摘要
入侵检测系统(Intrusion Detection System, IDS)作为传统上有效的安全监控系统,正面临现代社会持续数字化带来的严峻挑战。连接设备数量与种类的不断增长,不仅导致新型威胁持续涌现,且这些威胁往往无法被现有系统识别,同时需要监控的数据量也已超出单一系统的能力范围。因此,亟需一种具备可扩展性的IDS,以实现对未知攻击及零日攻击的有效检测。本文提出了一种新型的多阶段分层入侵检测方法。该方法在公开基准数据集CIC-IDS-2017和CSE-CIC-IDS-2018上进行了验证。实验结果表明,所提出的方案不仅在零日攻击检测方面表现出高效性与鲁棒性,且在性能上优于基线方法及现有技术,分类准确率最高可达96%的平衡准确率(balanced accuracy)。此外,该方法具有良好的可适应性,无需重新训练即可部署,并通过采用n级架构部署,显著降低了带宽与计算资源需求,同时有效保障了隐私约束。在采用平衡阈值设置的最佳模型中,成功识别出47个零日攻击中的41个(即87%),同时将带宽需求最高降低达69%。