力，并且在=10的情況下，兩種數據集上的平均檢測率能分別達到97.70%、98.13%。這說明了使用本文方法實現小樣本網絡入侵檢測的可行性。

與此同時，可以得出以下兩個結論。

（1）不同數據集的選擇會對實驗結果產生一定的影響。對于同一個數據集內部不同攻擊類型的選取，筆者發現在ISCX2012AS中攻擊-b作為測試集的效果較差，在CICIDS2017AS中攻擊-C作為測試集的效果較差。對于不同數據集的選取，筆者發現當樣本數量為3或5時，在ISXC2012AS數據集上的表現均比CICIDS2017AS的表現好。隨著樣本數量的增加，當樣本數量為10時，CICIDS2017AS數據集上的平均檢測率反而優于ISXC2012AS。

（2）本文方法僅需少量樣本就能達到較高的檢測水準。對于這兩種數據集來說，若值不斷增加，ACC會不斷提高。對于ISCX2012AS、CICIDS2017AS來說，在=3時平均準確率就分別達到了94.55%和93.38%，平均檢測率分別達到了95.17%和94.86%；當=10時，ISCX2012AS數據集上的平均準確率可達98.53%，CICIDS2017AS數據集上的平均檢測率達98.13%。

實驗Ⅱ：通過改變數據集的類別，設置了跨網實驗：在ISCX2012AS上進行訓練，在CICIDS2017AS上進行測試，在ISCX2012AS上的跨網檢測結果見表6。在CICIDS2017AS上進行訓練，在ISXC2012AS上進行測試，在CICIDS2017AS的跨網檢測結果見表7。

表4 在ISCX2012AS數據集上的檢測結果

表5 在CICIDS2017AS數據集上的檢測結果

表6 在ISCX2012AS上的跨網檢測結果

表7 在CICIDS2017AS上的跨網檢測結果

為了更好地反映跨網實驗的表現情況，將其與同網實驗進行了對比，并設計了如下兩類對比實驗。

第一類對比實驗：同網實驗與跨網實驗在不同數據集上的實驗結果如圖4所示。圖4（a）中同網ISCX2012AS表示僅使用同一個網絡下的數據進行訓練和測試，即僅使用ISCX2012AS數據集作為訓練和測試數據；跨網CICIDS2017→ ISCX2012AS則表示使用CICIDS2017AS的數據進行訓練，用于檢測ISCX2012AS的數據，圖4（b）與之類似。通過改變的取值來反映樣本數量對準確率及檢測率的影響。

圖4 同網實驗與跨網實驗在不同數據集上的實驗結果

第二類對比實驗：同網實驗與跨網實驗結果的分布如圖5所示。

圖5 同網實驗與跨網實驗結果的分布

通過表6和表7、圖4和圖5，可以得出以下兩個結論。

（1）本文方法具有較好的跨網適應能力。即使當=3時，在兩種數據集上的平均檢測率仍能夠達到90.51%、93.60%，并且與同網實驗一樣，隨著樣本數量的增加，ACC和DR也在逐步上升。當=10時，在跨網實驗下的檢測結果與同網實驗下的檢測結果基本持平，最大波動幅度不超過1.15%，這也說明跨不同數據集的訓練和測試是可行的，從廣義上來講，它們都屬于同一類型的計算機網絡，其流量具有一定的共性。

（2）跨網實驗在樣本數量過少（如=3）時波動大，但隨著樣本數量的增加，跨網實驗能有效減少異常點的出現。在圖5（a）中無論的取值是多少，均有異常點，說明同網實驗在預測某些攻擊類型時較為欠缺，在預測這些攻擊類型時準確率和檢測率會大幅降低。而在圖5（b）中，異常點的數量明顯少于圖5（a），當=10時，異常點已經消失，說明跨網實驗能有效減少異常點的出現，有效解決誤報率過高的問題。

4 比較和討論

4.1 與同類工作的對比

小樣本網絡入侵檢測是一個比較新的研究領域。據筆者所知，已有的可供比較的相關工作還不多，可使用的數據集也比較少，因此本文構建了可用的數據集。由于小樣本網絡入侵檢測不同于傳統的入侵檢測，本文基于真實的網絡流量（ISCX2012數據集和CICIDS2017數據集）構建數據集。具體來說，利用兩個公開的網絡流量數據源構建小樣本檢測數據集并對所提方法進行評估。本文構建的小樣本數據集ISCX2012AS與原始ISCX2012數據集共享相同的原始網絡流量（CICIDS2017AS和CICIDS2017同理）。因此，本文對最近使用ISCX2012或CICIDS2017數據集的幾項研究進行了概述，需要說明的是，基于元學習的連續小樣本入侵檢測方法[23]使用額外的數據集NDSec-1對CICIDS2017的攻擊類型進行了補充。此外，一種新型的多階段層次入侵檢測方法[22]研究的是零日樣本的情況，零日樣本指的是尚未被公開披露或廣泛知曉的安全漏洞或攻擊技術，它們在被發現和利用之前很少被研究人員和安全專家接觸到，零日樣本通常被認為是小樣本，本文選擇與之進行對比。

本文方法和相關研究工作中的檢測結果和樣本數量對比見表8，本文方法在ISCX2012AS數據集上的檢測率最高可達99.29%，在CICIDS2017AS數據集上的準確率最高可達97.93%，相比目前已有的FC-Net（在CICIDS2017FS數據集上的檢測率為99.17%）和基于元學習的連續小樣本入侵檢測方法（準確率為97.56%）分別提高了0.12%和0.37%，優于表8中的其他方法。

4.2 訓練輪次和更新次數對實驗的影響

為了進一步探究本文方法的性能，對輪次（epoch）和更新次數（update）這兩個超參數做進一步分析。設計如下實驗，設置更新次數為0～5，把更新0次作為不使用本文方法的對比實驗，并設置輪次為0～20。

輪次和更新次數對檢測結果的影響如圖6所示，對于更新次數來說，當更新0次時，準確率保持在50%附近，符合普通二分類的特性；當更新次數變成1、2、3時，準確率顯著上升；當更新次數變成4、5時，準確率與更新3次基本保持一致，為了符合網絡入侵檢測的時效性，本文認為經歷了3次更新后模型已經達到擬合狀態，雖然繼續更新能使模型的準確率小幅上升，但增幅甚小，因此在本次實驗中選取更新3次。此外，當更新次數為3時，迭代次數在0～2個輪次時，準確率大幅上升，在2～10個輪次時處于輕微波動，經過10個輪次之后基本平穩。

圖6 輪次和更新次數對檢測結果的影響

表8 本文方法和相關研究工作的檢測結果和樣本數量對比

4.3 誤報率、漏報率指標分析

在實際應用時，小樣本條件下的入侵檢測除了考慮其實用性和準確率，還需要關注漏報率、誤報率和樣本數量對檢測效果的影響。本文通過如下實驗來分析上述指標。

首先，選擇不同網絡環境下的同網和跨網的實驗結果，涵蓋了不同網絡環境和攻擊類型的情況。其次，表8中的其他算法所提供的數據均來自單一網絡環境下的檢測結果，為了滿足魯棒性和泛化性，對不同網絡環境下的實驗結果求均值來模擬在真實的網絡環境中的復雜情況，減少對特定網絡環境的依賴，這樣的評估方法更具有實際應用的價值，并能夠更好地反映算法的整體性能。然后，將滑動窗口設置為5來計算窗口內數據的均值，以此降低噪聲的影響，得到準確的變化趨勢。

各指標隨著樣本數量的變化趨勢如圖7所示，樣本數量為5時漏報率和誤報率均低于5%，樣本數量為10時均低于3%，樣本數量為15時均低于2%。樣本數量為1～5時，準確率、檢測率、精確率有明顯的上升趨勢；樣本數量為5～10時，雖然上升趨勢依然存在，但增長速度開始減慢；樣本數量為10～15時，上升趨勢較為緩慢。

圖7 各指標隨著樣本數量的變化趨勢

通過對圖7的分析，可以得到以下兩個結論。

（1）本文提出的檢測方法在樣本數量為10時，漏報率和誤報率均低于3%，其中漏報率為2.28%，已經可以達到實用要求。這說明即使面臨樣本數量有限的挑戰，本文提出的檢測方法仍然能夠提供較高的準確性和可靠性。

（2）本文提出的檢測方法在樣本數量為15時的效果已達到最佳。樣本數量為15時，誤報率、漏報率均小于2%，其中檢測率為98.33%。而且隨著樣本數量的增加，準確率、檢測率、精確率對應的曲線上升緩慢，已經到達了飽和狀態。該樣本數量遠小于非小樣本條件下的一般網絡入侵檢測方法，進一步論證了本文工作的主要意義。

4.4 面對新型攻擊類型

對于網絡入侵檢測領域而言，ISCX2012和CICIDS2017數據集是經典且有代表性的數據集。它們被廣泛應用于研究和評估入侵檢測算法的性能。然而，由于網絡環境的不斷演變和新型攻擊的不斷出現，這些經典數據集在涵蓋新型攻擊方面存在一定的局限性。為了擴展實驗研究的范圍并更好地應對新型攻擊，本文額外引入了CICIDS2018數據集，增加了新型的DoS攻擊、DDoS攻擊、僵尸網絡、暴力破解等。

根據第4.3節的實驗結果，為滿足高檢測率、小樣本的條件限制，選擇5～10作為本次實驗的樣本數量范圍。此外，控制單一變量，僅數據集不同，其余參數保持一致，包含新型攻擊類型的檢測結果如圖8所示。

圖8 包含新型攻擊類型的檢測結果

通過圖8可以發現，CICIDS2018在樣本數量為10時的各項指標均達到了97%，與ISCX2012的檢測結果差值不超過1%。并且準確率、精確率、特異度均高于CICIDS2017。這說明了本文方法在面臨新型的網絡環境及數據集的情況下依然有較高的可靠性和準確性，即使是在樣本數量不充足的情況下，各指標也能達到97%，因此本文方法不依賴于特定的網絡環境和樣本數量。

此外，新型攻擊層出不窮，面對新型攻擊類型，一種最優的評估方法應當引入最新采集的真實網絡流量數據。限于研究條件，本文提出的檢測方法還有待進一步在正式網絡流量數據上進行驗證。

4.5 局限性

首先，本文中的數據類型的種類過少，導致本文方法目前只適用于二分類問題，即只能檢測出正常數據或入侵數據，而不能分析出具體是哪一種入侵。其次，本文在框架設計上，使用了基于元學習的算法，因此在任務的選取上必須具有一定的關聯性，如果出現類型差別過大的入侵數據，則會導致算法的準確率大幅降低。為了解決這些問題，未來的研究可以考慮使用數據類別增強算法增加樣本類型數量，以使本文方法能處理多類型任務。同時，考慮采用更優秀的框架設計，以有效處理關聯性較弱的任務。這些改進將是未來研究的重點。

5 結束語

針對小樣本條件下的網絡入侵檢測準確率低的問題，采用元學習的思想設計了多重循環的算法結構，提出了一種適用于小樣本條件的網絡入侵檢測方法，大幅減少了訓練時間，達到了較高的檢測率。針對小樣本條件下入侵檢測數據集缺乏的問題，本文使用公開數據集的pcap包構建了ISCX2012AS與CICIDS2017AS兩個數據集，該處理方法可使模型學習到更多有效特征。為了驗證本文方法的有效性，本文做了大量的實驗，并與多個同類工作進行比較。實驗結果表明，面對ISCX2012與CICIDS2017數據集，本文方法在更加嚴格的小樣本條件下仍然具有更優的性能，在10個訓練樣本下的檢測率最高可達99.29%，準確率最高可達97.93%，相比目前已有算法分別提升了0.12%和0.37%。此外，還引入CICIDS2018的數據集來更好地應對新型攻擊，實驗結果表明，在10個訓練樣本的條件下，本文方法的檢測率已經超過了97%，并且準確率、精確率、特異度指標均高于在CICIDS2017數據集上的檢測結果。在后續研究中，將對本文方法進行優化，以提高其在單樣本條件及任務關聯性不強的環境中的準確率。

[1] LEE S W, SIDQI H M, MOHAMMADI M, et al. Towards secure intrusion detection systems using deep learning techniques: comprehensive analysis and review[J]. Journal of Network and Computer Applications, 2021(187): 103111.

[2] ZHANG Y, LI G Q, DUAN Q Q, et al. An interpretable intrusion detection method based on few-shot learning in cloud-ground interconnection[J]. Physical Communication, 2022(55): 101931.

[3] LI W H, LIU X L, BILEN H. Cross-domain few-shot learning with task-specific adapters[C]//Proceedings of 2022 IEEE/CVF Conference on Computer Vision and Pattern Recognition (CVPR). Piscataway: IEEE Press, 2022: 7151-7160.

[4] ZHANG Z Z, LAN C L, ZENG W J, et al. Uncertainty-aware few-shot image classification[C]//Proceedings of the Thirtieth International Joint Conference on Artificial Intelligence. California: International Joint Conferences on Artificial Intelligence Organization, 2021: 3420-3426.

[5] AFRASIYABI A, LALONDE J F, GAGNé C. Mixture-based feature space learning for few-shot image classification[C]//Proceedings of 2021 IEEE/CVF International Conference on Computer Vision (ICCV). Piscataway: IEEE Press, 2022: 9021-9031.

[6] KANG D, KWON H, MIN J H, et al. Relational embedding for few-shot classification[C]//Proceedings of 2021 IEEE/CVF International Conference on Computer Vision (ICCV). Piscataway: IEEE Press, 2022: 8802-8813.

[7] ALDWAIRI T, PERERA D, NOVOTNY M. An evaluation of the performance of restricted Boltzmann machines as a model for anomaly network intrusion detection[J]. Computer Networks, 2018(144): 111-119.

[8] ABDELMOUMIN G, RAWAT D B, RAHMAN A. On the performance of machine learning models for anomaly-based intelligent intrusion detection systems for the Internet of things[J]. IEEE Internet of Things Journal, 2022, 9(6): 4280-4290.

[9] HAGHIGHAT M H, LI J. Intrusion detection system using voting-based neural network[J]. Tsinghua Science and Technology, 2021, 26(4): 484-495.

[10] BASATI A, FAGHIH M M. DFE: efficient IoT network intrusion detection using deep feature extraction[J]. Neural Computing and Applications, 2022, 34(18): 15175-15195.

[11] SOLTANI M, SIAVOSHANI M J, JAHANGIR A H. A content-based deep intrusion detection system[J].International Journal of Information Security, 2022, 21(3): 547-562.

[12] LIANG W, HU Y Y, ZHOU X K, et al. Variational few-shot learning for microservice-oriented intrusion detection in distributed industrial IoT[J]. IEEE Transactions on Industrial Informatics, 2021, 18(8): 5087-5095.

[13] XU C Y, SHEN J Z, DU X. A method of few-shot network intrusion detection based on meta-learning framework[J]. IEEE Transactions on Information Forensics and Security, 2020, 15: 3540-3552.

[14] ILIYASU A S, ABDURRAHMAN U A, ZHENG L R. Few-shot network intrusion detection using discriminative representation learning with supervised autoencoder[J]. Applied Sciences, 2022, 12(5): 2351.

[15] YANG J C, LI H W, SHAO S, et al. FS-IDS: a framework for intrusion detection based on few-shot learning[J]. Computers & Security, 2022, 122: 102899.

[16] OUYANG Y K, LI B B, KONG Q L, et al. FS-IDS: a novel few-shot learning based intrusion detection system for SCADA networks[C]//Proceedings of ICC 2021 - IEEE International Conference on Communications. Piscataway: IEEE Press, 2021: 1-6.

[17] YU L, DONG J T, CHEN L H, et al. PBCNN: packet bytes-based convolutional neural network for network intrusion detection[J]. Computer Networks, 2021(194): 108117.

[18] WANG Z M, TIAN J Y, QIN J, et al. A few-shot learning-based Siamese capsule network for intrusion detection with imbalanced training data[J]. Computational Intelligence and Neuroscience, 2021: 1-17.

[19] GAMAL M, ABBAS H M, MOUSTAFA N, et al. Few-shot learning for discovering anomalous behaviors in edge networks[J]. Computers, Materials & Continua, 2021, 69(2): 1823-1837.

[20] SHI Z X, XING M Y, ZHANG J, et al. Few-shot network intrusion detection based on model-agnostic meta-learning with L2F method[C]//Proceedings of 2023 IEEE Wireless Communications and Networking Conference (WCNC). Piscataway: IEEE Press, 2023: 1-6.

[21] YE T P, LI G L, AHMAD I, et al. FLAG: few-shot latent Dirichlet generative learning for semantic-aware traffic detection[J]. IEEE Transactions on Network and Service Management, 2022, 19(1): 73-88.

[22] VERKERKEN M, D’HOOGE L, SUDYANA D, et al. A novel multi-stage approach for hierarchical intrusion detection[J]. IEEE Transactions on Network and Service Management, 2023, PP(99): 1.

[23] XU H, WANG Y J. A continual few-shot learning method via meta-learning for intrusion detection[C]//Proceedings of 2022 IEEE 4th International Conference on Civil Aviation Safety and Information Technology (ICCASIT). Piscataway: IEEE Press, 2022: 1188-1194.

[24] SHARAFALDIN I, HABIBI LASHKARI A, GHORBANI A A. Toward generating a new intrusion detection dataset and intrusion traffic characterization[C]//Proceedings of the 4th International Conference on Information Systems Security and Privacy. San Francisco: Science and Technology Publications, 2018: 108-116.

[25] SHIRAVI A, SHIRAVI H, TAVALLAEE M, et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection[J]. Computers & Security, 2012, 31(3): 357-374.

[26] MA W G, ZHANG Y D, GUO J, et al. Few-shot abnormal network traffic detection based on multi-scale deep-CapsNet and adversarial reconstruction[J].International Journal of Computational Intelligence Systems, 2021, 14(1): 1-25.

A network intrusion detection method designed for few-shot scenarios

HU Weichen, XU Congyuan, ZHAN Yong, CHEN Guanghui, LIU Siqing, WANG Zhiqiang, WANG Xiaolin

College of Information Science and Engineering, Jiaxing University, Jiaxing 314001, China

Existing intrusion detection techniques often require numerous malicious samples for model training. However, in real-world scenarios, only a small number of intrusion traffic samples can be obtained, which belong to few-shot scenarios. To address this challenge, a network intrusion detection method designed for few-shot scenarios was proposed. The method comprised two main parts: a packet sampling module and a meta-learning module. The packet sampling module was used for filtering, segmenting, and recombining raw network data, while the meta-learning module was used for feature extraction and result classification. Experimental results based on three few-shot datasets constructed from real network traffic data sources show that the method exhibits good applicability and fast convergence and effectively reduces the occurrence of outliers. In the case of 10 training samples, the maximum achievable detection rate is 99.29%, while the accuracy rate can reach a maximum of 97.93%. These findings demonstrate a noticeable improvement of 0.12% and 0.37% respectively, in comparison to existing algorithms.

intrusion detection, few-shot, meta-learning, network security, deep learning

The Natural Science Foundation of Zhejiang Province (No.LQ23F020006, No.LQ22F020004)

TP393

A

10.11959/j.issn.1000?0801.2023166

2023?04?11；

2023?08?21

許聰源，cyxu@zjxu.edu.cn

浙江省自然科學基金資助項目（No.LQ23F020006，No.LQ22F020004）

胡煒晨（2000? ），男，嘉興學院信息科學與工程學院在讀，主要研究方向為網絡安全和機器學習。

許聰源（1990? ），男，博士，嘉興學院信息科學與工程學院講師，主要研究方向為網絡空間安全和智能信息處理。

詹勇（2002? ），男，嘉興學院信息科學與工程學院在讀，主要研究方向為信息安全和深度學習。

陳廣輝（2002? ），男，嘉興學院信息科學與工程學院在讀，主要研究方向為人工智能和信息安全。

劉思情（2002? ），男，嘉興學院信息科學與工程學院在讀，主要研究方向為人工智能和漏洞檢測。

王志強（2003? ），男，嘉興學院信息科學與工程學院在讀，主要研究方向為網絡安全與人工智能。

王曉琳（1989? ），女，博士，嘉興學院信息科學與工程學院講師，主要研究方向為智能回歸測試和深度學習。