基于多通道特征提取的入侵檢測(cè)模型研究

劉安云，黃 洪,2，方彬皓

（1.四川輕化工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，四川 宜賓 644000；2.企業(yè)信息化與物聯(lián)網(wǎng)測(cè)控技術(shù)四川省高校重點(diǎn)試驗(yàn)室，四川 宜賓 644000）

引 言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，數(shù)據(jù)泄漏、黑客攻擊、勒索軟件等安全事件日益增加，給社會(huì)、企業(yè)和個(gè)人帶來了嚴(yán)重?fù)p失。因此，在當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境中如何有效地檢測(cè)和防御網(wǎng)絡(luò)攻擊是亟需解決的問題。入侵檢測(cè)技術(shù)是繼防火墻之后的一種積極主動(dòng)的安全防護(hù)技術(shù)，能夠有效檢測(cè)網(wǎng)絡(luò)攻擊。蹇詩婕等[1]總結(jié)了近些年來提出的入侵檢測(cè)技術(shù)，涉及多個(gè)領(lǐng)域，并重點(diǎn)討論了基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等的檢測(cè)技術(shù)?，F(xiàn)有的入侵檢測(cè)系統(tǒng)大多是基于異常檢測(cè)的，本質(zhì)是分類問題。機(jī)器學(xué)習(xí)中的很多算法已廣泛應(yīng)用于入侵檢測(cè)中，如支持向量機(jī)（Support Vector Machine，SVM）[2-3]、隨 機(jī) 森 林（Random Forest，RF）[4-6]、K 近 鄰 算 法（K-Nearest Neighbor，KNN）[7]和K-means[8]等。準(zhǔn)確性和實(shí)時(shí)性是當(dāng)前入侵檢測(cè)系統(tǒng)的重要要求，網(wǎng)絡(luò)數(shù)據(jù)的高維性以及數(shù)據(jù)冗余和噪聲導(dǎo)致入侵檢測(cè)模型檢測(cè)速度慢、準(zhǔn)確率低。因此，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行有效的降維至關(guān)重要。陳良臣等[9]總結(jié)了在入侵檢測(cè)中常用的兩種維數(shù)約簡(jiǎn)技術(shù)：特征選擇和特征提取。特征選擇包括信息增益[10-11]、遺傳算法和XGBoost[12]等算法，特征提取包括主成分分析法（Principal Component Analysis，PCA）[13]、自 動(dòng) 編 碼 器（Auto-Encoder，AE）[14]和 受 限 玻 爾 茲 曼 機(jī)（Restricted Boltzmann Machine，RBM）[15]等。

深度學(xué)習(xí)算法具有自動(dòng)特征學(xué)習(xí)、深層學(xué)習(xí)等優(yōu)點(diǎn)，已被廣泛用于高維數(shù)據(jù)的特征提取，如AE 和深 度 信 念 網(wǎng) 絡(luò)（Deep Belief Network，DBN）等。文獻(xiàn)[16]結(jié)合深度自編碼器（Deep Auto-Encoder，DAE）和深度神經(jīng)網(wǎng)絡(luò)（Deep Neural Network，DNN）進(jìn)行入侵檢測(cè)，但入侵檢測(cè)的各指標(biāo)仍有提升空間。文獻(xiàn)[17]提出了DBM-SVM 入侵檢測(cè)模型，利用深度玻爾茲曼機(jī)（Deep Boltzmann Machine，DBM）模型提取網(wǎng)絡(luò)數(shù)據(jù)特征，SVM 進(jìn)行檢測(cè)，該模型在二分類下具有良好的檢測(cè)效果，但未進(jìn)行多分類相關(guān)的試驗(yàn)。文獻(xiàn)[18]結(jié)合稀疏自編碼器（Sparse Autoencoder，SAE）和SVM 對(duì)NSL-KDD 進(jìn)行入侵檢測(cè)，相比單一的SVM，檢測(cè)速度和準(zhǔn)確率等指標(biāo)都得到提升，但仍有提升空間。文獻(xiàn)[19]結(jié)合深度收縮自編碼器和SVM 設(shè)計(jì)了一種新型的云入侵檢測(cè)系統(tǒng)，利用深度收縮自編碼器從原始網(wǎng)絡(luò)流量中自動(dòng)學(xué)習(xí)低維特征，但該模型的準(zhǔn)確率和F1值等指標(biāo)還較低。文獻(xiàn)[20]使用深度稀疏自編碼器作為特征提取模型、隨機(jī)森林作為分類器，在入侵檢測(cè)的正常和異常流量分類中獲得較高的準(zhǔn)確率，但少數(shù)攻擊類的檢測(cè)效果較差。文獻(xiàn)[21]結(jié)合深度自動(dòng)編碼器（Deep Auto-Encoder，DAE）和單類支持向量機(jī)（OCSVM）進(jìn)行分布式拒絕服務(wù)攻擊（DDoS）檢測(cè)，該模型具有很高的準(zhǔn)確率，但模型的誤報(bào)率也較高。文獻(xiàn)[22]結(jié)合對(duì)抗自編碼器和KNN 用于物聯(lián)網(wǎng)邊緣的入侵檢測(cè)，具有較高的準(zhǔn)確率，但對(duì)抗自編碼器模型結(jié)構(gòu)較復(fù)雜。文獻(xiàn)[23]提出了一種結(jié)合非對(duì)稱卷積自編碼器和隨機(jī)森林的入侵檢測(cè)系統(tǒng)，填充構(gòu)造了二維數(shù)據(jù)，較復(fù)雜。除此之外，文獻(xiàn)[24]將卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Networks，CNN）用于入侵檢測(cè)，文獻(xiàn)[25]使用DBN 學(xué)習(xí)網(wǎng)絡(luò)數(shù)據(jù)的低維抽象特征，文獻(xiàn)[26]使用對(duì)抗自編碼器的編碼器初始化DNN 的權(quán)重，并提取原始樣本的高級(jí)低維特征，文獻(xiàn)[27]使用DAE 提取網(wǎng)絡(luò)數(shù)據(jù)的低維抽象特征，這些模型的檢測(cè)性能雖然相對(duì)較高，但仍然有提升的空間。

上述研究均為采用單一的特征提取模型用于高維數(shù)據(jù)的特征降維，入侵檢測(cè)存在準(zhǔn)確率低或模型較復(fù)雜的缺陷。單一特征提取模型容易造成數(shù)據(jù)中重要信息丟失，不能很好地解決網(wǎng)絡(luò)數(shù)據(jù)的高維性、冗余和噪聲。因此，本文提出了一種基于多通道特征提取的入侵檢測(cè)模型（MCFE-IDS），以提高準(zhǔn)確率和檢測(cè)速度。模型改進(jìn)之處在于實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的多通道特征提取，分別從多類數(shù)據(jù)中學(xué)習(xí)低維特征，以實(shí)現(xiàn)高維數(shù)據(jù)的降維，從而幫助SVM提高對(duì)高維數(shù)據(jù)的分類能力；另外，該模型結(jié)合深度學(xué)習(xí)和淺層學(xué)習(xí)技術(shù)，并充分利用其優(yōu)勢(shì)，以降低入侵檢測(cè)中的分析開銷，以用于海量高維非線性網(wǎng)絡(luò)數(shù)據(jù)的處理。

1 相關(guān)理論

1.1 深度自編碼器（DAE）

自編碼器是一種無監(jiān)督的神經(jīng)網(wǎng)絡(luò)模型，能夠從無標(biāo)簽數(shù)據(jù)中自動(dòng)學(xué)習(xí)數(shù)據(jù)的有效抽象特征表示，常用于數(shù)據(jù)降維或特征學(xué)習(xí)。自編碼器先將高維輸入轉(zhuǎn)換成低維數(shù)據(jù)，再對(duì)低維數(shù)據(jù)進(jìn)行重構(gòu)以輸出原始數(shù)據(jù)的復(fù)現(xiàn)，最后利用反向傳播算法調(diào)整網(wǎng)絡(luò)參數(shù)使輸入與輸出近似相等，從而實(shí)現(xiàn)數(shù)據(jù)降維。自編碼器由編碼器和解碼器兩部分組成，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 自編碼器網(wǎng)絡(luò)結(jié)構(gòu)

DAE 由多個(gè)自編碼器堆疊而成，前一個(gè)自編碼器層的輸出作為下一個(gè)自編碼器層的輸入，逐層獲取原始數(shù)據(jù)的高階特征表示，將特定的特征向量轉(zhuǎn)換成抽象特征向量，實(shí)現(xiàn)數(shù)據(jù)從高維空間向低維空間的非線性轉(zhuǎn)換。DAE 的網(wǎng)絡(luò)結(jié)構(gòu)如圖2 所示。

圖2 深度自編碼器

DAE 可分為兩個(gè)過程：編碼過程和解碼過程。現(xiàn) 有 數(shù) 據(jù) 輸 入 為X(x1,x2,…,xn)，低 維 表 示 為Z(z1,z2,…,zp)，重構(gòu)輸出，則DAE 的訓(xùn)練可具體描述如下：

編碼過程（X?Z）：

其中：W為編碼層與輸入層之間的權(quán)重，be為編碼層的節(jié)點(diǎn)偏置，σ為節(jié)點(diǎn)激活函數(shù)。

解碼過程（Z?）：

其中：WT為W的轉(zhuǎn)置，bd為解碼層的節(jié)點(diǎn)偏置。

訓(xùn)練DAE 來重構(gòu)原始數(shù)據(jù)，調(diào)整編碼器和解碼器的網(wǎng)絡(luò)參數(shù)，使重構(gòu)輸出和輸入近似相等，即損失函數(shù)最小。最后，將編碼器最后一層隱藏層的輸出作為原始輸入的最佳低維表示，由此實(shí)現(xiàn)高維數(shù)據(jù)的非線性降維。重構(gòu)誤差函數(shù)用下式的均方差函數(shù)表示：

DAE 通常采用梯度下降算法，反向傳播調(diào)整網(wǎng)絡(luò)參數(shù)，最小化損失函數(shù)，以學(xué)習(xí)原始數(shù)據(jù)的最佳低維特征。權(quán)重W和b的更新公式如下：

其中η為梯度下降算法的學(xué)習(xí)率。

MCFE-IDS 模 型 采 用LeakyReLU 和Sigmoid 作為激活函數(shù)，兩者的函數(shù)表達(dá)式如下：

1.2 支持向量機(jī)多分類器

支持向量機(jī)（SVM）是一個(gè)二分類算法，但通過擴(kuò)展可將其應(yīng)用于多分類中。在構(gòu)造支持向量機(jī)多分類器時(shí)，采用一對(duì)多策略，訓(xùn)練時(shí)依次把某個(gè)類別的樣本歸為一類，其他剩余的樣本歸為另一類，如此反復(fù)，k類樣本構(gòu)造k個(gè)分類器SVM，其構(gòu)造過程如圖3所示。

圖3 支持向量機(jī)多分類器

2 MCFE-IDS模型

基于多通道特征提取的入侵檢測(cè)模型MCFEIDS 的整體框架如圖4 所示，包含數(shù)據(jù)預(yù)處理、多通道特征提取和入侵檢測(cè)3個(gè)部分。數(shù)據(jù)預(yù)處理將類別特征使用One-hot 編碼進(jìn)行數(shù)值化，再利用Min-Max對(duì)特征數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化以消除特征之間的量綱差異，得到高維且標(biāo)準(zhǔn)化的數(shù)據(jù)集。多通道特征提取使用無標(biāo)簽的高維數(shù)據(jù)進(jìn)行訓(xùn)練，實(shí)現(xiàn)數(shù)據(jù)降維，獲得低維數(shù)據(jù)集。入侵檢測(cè)對(duì)低維數(shù)據(jù)進(jìn)行分類并得到檢測(cè)結(jié)果。

圖4 整體框架

2.1 多通道特征提取技術(shù)

現(xiàn)有的基于深度學(xué)習(xí)的入侵檢測(cè)模型大多只設(shè)計(jì)單一的特征提取模型用于數(shù)據(jù)降維，由于各類數(shù)據(jù)最佳特征的差異性，單一模型容易造成重要信息損失、引入噪聲，從而導(dǎo)致入侵檢測(cè)效果不佳，嚴(yán)重影響了對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)。多通道特征提取技術(shù)主要是對(duì)各類數(shù)據(jù)進(jìn)行單獨(dú)特征提取以獲得各自的最佳特征，避免特征提取過程中各類數(shù)據(jù)重要特征丟失和產(chǎn)生額外的噪聲，以此來提高檢測(cè)結(jié)果。本文所提的MCFE-IDS模型通過訓(xùn)練多個(gè)DAE以提取各類數(shù)據(jù)的最佳低維特征，消除原始數(shù)據(jù)中存在的冗余特征和噪聲。

2.2 DAE的訓(xùn)練

DAE按照?qǐng)D5所示的流程進(jìn)行訓(xùn)練，按照式(1)～(2)正向傳播、式(4)～(5)反向傳播進(jìn)行訓(xùn)練，將原始數(shù)據(jù)編碼壓縮，再進(jìn)行重構(gòu)，按式(3)計(jì)算重構(gòu)誤差，多次迭代訓(xùn)練以最小化重構(gòu)誤差，訓(xùn)練終止的條件為最大的迭代次數(shù)。網(wǎng)絡(luò)模型的輸出層用式(7)所示的Sigmoid 激活函數(shù)，其余層使用式(6)中的LeakyReLU 激活函數(shù)。為加快模型訓(xùn)練采用Xavier參數(shù)初始化，采用Adam 算法優(yōu)化模型訓(xùn)練。初始化迭代次數(shù)、批大小等參數(shù)，設(shè)置驗(yàn)證集為20%訓(xùn)練集以檢測(cè)模型是否過擬合，畫出訓(xùn)練過程中的損失曲線和精度曲線以便模型調(diào)參。在模型訓(xùn)練過程中，由于特征的非線性轉(zhuǎn)換，各層的數(shù)據(jù)分布會(huì)發(fā)生改變，導(dǎo)致網(wǎng)絡(luò)難以訓(xùn)練和收斂，因此加入批量歸一化BN 層，加快網(wǎng)絡(luò)的訓(xùn)練和收斂速度，并控制梯度爆炸防止梯度消失。最后在網(wǎng)絡(luò)中適當(dāng)?shù)丶尤雂ropout 防止過擬合。調(diào)整模型參數(shù)直至重構(gòu)損失最小且損失曲線收斂，最終得到DAE 模型的參數(shù)設(shè)置，訓(xùn)練完成后，保存DAE 模型的編碼器部分，以便后續(xù)使用。

圖5 深度自編碼器的訓(xùn)練過程

3 試驗(yàn)與分析

為了評(píng)估所提模型的有效性，選用試驗(yàn)環(huán)境：計(jì)算機(jī)CPU 為i5-7300HQ，內(nèi)存大小為8 GB，操作系統(tǒng)為Win10，開發(fā)環(huán)境為Python 3.8.5 和Keras 2.4.3，使用NSL-KDD 和UNSW-NB15 作為入侵?jǐn)?shù)據(jù)集進(jìn)行測(cè)試。

3.1 評(píng)估指標(biāo)

為有效評(píng)估入侵檢測(cè)模型的效果，選用模型訓(xùn)練時(shí)間、測(cè)試時(shí)間、準(zhǔn)確率（Accuracy）、精確率（Precision）、召回率（Recall）以及F1值作為評(píng)估模型性能的關(guān)鍵指標(biāo)，其中準(zhǔn)確率為預(yù)測(cè)正確的結(jié)果占總樣本的百分比，精確率為所有被預(yù)測(cè)為正的樣本中實(shí)際為正的樣本的概率，召回率為實(shí)際為正的樣本中被預(yù)測(cè)為正樣本的概率，F(xiàn)1值綜合考慮了精確率和召回率，為兩者的調(diào)和平均。其中準(zhǔn)確率、精確率、召回率和F1值的定義如下：

其中：TP為攻擊數(shù)據(jù)正確地分類為攻擊數(shù)據(jù)，F(xiàn)P為正常數(shù)據(jù)錯(cuò)誤地分類為攻擊數(shù)據(jù)，TN為正常數(shù)據(jù)正確地分類為正常數(shù)據(jù)，F(xiàn)N為攻擊數(shù)據(jù)錯(cuò)誤地分類為正常數(shù)據(jù)。

3.2 入侵檢測(cè)模型參數(shù)設(shè)置

由于入侵?jǐn)?shù)據(jù)中某些類的樣本太少，因此對(duì)數(shù)據(jù)進(jìn)行如下 分 類：（1）NSL-KDD 數(shù)據(jù)分為3 類：Normal、DoS、（Probe，U2R，R2L），訓(xùn)練3 個(gè)DAE 模型；（2）UNSW-NB15數(shù)據(jù)分為5類：Normal、Generic、Exploits、（Fuzzers，DoS）、（Reconnaissance，Analysis，Backdoor，Shellcode，Worms），訓(xùn)練5 個(gè)DAE 模型。DAE 模型中包含網(wǎng)絡(luò)結(jié)構(gòu)、迭代次數(shù)、批大小以及學(xué)習(xí)率參數(shù)。網(wǎng)絡(luò)結(jié)構(gòu)影響著最終的降維結(jié)果，隨著層數(shù)加深，提取的低維特征越抽象；迭代次數(shù)指將整個(gè)訓(xùn)練集輸入到神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練的次數(shù)，過少會(huì)出現(xiàn)欠擬合，過多會(huì)出現(xiàn)過擬合；批大小決定每次訓(xùn)練的樣本數(shù)，影響著模型的優(yōu)化程度和速度；梯度下降算法的學(xué)習(xí)率影響著如何用損失函數(shù)的梯度調(diào)整網(wǎng)絡(luò)權(quán)重，好的學(xué)習(xí)率能幫助更快地達(dá)到loss的最小值并保證收斂的loss值是神經(jīng)網(wǎng)絡(luò)的全局最優(yōu)解。經(jīng)反復(fù)試驗(yàn)，模型調(diào)優(yōu)，最佳的多通道特征提取模型的參數(shù)設(shè)置見表1。本文主要研究為SVM提供服務(wù)的特征提取技術(shù)，未對(duì)SVM分類器的參數(shù)進(jìn)行優(yōu)化。

表1 入侵檢測(cè)模型參數(shù)設(shè)置

3.3 試驗(yàn)結(jié)果與分析

為了驗(yàn)證模型的有效性，研究了多通道特征提取模型對(duì)SVM分類器的影響，并與基于單一SVM入侵檢測(cè)模型在多個(gè)評(píng)估指標(biāo)上進(jìn)行了對(duì)比。使用多通道特征提取模型從高維的數(shù)據(jù)中提取20 維的低維特征，并將其作為SVM 多分類器的輸入，結(jié)合原始標(biāo)簽進(jìn)行分類，從而得到結(jié)果，另外，將高維數(shù)據(jù)直接輸入到分類器用于對(duì)比。在兩個(gè)數(shù)據(jù)集上單一SVM 分類器模型和MCFE-IDS 模型的結(jié)果如圖6 所示，橫軸表示評(píng)估指標(biāo)準(zhǔn)確率、精確率、召回率和F1 值，縱軸代表數(shù)值大小。對(duì)于NSL-KDD 數(shù)據(jù)集（圖6(a)），單一SVM 模型的準(zhǔn)確率、精確率、召回率與F1 值分別為76.0%、81.0%、76.0%和72.0%，MCFE-IDS 模型的各指標(biāo)分別為94.9%、97.0%、95.0%和95.0%，分別提高了24.9%、19.8%、25.0%和31.9%。對(duì)于UNSW-NB15 數(shù)據(jù)集（圖6(b)）而言，單一SVM 模型的指標(biāo)分別為70.0%、81.0%、70.0%和71.0%，MCFE-IDS 模型的各指標(biāo)分別為95.8%、95.0%、96.0%和95.0%，分別提高了36.9%、17.3%、37.1%和33.8%?？梢钥闯?，在兩個(gè)數(shù)據(jù)集上相比于單一的SVM 模型，MCFE-IDS 模型的各項(xiàng)指標(biāo)均得到較大地提高。原始數(shù)據(jù)中噪聲和冗余導(dǎo)致單一的SVM 模型檢測(cè)效果不佳，而經(jīng)多通道特征提取技術(shù)檢測(cè)結(jié)果得到提升，說明多通道特征提取模型去除了數(shù)據(jù)中的噪聲和冗余，有效地提取了各類數(shù)據(jù)的最佳特征，從而提高了分類器對(duì)各類數(shù)據(jù)的檢測(cè)能力。

圖6 在不同數(shù)據(jù)集上MCFE-IDS模型與單一SVM模型的檢測(cè)結(jié)果

另外，為了研究多通道特征提取對(duì)分類器檢測(cè)速度的影響，將模型的訓(xùn)練時(shí)間和測(cè)試時(shí)間作為評(píng)估指標(biāo)以評(píng)估模型的檢測(cè)速度，單一SVM 模型與MCFE-IDS 模型在兩個(gè)數(shù)據(jù)集上的訓(xùn)練時(shí)間與測(cè)試時(shí)間見表2。從表2中可以看出，相比于單一的SVM模型，所提模型的訓(xùn)練和測(cè)試時(shí)間在NSL-KDD 上分別縮短了91.73%和91.56%，在UNSW-NB15上分別縮短了97.46%和90.88%。通過計(jì)算入侵檢測(cè)模型訓(xùn)練和測(cè)試的總時(shí)間，可以看出MCFE-IDS 模型較單一SVM 模型在入侵檢測(cè)速度上在NSL-KDD 與UNSW-NB15 數(shù)據(jù)集上分別提高了91.69% 和94.91%。因此，多通道特征提取能較好地改善SVM在高維數(shù)據(jù)入侵檢測(cè)中存在的檢測(cè)速度慢的問題。單一SVM 模型直接對(duì)高維且含冗余和噪聲的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵檢測(cè)時(shí)，模型訓(xùn)練很慢且效果差。而經(jīng)多通道特征提取技術(shù)，能有效降低數(shù)據(jù)的維度，并加快分類器模型訓(xùn)練，提高檢測(cè)速度，更好地滿足入侵檢測(cè)實(shí)時(shí)性要求。

表2 模型訓(xùn)練時(shí)間和測(cè)試時(shí)間

為了進(jìn)一步研究模型的有效性，將MCFE-IDS模型與現(xiàn)有的其他入侵檢測(cè)模型進(jìn)行對(duì)比，表3 和表4 給出了在兩個(gè)入侵?jǐn)?shù)據(jù)集上MCFE-IDS 模型與其他模型在準(zhǔn)確率、精確率、召回率和F1 值性能的對(duì)比。從表3 可知，在NSL-KDD 數(shù)據(jù)集上，MCFEIDS 模型較SCAE-SVM 模型各指標(biāo)分別提高了8.65%、10.28%、8.78%和11.75%，MCFE-IDS 模型的整體性能都優(yōu)于現(xiàn)有的一些模型。從表4 可以看出，在UNSW-NB15 數(shù)據(jù)集上，較CWGAN-CSSAE模型各指標(biāo)分別提高了2.79%、2.54%、0.60%和1.07%，相比現(xiàn)有的一些模型，MCFE-IDS 模型的整體效果更優(yōu)，進(jìn)一步說明了該模型的有效性，入侵檢測(cè)效果更好。

表3 不同模型NSL-KDD數(shù)據(jù)集對(duì)比 %

表4 不同模型UNSW-NB15數(shù)據(jù)集對(duì)比 %

4 結(jié)束語

網(wǎng)絡(luò)數(shù)據(jù)的高維性、冗余和噪聲嚴(yán)重影響了入侵檢測(cè)系統(tǒng)的性能，若將其直接用于入侵檢測(cè)會(huì)增加檢測(cè)的難度和計(jì)算開銷，降低入侵檢測(cè)的準(zhǔn)確性，而基于單一特征提取的入侵檢測(cè)模型檢測(cè)效果差。因此，提出了一種基于多通道特征提取的入侵檢測(cè)模型（MCFE-IDS），利用多個(gè)深度自編碼器對(duì)網(wǎng)絡(luò)數(shù)據(jù)特征降維，并利用支持向量機(jī)分類器對(duì)低維數(shù)據(jù)進(jìn)行入侵檢測(cè)，將深度學(xué)習(xí)和淺層學(xué)習(xí)技術(shù)相結(jié)合，充分利用各自的優(yōu)勢(shì)實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的入侵檢測(cè)。在NSL-KDD 和UNSW-NB15 入侵?jǐn)?shù)據(jù)集上進(jìn)行試驗(yàn)評(píng)估，并取得了一定效果。從試驗(yàn)結(jié)果來看，MCFE-IDS 模型在網(wǎng)絡(luò)入侵檢測(cè)中具有良好的性能，具有較快的檢測(cè)速度和較高的檢測(cè)準(zhǔn)確率，很好地幫助SVM 提高了對(duì)高維網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)能力。