我们介绍了一种基于机器学习的网络入侵检测模型，使用随机过采样处理数据不平衡并基于聚类结果进行堆叠特征嵌入，以及使用主成分分析进行维度约简，特别适用于大规模和不平衡的数据集，并在三个现阶段的基准数据集：UNSW-NB15、CIC-IDS-2017 和 CIC-IDS-2018 上进行了评估，结果表明该模型的性能持续优于现有技术，证明了该方法在网络入侵检测领域的重要进展和有效性。

Jan, 2024

本文提出了一种新颖的多阶段优化的基于机器学习的 NIDS 框架，它减少了计算复杂性，同时保持了检测性能，研究了过采样技术对模型训练样本大小的影响，确定了最小合适的训练样本大小，并探究了基于信息增益和基于相关性的两种特征选择技术对检测性能和时间复杂度的影响，同时还调查了不同机器学习超参数优化技术来增强 NIDS 性能，实验证明所提出的模型显著降低了所需的训练样本大小（最高可达 74%）和特征集大小（最高可达 50%），且性能获得了提升，对 CICIDS 2017 和 UNSW-NB 2015 数据集的检测准确率均超过了 99%，优于最近的文献工作，其精度更高 1-2% ，误报率更低 1-2%。

Aug, 2020

本文通过采用不同的基于学习的模型来检测网络攻击，演示了无监督表示学习模型在二进制入侵检测任务中的优势，并使用 SVM-SMOTE 过采样技术缓解了 4 类分类中的数据不平衡问题，并进一步展示了过采样机制的有效性及其深入神经网络基础模型的缺陷。

Aug, 2021

基于变压器的恶意流量检测算法，在只使用有效载荷字节的情况下，能够有效区分测试数据集中的恶意流量与良性流量，实现了二进制分类的平均准确率为 79% 和多类分类实验的准确率为 72%。

Mar, 2024

本文提出了一种使用连续时间贝叶斯网络来检测入侵的通用技术 - 异常检测，并使用根据历史数据生成的生成式模型来标记异常行为。该方法在网络入侵检测系统和主机入侵检测系统中都有应用，并在多个实验数据集上进行了验证。

Jan, 2014

网络入侵检测系统通过两步特征分离和动态图扩散方案来有效识别加密流量中的各种攻击，包括未知威胁和难以检测的已知攻击。我们的实验结果表明，我们的 3D-IDS 方法优越，并且我们的两步特征分离有利于网络入侵检测系统的可解释性。

Jul, 2023

使用超图来捕捉端口扫描攻击的演化模式，建立了一种基于超图度量的机器学习网络入侵检测系统，可实时智能地监测和检测端口扫描活动和对抗性入侵，具有鲁棒性和复杂动态的完美表现，检测性能近乎百分百。

Nov, 2022

本研究提出了一种组合了 NIDS 和 HIDS 的混合网络入侵检测系统，通过特征压缩技术可以有效地识别 APT 攻击，而且在 CICIDS 2018 和 NDSec-1 两个数据集上，相比传统的 ML XGBoost 算法，联合使用网络和主机特征可提高攻击检测性能（宏平均 F1 得分）分别为 8.1％和 3.7％，使用两级的 ML 分类器可提高单个类的检测性能，特别是对于 DoS-LOIC-UDP 和 DoS-SlowHTTPTest 这两个分类，可以分别提高 30.7％和 84.3％。

Jun, 2023

提出了一种受 Lockheed Martin 网络攻击链启发的新型 3 阶段入侵检测系统，用于检测复杂多步骤的攻击，通过第一个和第二个阶段的检测来预测第三个阶段的攻击，使用 ToN IoT 数据集，实现了平均 94% 的 F1 分数，性能优于基于随机森林模型的基准方法。

Apr, 2024

通过半监督学习技术开发入侵检测系统，建立了两种策略：1）使用随机和均匀分布的合成攻击样本训练有监督机器学习模型；2）构建一种仅基于良性网络流量训练的一类分类模型。实验证明，基于最先进的异常检测技术 usfAD 的一类分类模型在考虑真实场景并要检测先前未见的攻击时优于传统的有监督分类和其他一类分类技术。

Mar, 2024