林同燦 葛文翰 王俊峰

摘 要： 異常流量分類是應(yīng)對(duì)網(wǎng)絡(luò)攻擊，制定網(wǎng)絡(luò)防御的前提. 網(wǎng)絡(luò)流量數(shù)據(jù)量大導(dǎo)致分析成本高，新型異常流量標(biāo)記樣本數(shù)量少導(dǎo)致分類難度大，小樣本學(xué)習(xí)能有效應(yīng)對(duì)這些問(wèn)題. 但目前小樣本學(xué)習(xí)的方法仍然面對(duì)著復(fù)雜的模型或計(jì)算過(guò)程帶來(lái)的效率低下、訓(xùn)練和測(cè)試樣本分布偏差導(dǎo)致的監(jiān)督崩潰問(wèn)題. 本文提出了一種基于對(duì)齊的原型網(wǎng)絡(luò)，包含內(nèi)部對(duì)齊和外部對(duì)齊模塊. 該方法首先基于原型網(wǎng)絡(luò)在元學(xué)習(xí)框架下生成類別原型，其內(nèi)部對(duì)齊模塊通過(guò)支持集的預(yù)測(cè)損失來(lái)矯正原型在樣本分布空間中的偏差，外部對(duì)齊模塊通過(guò)對(duì)比原型和查詢集中樣本之間的相似性，將原型嵌入進(jìn)查詢集的分布空間，生成動(dòng)態(tài)矯正后的類別原型，從而增強(qiáng)了原型在不同分布下的動(dòng)態(tài)適應(yīng)能力. 基于對(duì)齊的原型網(wǎng)絡(luò)在沒(méi)有添加額外的參數(shù)和網(wǎng)絡(luò)結(jié)構(gòu)的情況下改進(jìn)了模型的訓(xùn)練過(guò)程，保持快速檢測(cè)的同時(shí)提升了分類性能. 在CIC-FSIDS-2017 和CSE-FS-IDS-2018 數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果表明，本文方法的F1 值為98%，相比于其他模型提高了3. 37% ～ 4. 85%，運(yùn)行時(shí)間降低了89. 12%～93. 14%. 此外，該方法具有更強(qiáng)的魯棒性，在更多的異常類別和更少的支持樣本的情況下仍然能保持較好的性能.

關(guān)鍵詞： 異常流量； 入侵檢測(cè)； 小樣本學(xué)習(xí)

中圖分類號(hào)： TP183 文獻(xiàn)標(biāo)志碼： A DOI： 10. 19907/j. 0490-6756. 2024. 030001

1 引言

全球網(wǎng)絡(luò)攻擊數(shù)量不斷增加，2022 年的網(wǎng)絡(luò)攻擊次數(shù)在高水平的情況下進(jìn)一步增加了38%［1］.隨著CHATGPT 等人工智能技術(shù)的快速進(jìn)步［2］，黑客可以以更快、更自動(dòng)化的方式產(chǎn)生新的、更復(fù)雜的攻擊方法，開(kāi)展攻擊活動(dòng)，導(dǎo)致新的異常網(wǎng)絡(luò)流量的出現(xiàn)，加劇了本已具有挑戰(zhàn)性的網(wǎng)絡(luò)安全形勢(shì).

機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法已被廣泛應(yīng)用于提高異常流量檢測(cè)和分類的自動(dòng)化和智能化. 然而，其性能表現(xiàn)依賴于大量的訓(xùn)練樣本，導(dǎo)致訓(xùn)練成本高. 在如今網(wǎng)絡(luò)攻擊進(jìn)化快的時(shí)代背景下，異常流量的類型不斷增多，但是能采集到的新型異常流量的標(biāo)記樣本數(shù)量又很少，當(dāng)訓(xùn)練樣本不足時(shí)，模型性能會(huì)顯著降低［3］. 因此，如何實(shí)現(xiàn)有效、高效的小樣本異常流量分類是重要問(wèn)題.

為了解決這一問(wèn)題，研究人員開(kāi)始關(guān)注小樣本學(xué)習(xí)［4］的方法，期望利用少量的標(biāo)記數(shù)據(jù)來(lái)學(xué)習(xí)異常的模式特征，從而在減少訓(xùn)練成本的同時(shí)，也提升對(duì)新型異常流量的檢測(cè)能力. 基于MAML 網(wǎng)絡(luò)的小樣本異常流量檢測(cè)方法［5］在元訓(xùn)練和元測(cè)試的范式下，通過(guò)學(xué)習(xí)任務(wù)之間的通用表征，使得模型能夠滿足增量檢測(cè)的要求，這個(gè)框架已被廣泛應(yīng)用，但該模型學(xué)習(xí)的通用表征，不能滿足復(fù)雜的流量環(huán)境的特征捕捉. 對(duì)流量特征的捕捉尚不充分. 基于孿生網(wǎng)絡(luò)（Siamese Network）的檢測(cè)方法［6- 8］在元學(xué)習(xí)的框架下，靈活支持多種特征提取器以在新的嵌入空間對(duì)流量進(jìn)行表示，然后再通過(guò)樣本間的距離度量判斷異常流量的類別，但是其模型復(fù)雜、運(yùn)行成本高，不適用于高效實(shí)時(shí)的檢測(cè)系統(tǒng). 基于原型網(wǎng)絡(luò)（Prototype Network）的檢測(cè)方法［9- 11］，不再逐對(duì)比較樣本，而是先獲得一個(gè)異常流量的類別原型表征，再把待測(cè)樣本與類別原型進(jìn)行比較從而實(shí)現(xiàn)分類. 原型網(wǎng)絡(luò)加快了操作速度，改進(jìn)了對(duì)異常流量的抽象表示，但對(duì)原型生成有更高的要求，生成的類別原型的質(zhì)量是關(guān)鍵影響因素.

因此，現(xiàn)有的小樣本異常流量分類仍然存在不足，主要包括：（1） 監(jiān)督崩潰：網(wǎng)絡(luò)在訓(xùn)練的時(shí)候會(huì)自動(dòng)地挖掘各類別典型的分布特征，而忽視了特征和背景之間的關(guān)聯(lián)，丟失了與其他類別相似性判斷的信息. 對(duì)于網(wǎng)絡(luò)流量而言，傳輸環(huán)境、報(bào)文格式，數(shù)據(jù)包上下文關(guān)系都存在著明顯的相似性，但是這些信息也蘊(yùn)含著不同攻擊模式的特征，背景信息也就顯得更加重要. 當(dāng)樣本數(shù)量很少的情況下，背景信息的偏差比較大，加劇了監(jiān)督崩潰的現(xiàn)象［12］.（2） 操作效率：模型需要在特征提取和運(yùn)行效率之間取得平衡，深度學(xué)習(xí)疊加模塊以及孿生網(wǎng)絡(luò)多次對(duì)比的方式會(huì)導(dǎo)致模型參數(shù)增多、復(fù)雜性提高、運(yùn)行時(shí)間加長(zhǎng)，不能滿足系統(tǒng)快速檢測(cè)的要求.

本文提出了一種基于對(duì)齊的原型網(wǎng)絡(luò)（AlignedPrototype Network，APN）來(lái)應(yīng)對(duì)這些問(wèn)題. 本模型選擇以原形網(wǎng)絡(luò)［13］為框架，充分利用其模型簡(jiǎn)單有效的優(yōu)勢(shì)，以滿足運(yùn)行效率的需要. 為了進(jìn)一步解決監(jiān)督崩潰的問(wèn)題，APN 引入了兩個(gè)無(wú)參數(shù)模塊：內(nèi)部對(duì)齊（Internal Alignment，IA）和外部對(duì)齊（External Alignment，EA）. APN 通過(guò)加強(qiáng)對(duì)于已知的少量樣本的利用，考慮未知的測(cè)試樣本的特征分布，生成更加動(dòng)態(tài)、精準(zhǔn)的類別原型，使得模型能夠持續(xù)調(diào)整新型異常流量的特征抽取和類別原型刻畫. 具體而言，原形網(wǎng)絡(luò)對(duì)同一類的樣本進(jìn)行聚合，生成類別原型；內(nèi)部對(duì)齊模塊校正原始原型，并通過(guò)測(cè)量支持樣本與類原型之間的距離預(yù)測(cè)損失來(lái)獲得自加權(quán)原型. 外部對(duì)齊模塊則通過(guò)測(cè)試樣本的特征分布，定位類別原型的相關(guān)特征，再通過(guò)預(yù)測(cè)的概率分布矩陣對(duì)相關(guān)特征進(jìn)行加權(quán)，從而實(shí)現(xiàn)測(cè)試樣本和類別原型的特征對(duì)齊，獲得根據(jù)環(huán)境動(dòng)態(tài)矯正而來(lái)的類別原型. 兩種對(duì)齊方式都以損失函數(shù)的形式添加進(jìn)網(wǎng)絡(luò)中，在不增加網(wǎng)絡(luò)參數(shù)的前提下，生成更具分辨性的類別原型表征. 本文重構(gòu)了兩個(gè)真實(shí)的流量數(shù)據(jù)集CIC-IDS-2017 和CSE-IDS-2018 來(lái)評(píng)估APN 在小樣本場(chǎng)景中的性能表現(xiàn). 實(shí)驗(yàn)結(jié)果表明，模型的運(yùn)行時(shí)間及內(nèi)存開(kāi)銷更小、分類性能更強(qiáng)，在多個(gè)任務(wù)場(chǎng)景下的魯棒性更強(qiáng).

2 相關(guān)工作

2. 1 異常流量分類

異常流量通常是由網(wǎng)絡(luò)攻擊產(chǎn)生的. 識(shí)別異常流量的類型有助于網(wǎng)絡(luò)防御和響應(yīng). 基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的方法已經(jīng)得到應(yīng)用，并取得了良好的效果［14］. 基于機(jī)器學(xué)習(xí)的方法可以自動(dòng)處理網(wǎng)絡(luò)流特征，并且易于部署. 其中，支持向量機(jī)和決策樹(shù)方法是最主流的，其他常用的方法包括ANN、GA、K-NN、Na?ve Bayesian 等. 支持向量機(jī)方法使用非線性核將數(shù)據(jù)映射到高維空間，然后使用超平面將流量分類為不同的類. SVM-L［15］結(jié)合了LDA 成對(duì)公式的思想，通過(guò)優(yōu)化模型來(lái)調(diào)整分類器的超參數(shù)，實(shí)驗(yàn)驗(yàn)證將基于統(tǒng)計(jì)規(guī)律和自然語(yǔ)言處理技術(shù)處理的特征輸入到SVM-L 中，可以獲得更高的精度. Hosseini 等［16］將SVM 和GA算法相結(jié)合，設(shè)計(jì)了用于特征選擇的MGA-SVM模塊，降低了計(jì)算復(fù)雜度，提高了檢測(cè)速度，以滿足大流量分析的需要. 決策樹(shù)是一種樹(shù)結(jié)構(gòu)模型，將流量的特征屬性作為節(jié)點(diǎn)，檢測(cè)決策作為邊緣節(jié)點(diǎn)，其分支反映了決策過(guò)程，有助于解釋模型的決策路徑和特征的影響. Ahmim 等［17］提出了一種分層入侵檢測(cè)系統(tǒng)，該系統(tǒng)采用了3 個(gè)基于樹(shù)的分類器. 該系統(tǒng)為每個(gè)分類器選擇不同的特征，在每個(gè)級(jí)別執(zhí)行分類任務(wù)，以實(shí)現(xiàn)對(duì)流量的粗略到精細(xì)分類，從而解決泛化能力有限的問(wèn)題. K-NN 作為一種聚類方法，能夠提供基于實(shí)例的解釋，通過(guò)分析距離度量方法和最近鄰居，有助于了解模型對(duì)類別和樣本的理解，但是對(duì)異常點(diǎn)十分敏感. 樸素貝葉斯是一種基于貝葉斯定理的概率分類器，為異常流量分類提供了良好的基線. Khamaiseh等［18］將K-NN 和Naive Bayes 分類器用于SDN 中的網(wǎng)絡(luò)流量檢測(cè)，并證明了這兩種方法都能夠在SDN 的網(wǎng)絡(luò)環(huán)境中檢測(cè)異常流量. 張瑜等［19］則設(shè)計(jì)了AFSA 算法來(lái)自動(dòng)適應(yīng)特征的選擇來(lái)提升檢測(cè)的效果. 機(jī)器學(xué)習(xí)的成功取決于特征或規(guī)則的有效設(shè)計(jì). 然而，識(shí)別每個(gè)獨(dú)特環(huán)境或任務(wù)的最佳細(xì)粒度流量特征可能具有挑戰(zhàn)性，特別是在小樣本異常流量場(chǎng)景中存在顯著噪聲干擾的情況下.

深度學(xué)習(xí)的算法主要包括以下核心骨干網(wǎng)絡(luò)CNN、RNN、LSTM、注意力機(jī)制和GAN 等，廣泛應(yīng)用于異常流量分類任務(wù)［20， 21］. 這些算法在NSLKDD、KDD CUP99、CIC-IDS2017 等數(shù)據(jù)集［22］上進(jìn)行了驗(yàn)證，并取得了較好的成績(jī). PBCNN［23］設(shè)計(jì)了一種分層的字節(jié)CNN，從原始流量包和網(wǎng)絡(luò)流中提取特征，并通過(guò)全連接層對(duì)其進(jìn)行分類，在CIC-IDS-2017 和CSE-CIC-IDS2018 數(shù)據(jù)集上取得了顯著的結(jié)果. Elsherif ［24］評(píng)估了RNN、LSTM、BRNN 和BLSTM 在NSL-KDD 上的性能，證明RNN 和LSTM 可以從歷史序列中捕獲流量特征，而B(niǎo)RNN 和BLSTM 具有雙向建模的特性，從而提高了召回率. 注意力機(jī)制具有更強(qiáng)的處理復(fù)雜輸入關(guān)系和序列關(guān)系的能力，引領(lǐng)了GPT、BERT等強(qiáng)大模型的發(fā)展. ET-BERT［25］利用BERT 強(qiáng)大的學(xué)習(xí)能力，在相關(guān)數(shù)據(jù)集上訓(xùn)練模型來(lái)理解網(wǎng)絡(luò)流量的上下文信息，然后實(shí)現(xiàn)加密流量的分類，實(shí)現(xiàn)了良好的性能. 生成對(duì)抗性網(wǎng)絡(luò)（GenerativeAdversarial Network，GAN）可以通過(guò)生成樣本和判別樣本的競(jìng)爭(zhēng)過(guò)程來(lái)提高生成樣本的水平.Ding 等人［26］設(shè)計(jì)了一個(gè)TACGAN 來(lái)生成更多的攻擊型數(shù)據(jù)，并引入了信息損失來(lái)提高生成樣本和真實(shí)樣本之間的一致性，解決了數(shù)據(jù)樣本不平衡的問(wèn)題. 深度學(xué)習(xí)方法可以自動(dòng)提取特征，網(wǎng)絡(luò)模塊可以被設(shè)計(jì)用來(lái)表達(dá)和抽取不同的流量特征，本文的方法也基于深度學(xué)習(xí)對(duì)流量進(jìn)行表征.但深度學(xué)習(xí)模型的性能取決于數(shù)據(jù)的豐富性. 當(dāng)樣本量不足時(shí)，模型容易過(guò)擬合，導(dǎo)致模型性能急劇下降.

2. 2 小樣本學(xué)習(xí)及異常流量的應(yīng)用

機(jī)器學(xué)習(xí)和深度學(xué)習(xí)無(wú)法應(yīng)對(duì)樣本數(shù)量不足的情況，部分研究工作開(kāi)始著眼于小樣本環(huán)境下對(duì)于異常流量的檢測(cè)和分類.

小樣本學(xué)習(xí)代表了一種新的機(jī)器學(xué)習(xí)范式，它利用先驗(yàn)知識(shí)從有限數(shù)量的例子中有效地學(xué)習(xí)新的通用表示［4］. 目前，基于元學(xué)習(xí)的小樣本學(xué)習(xí)在計(jì)算機(jī)視覺(jué)和自然語(yǔ)言處理領(lǐng)域得到了廣泛的應(yīng)用，并取得了巨大的成功. 流行的網(wǎng)絡(luò)包括MAML［27］、原型網(wǎng)絡(luò)［13］、孿生網(wǎng)絡(luò)［28］、匹配網(wǎng)絡(luò)［29］、關(guān)系網(wǎng)絡(luò)［30］等.

MAML 是基于任務(wù)粒度的小樣本學(xué)習(xí)，F(xiàn)eng等人［5］結(jié)合了MAML 算法，設(shè)計(jì)了一個(gè)用于小樣本異常流量檢測(cè)的框架. 該方法利用了33 個(gè)基于機(jī)器學(xué)習(xí)特征選擇的固定特征和LSTM 挖掘的時(shí)間特征，然后通過(guò)DNN 對(duì)其進(jìn)行分類. 在元學(xué)習(xí)訓(xùn)練過(guò)程中，通過(guò)多個(gè)N-way K-shot 分類任務(wù)獲得預(yù)訓(xùn)練的DNN 模型參數(shù)，然后在測(cè)試階段，基于新的類樣本調(diào)整模型參數(shù)，以獲得適合類的分類模型. 這種方法的主要缺點(diǎn)是使用了固定的特征，這限制了模型的能力. 其次，MAML 算法需要在測(cè)試過(guò)程中不斷更新模型參數(shù)，效率相對(duì)較低.

孿生網(wǎng)絡(luò)是簡(jiǎn)單、有效的網(wǎng)絡(luò)模型之一，F(xiàn)CNet［7］就是一種基于孿生網(wǎng)絡(luò)的小樣本網(wǎng)絡(luò)入侵檢測(cè)框架，該方法首先排列組合所有的網(wǎng)絡(luò)流類別，構(gòu)造了多個(gè)的二分類任務(wù). 每個(gè)任務(wù)都將網(wǎng)絡(luò)流量轉(zhuǎn)換為圖像數(shù)據(jù)，然后輸入到FC-Net 中，以計(jì)算每對(duì)樣本之間的相似性，從而進(jìn)行分類，實(shí)現(xiàn)了95% 的平均準(zhǔn)確率. Wang 等人［8］采用孿生膠囊網(wǎng)絡(luò)的方式進(jìn)行樣本相似度的比較，利用改進(jìn)的膠囊網(wǎng)絡(luò)模塊來(lái)捕捉特征之間的動(dòng)態(tài)關(guān)系，提升檢測(cè)能力，同時(shí)改進(jìn)了采樣方法，以解決數(shù)據(jù)不平衡的問(wèn)題. 這些方法基于孿生網(wǎng)絡(luò)，具有良好的可擴(kuò)展性和簡(jiǎn)單的架構(gòu)，在多個(gè)問(wèn)題上都取得了良好的效果. 然而，訓(xùn)練過(guò)程需要重復(fù)的成對(duì)比較步驟，效率低，運(yùn)行速度慢.

原型網(wǎng)絡(luò)在多個(gè)領(lǐng)域也取得了不錯(cuò)的表現(xiàn)，Yu 等人［9］在NSL-KDD 和UNSWNB15 數(shù)據(jù)集上驗(yàn)證了原型網(wǎng)絡(luò)流量分類的效果，并表明在各種分類場(chǎng)景下，與傳統(tǒng)的機(jī)器學(xué)習(xí)和深度學(xué)習(xí)方法相比，原型網(wǎng)絡(luò)可以實(shí)現(xiàn)優(yōu)越的性能. Wang 等人［10］從數(shù)據(jù)和特征貢獻(xiàn)的角度出發(fā)，結(jié)合原型網(wǎng)絡(luò)的特征生成和欠采樣特性，提出了一種新的檢測(cè)方法. Guo 等人［11］提出GP-Net 中對(duì)流的全局信息和流有效載荷的字節(jié)位置關(guān)系進(jìn)行了建模，提高了原型網(wǎng)絡(luò)在加密流檢測(cè)中的檢測(cè)性能. 本文選擇原型網(wǎng)絡(luò)作為基礎(chǔ)框架，進(jìn)一步拓展其訓(xùn)練方式和骨干網(wǎng)絡(luò)的設(shè)計(jì)，來(lái)解決支持集和查詢集之間的差異，防止監(jiān)督崩潰和操作效率低下的問(wèn)題.

3 研究方法

3. 1 小樣本異常流量分類框架

基于APN 網(wǎng)絡(luò)的小樣本異常流量分類框架如圖1 所示，包含4 個(gè)核心流程：流量收集、流量表示、任務(wù)組建和異常分類.

流量收集階段可以網(wǎng)絡(luò)流量監(jiān)控軟件來(lái)執(zhí)行，通過(guò)收集原始流量文件（如PCAP 格式）以最大限度地保留原始信息. 流量表示階段通過(guò)對(duì)網(wǎng)絡(luò)流量解析、裁剪獲得統(tǒng)一的流量尺寸，然后轉(zhuǎn)化成2D 灰度圖像. 根據(jù)標(biāo)記樣本數(shù)量的情況，異常流量可以分為有大量標(biāo)記樣本的類別、僅有少量標(biāo)記樣本的類別. 任務(wù)組建階段基于小樣本N-wayK-shot 的分類任務(wù)設(shè)置，抽取樣本組建分類任務(wù)用于模型訓(xùn)練. 在異常分類階段，每個(gè)任務(wù)會(huì)利用已標(biāo)記的樣本來(lái)挖掘異常流量的類別原型，然后將未標(biāo)記的樣本與生成的原型進(jìn)行比較，從而實(shí)現(xiàn)分類.

具體地，異常流量分類模塊輸入流量的表示X ∈ [ 0，256]n*W*H， 輸出分類結(jié)果 Y ∈ [ 1，…，C ]n.其中，W 和H 是處理圖像的寬度和長(zhǎng)度，C 是異常類別的數(shù)量. 在元學(xué)習(xí)的訓(xùn)練方式中，一個(gè)分類任務(wù)被看作一個(gè)樣本，在一個(gè)分類任務(wù)中，包含了支持集和查詢集兩種樣本集合. 在APN 中，模型會(huì)先將支持集的樣本使用原型網(wǎng)絡(luò)生成異常流量原型，以捕獲該類異常流量的特征空間. 初始原型在內(nèi)部對(duì)齊模塊（IA）和外部對(duì)齊模塊（EA）中得到進(jìn)一步校正，其中內(nèi)部對(duì)齊通過(guò)為支持集樣本分配權(quán)重來(lái)克服支持集的密度偏差，外部對(duì)齊通過(guò)轉(zhuǎn)移到查詢集的特征空間來(lái)適應(yīng)動(dòng)態(tài)環(huán)境中的特征分布. 最后，將真實(shí)環(huán)境中的測(cè)試流量與對(duì)齊的原型進(jìn)行匹配，并通過(guò)距離測(cè)量和相似性評(píng)估獲得流量的異常類別.

3. 2 網(wǎng)絡(luò)流量表示

網(wǎng)絡(luò)流量定義為一段時(shí)間內(nèi)的五元組＜ 源IP、目的地IP、源端口、目的地端口、協(xié)議＞. 鑒于小樣本學(xué)習(xí)在圖像領(lǐng)域取得的巨大成功，網(wǎng)絡(luò)流被表征為捕捉特定內(nèi)容信息的圖像. 為了確保捕獲的信息是有效的，該過(guò)程遵循以下原則：（1） 保持生成圖像的時(shí)空結(jié)構(gòu)的穩(wěn)定性，調(diào)節(jié)其大小，并為神經(jīng)網(wǎng)絡(luò)處理提供更合適的輸入數(shù)據(jù)源；（2） 保持網(wǎng)絡(luò)流量信息的真實(shí)性，并通過(guò)關(guān)注頭部信息來(lái)提取具有代表性的信息. 在網(wǎng)絡(luò)通信中，客戶端的初始數(shù)據(jù)包通常傳達(dá)更多關(guān)于其通信目的和行為信息的含義，而后續(xù)數(shù)據(jù)包主要傳輸特定數(shù)據(jù)，信息量較小. 類似地，對(duì)于每個(gè)數(shù)據(jù)包，數(shù)據(jù)包的元數(shù)據(jù)和前一部分的負(fù)載信息更能描述數(shù)據(jù)包的總體含義. 具體步驟如下：

（1） 流量抽?。焊鶕?jù)五元組格式從流量的原始記錄（如PCAP 格式）中解析包并提取、組裝成流量X.

（2） 流量采樣：對(duì)提取的流量進(jìn)行采樣. 由于網(wǎng)絡(luò)流的有效載荷長(zhǎng)度不一致，獲得的圖像大小也不一致，這對(duì)模型不友好. 雖然我們可以通過(guò)補(bǔ)0 的方式來(lái)保證圖像大小的一致性，但是補(bǔ)充過(guò)多的0 會(huì)造成表征數(shù)據(jù)的稀疏，影響模型收斂. 基于統(tǒng)計(jì)分析，確定網(wǎng)絡(luò)流的前M 個(gè)包進(jìn)行保留，截?cái)郙 之后的數(shù)據(jù)包. 特別地，為了保持流量包的時(shí)空連續(xù)性，我們將N 取平方. 對(duì)每個(gè)包的前N 2 個(gè)字節(jié)進(jìn)行保留，截?cái)郚 2 之后的字節(jié)內(nèi)容.

（3） 流量表示：采用灰度圖像來(lái)壓平通道，減少通道之間先驗(yàn)關(guān)系的影響，最大限度地保留原始輸入信息的時(shí)空結(jié)構(gòu). 具體操作包括：首先對(duì)網(wǎng)絡(luò)流進(jìn)行重新排列，生成大小為W 和H 的像素矩陣，滿足W*H ≥ M*N 2. 像素的每個(gè)點(diǎn)對(duì)應(yīng)字節(jié)的值，字節(jié)的值為0～255，因此像素矩陣在視覺(jué)上是灰度圖像. 線性排列用于組織像素，當(dāng)達(dá)到圖像的寬度時(shí)，像素繼續(xù)排列在下一行. 如果所有像素都排列完成，而圖像空間仍然有剩余，則用0 填充圖像.

3. 3 基于對(duì)齊的原型網(wǎng)絡(luò)（APN）

APN 的結(jié)構(gòu)如圖2 所示，分為元學(xué)習(xí)的特征表示、原型生成與對(duì)齊兩部分. 原型生成和對(duì)齊可以進(jìn)一步分為以下模塊：紫色線表示的內(nèi)部對(duì)齊（IA）和綠色線表示的的外部對(duì)齊（EA）. 在模型訓(xùn)練過(guò)程中，每個(gè)樣本是N-Way K-Shot Q-Query 的一個(gè)分類任務(wù)，命名為Episode. 其中，N 表示類的數(shù)量，K 表示每個(gè)類中包括的支持集樣本的數(shù)量，Q 表示每個(gè)類包括的查詢集樣本的數(shù)目. 每個(gè)事件中的訓(xùn)練和測(cè)試數(shù)據(jù)集被命名為支持集（ Xs ，Ys） 和查詢集（ Xq ，Yq）. 對(duì)于每次訓(xùn)練，APN隨機(jī)組裝事件，然后讓模型執(zhí)行分類任務(wù)，通過(guò)損失來(lái)指導(dǎo)模型更新. 對(duì)于標(biāo)簽較少的新類，APN 類似地構(gòu)建分類任務(wù)，并提供有限的樣本作為支持集，并且模型可以基于先前學(xué)習(xí)的任務(wù)先驗(yàn)知識(shí)來(lái)抽取和比較特征以執(zhí)行分類任務(wù)，從而預(yù)測(cè)查詢樣本的類.