基于深度學(xué)習(xí)算法的惡意攻擊檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

摘 要：為有效提高電網(wǎng)軟件惡意攻擊的檢測(cè)效率，使用自動(dòng)編碼器進(jìn)行異常惡意攻擊檢測(cè)的無(wú)監(jiān)督深度學(xué)習(xí)方法，同時(shí)采用低采樣和高采樣的混合采樣策略來(lái)平衡數(shù)據(jù)集，并對(duì)深度學(xué)習(xí)算法的檢測(cè)性能及數(shù)據(jù)丟包率進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明，基于深度學(xué)習(xí)算法在檢測(cè)電網(wǎng)運(yùn)營(yíng)平臺(tái)惡意攻擊時(shí)，準(zhǔn)確率高達(dá)98.84%，真正例率和耗時(shí)均比較低（2.1%、11.28 ms），且深度學(xué)習(xí)算法的召回率高達(dá)99.2%；進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動(dòng)編碼器可以有效檢測(cè)到電網(wǎng)運(yùn)營(yíng)平臺(tái)惡意攻擊，且檢測(cè)綜合性能優(yōu)于支持向量機(jī)等其他機(jī)器學(xué)習(xí)算法。丟包率隨著樣本數(shù)的增加而降低，當(dāng)樣本數(shù)增加到40 000個(gè)時(shí)，丟包率最小約為3%。

關(guān)鍵詞：深度學(xué)習(xí)；自動(dòng)編碼器；電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)；惡意攻擊

中圖分類號(hào)：TP274；TM769"""""""""""""""""""""" 文獻(xiàn)標(biāo)識(shí)碼：A""""""""""""""""""""" 文章編號(hào)：1001-5922（2024）07-0140-04

Design and implementation of malicious attack detection

system based on deep learning algorithm

LI Qiang1， ZHANG Xingfu2， GUI Sheng2， HU Bo2

（1. State Grid Information Communications Industry Group Co.，Ltd.，Beijing 102200，China；

2. Beijing CLP Puhua Information Technology Co.，Ltd.，Beijing 100089，China）

Abstract： In order to effectively improve the detection efficiency of malicious attacks on power grid software， an unsupervised deep learning method for abnormal malicious attack detection using autoencoder was used， and a mixed sampling strategy of low sampling and high sampling was used to balance the data set， and the detection performance and data packet loss rate of the deep learning algorithm were analyzed. The experimental results showed that when detecting malicious attacks on power grid operation platforms based on deep learning algorithms， the accuracy rate was as high as 98.84%， the true case rate and time consumption were relatively low （2.1%， 11.28 ms）， and the recall rate of deep learning algorithms was as high as 99.2%. This further indicates that the automatic encoder established based on deep learning can effectively detect malicious attacks on power grid operation platforms， and the overall detection performance is superior to other machine learning algorithms such as support vector machines. The packet loss rate decreased as the number of samples increases. When the sample size increased to 40 000， the minimum packet loss rate was about 3%.

Key words： deep learning；automatic encoder；power grid software operation platform；malicious attacks

由于電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)使用用戶數(shù)量的快速增長(zhǎng)和軟件業(yè)務(wù)的不斷發(fā)展，電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)的安全問(wèn)題越來(lái)越受到全社會(huì)的關(guān)注。惡意攻擊的多樣性和隱蔽性不斷增強(qiáng)，且惡意攻擊檢測(cè)數(shù)據(jù)具有數(shù)量大、碎片化等特點(diǎn)［1］，使得惡意攻擊檢測(cè)變得越來(lái)越困難。近年來(lái)，許多研究人員利用機(jī)器學(xué)習(xí)的各種方法對(duì)惡意攻擊檢測(cè)進(jìn)行了研究，如提出基于SwiftIDS的惡意攻擊檢測(cè)系統(tǒng)，該系統(tǒng)既能及時(shí)分析高速網(wǎng)絡(luò)中的海量流量數(shù)據(jù)，又具有較好的檢測(cè)性能［2］。研究了一種基于隨機(jī)森林算法的組合分類器模型，用于系統(tǒng)惡意攻擊檢測(cè)［3］。提出了邏輯回歸算法的入侵檢測(cè)方法，該方法利用邏輯回歸算法技術(shù)對(duì)惡意攻擊流量的語(yǔ)義進(jìn)行重編碼，增加了流量的區(qū)分能力，增強(qiáng)了算法的泛化能力，從而有效提高了算法識(shí)別惡意攻擊的準(zhǔn)確性和魯棒性［4］。而上述算法是有監(jiān)督的機(jī)器學(xué)習(xí)方法，需要標(biāo)記數(shù)據(jù)來(lái)訓(xùn)練模型。標(biāo)記數(shù)據(jù)的數(shù)量和質(zhì)量決定了學(xué)習(xí)算法的準(zhǔn)確性［5］。惡意攻擊檢測(cè)是一項(xiàng)復(fù)雜的學(xué)習(xí)任務(wù)，采用有監(jiān)督的機(jī)器學(xué)習(xí)方法無(wú)法有效檢測(cè)到隱藏的惡意攻擊且檢測(cè)性能較差。需要采用無(wú)監(jiān)督的機(jī)器學(xué)習(xí)方法以檢測(cè)惡意攻擊?；诖耍岢龌谏疃葘W(xué)習(xí)的惡意攻擊檢測(cè)系統(tǒng)，并利用一維卷積的自動(dòng)編碼器用于提高惡意攻擊的檢測(cè)性能，以保護(hù)軟件運(yùn)營(yíng)平臺(tái)正常運(yùn)行。研究結(jié)果可為電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)的惡意攻擊檢測(cè)提供參考依據(jù)。

1"" 基于深度學(xué)習(xí)算法的惡意攻擊檢測(cè)

1.1"" 惡意攻擊檢測(cè)系統(tǒng)建立

深度學(xué)習(xí)方法利用大量電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)數(shù)據(jù)進(jìn)行模型訓(xùn)練。自動(dòng)編碼器由2部分組成：編碼器和解碼器［8］。編碼器將輸入數(shù)據(jù)壓縮到維度小于輸入數(shù)據(jù)的潛在空間。解碼器從潛在空間中重建輸入數(shù)據(jù)的估計(jì)值。由于自動(dòng)編碼器被訓(xùn)練成一個(gè)身份識(shí)別系統(tǒng)，因此維度較小的潛在空間必須捕捉電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)輸入數(shù)據(jù)中最顯著的特征。由于潛在空間與訓(xùn)練數(shù)據(jù)類型有關(guān)，偏離訓(xùn)練數(shù)據(jù)集的輸入會(huì)導(dǎo)致較高的重構(gòu)誤差，并被標(biāo)記為異常數(shù)據(jù)。重構(gòu)誤差是根據(jù)重構(gòu)輸出與自動(dòng)編碼器輸入數(shù)據(jù)之間的均方誤差（MSE）計(jì)算得出的。自動(dòng)編碼器可使用不同類型的模型，如全連接網(wǎng)絡(luò)、遞歸神經(jīng)網(wǎng)絡(luò)和卷積神經(jīng)網(wǎng)絡(luò)［9］。自動(dòng)編碼器一般被認(rèn)為是無(wú)監(jiān)督方法，因?yàn)殡m然正常訓(xùn)練數(shù)據(jù)的標(biāo)簽是已知的，但在訓(xùn)練過(guò)程中并沒(méi)有明確地將其納入，因此，自動(dòng)編碼器的目標(biāo)是建立一個(gè)正常數(shù)據(jù)模型，僅根據(jù)正常數(shù)據(jù)訓(xùn)練的自動(dòng)編碼器無(wú)法正確再現(xiàn)異常數(shù)據(jù)（即自動(dòng)編碼）。由于自動(dòng)編碼器本身并不明確預(yù)測(cè)正?；虍惓?biāo)簽［10］，為此，自動(dòng)編碼器一般被認(rèn)為是無(wú)監(jiān)督的。

研究將基于一維卷積的自動(dòng)編碼器用于電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)的惡意攻擊檢測(cè)系統(tǒng)。編碼器和解碼器均使用一維卷積，包括在數(shù)據(jù)集上滑動(dòng)濾波器內(nèi)核和應(yīng)用點(diǎn)積。卷積操作的輸出結(jié)果如式（1）所示。

[Y（i）=（X*F）（i）=m=0M-1FmXi+m]"""""""""""" （1）

式中：Y表示卷積操作的輸出；X表示一維數(shù)據(jù)輸入；F表示長(zhǎng)度為M的卷積濾波器；*表示卷積算子；i表示輸入數(shù)據(jù)索引，卷積操作如圖1所示。

深度學(xué)習(xí)模型允許共享F中的參數(shù)，減少了可訓(xùn)練參數(shù)的總數(shù)［11］，在模型訓(xùn)練過(guò)程中節(jié)省了計(jì)算量，減少了內(nèi)存需求，進(jìn)而提高惡意攻擊檢測(cè)下的異常數(shù)據(jù)統(tǒng)計(jì)效率。

惡意攻擊檢測(cè)系統(tǒng)的編碼器將輸入數(shù)據(jù)嵌入一個(gè)低維的潛在空間，在這個(gè)空間中，相似的輸入數(shù)據(jù)相互嵌入，同時(shí)使用深度學(xué)習(xí)網(wǎng)絡(luò)的卷積操作層、非線性激活和最大池化［12］。常見(jiàn)非線性激活函數(shù)為整流線性單元（ReLU），定義如式（2）所示。且在所有卷積層中，使用的卷積濾波器大小為10，卷積步長(zhǎng)為1，并使用 ReLU作為激活函數(shù)。

[σ（x）=max（x，0）]"""""""""""""""""""""""""" （2）

池化層的作用是通過(guò)降低電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)輸入采樣來(lái)減少輸入維度。常見(jiàn)的方法包括平均池化層和最大池化層，在給定的步長(zhǎng)上滑動(dòng)一個(gè)小窗口，分別取窗口內(nèi)的平均值和最大值，以生成縮小的數(shù)據(jù)集［13］。在自動(dòng)編碼器的解碼器部分，潛空間中的數(shù)據(jù)被擴(kuò)展回原始輸入維度。同時(shí)設(shè)定解碼器由卷積運(yùn)算和一維上采樣層交錯(cuò)組成。

1.2"" 自動(dòng)編碼器架構(gòu)的訓(xùn)練和優(yōu)化

自動(dòng)編碼器的訓(xùn)練和測(cè)試共使用數(shù)據(jù)集為134 620個(gè)樣本。自動(dòng)編碼器訓(xùn)練的一個(gè)重要參數(shù)是輸入數(shù)據(jù)長(zhǎng)度，即輸入自動(dòng)編碼器的輸入樣本數(shù)。在本文中，設(shè)定自動(dòng)編碼器的輸入為50 ms的滑動(dòng)窗口，每個(gè)窗口由3個(gè)測(cè)量周期組成。因此，200 ms的模擬數(shù)據(jù)被分割成 50 ms數(shù)據(jù)的滑動(dòng)窗口。當(dāng)滑動(dòng)窗口在整個(gè)模擬樣本上滑動(dòng)時(shí)，自動(dòng)編碼器可以得到訓(xùn)練。而在將數(shù)據(jù)輸入自動(dòng)編碼器之前，要先進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化［14］?？紤]訓(xùn)練數(shù)據(jù)集D包含測(cè)量點(diǎn)x1，x2，…，xN。在數(shù)據(jù)標(biāo)準(zhǔn)化過(guò)程中，每種測(cè)量類型的數(shù)據(jù)都被縮放為單位方差和零均值，如式 （3）～式（5） 所示，其中均值（μ）和標(biāo)準(zhǔn)偏差（σ）是在整個(gè)訓(xùn)練數(shù)據(jù)集中計(jì)算得出。

[μ=i=1Nxin]"""""""""""""""""""""""""" （3）

[σ=i=1N（xi-μ）2n]"""""""""""""""""""" （4）

[xstand=x-μσ]""""""""""""""""""""""""""""" （5）

若出現(xiàn)惡意攻擊檢測(cè)系統(tǒng)無(wú)法有效識(shí)別電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)中的異常數(shù)據(jù)，則惡意攻擊檢測(cè)系統(tǒng)經(jīng)過(guò)進(jìn)一步訓(xùn)練，以減少損失函數(shù)來(lái)提高檢測(cè)效率，即輸入與自動(dòng)編碼器重構(gòu)輸出之間的均方誤差（MSE），如式（6）所示。

[MSE=L（f（x））-x22]"""""""""""""""""" （6）

式中：L為卷積步長(zhǎng)。

2"" 結(jié)果與討論

2.1"" 實(shí)驗(yàn)數(shù)據(jù)集設(shè)定

實(shí)驗(yàn)硬件環(huán)境配備了英特爾酷睿i5-10300H 64位處理器、16 GB內(nèi)存和 GTX1660ti顯卡。NSL-KDD數(shù)據(jù)集是惡意入侵檢測(cè)研究中常用的數(shù)據(jù)集。該數(shù)據(jù)集包含正常樣本和異常惡意攻擊樣本，并分為訓(xùn)練子集和測(cè)試子集。訓(xùn)練集包含112 077個(gè)樣本，測(cè)試集包含22 543個(gè)樣本。在NSL-KDD數(shù)據(jù)集的訓(xùn)練集中，正常樣本和異常樣本的分布高度不平衡，只有一小部分樣本是異常的。為解決這一問(wèn)題，采用了低采樣和高采樣的混合采樣策略來(lái)平衡數(shù)據(jù)集［15］?；旌喜蓸雍?，數(shù)據(jù)集中正常樣本和異常樣本的比例平衡為 1∶1?；旌喜蓸雍笳颖竞彤惓颖镜姆植既鐖D2所示。

2.2"" 惡意攻擊檢測(cè)性能分析

為進(jìn)一步研究基于深度學(xué)習(xí)算法的惡意攻擊檢測(cè)性能，將所提出深度學(xué)習(xí)與支持向量機(jī)算法、隨機(jī)森林、邏輯回歸和樸素貝葉斯算法等多種機(jī)器學(xué)習(xí)方法進(jìn)行比較［16?17］，并計(jì)算運(yùn)行時(shí)間、準(zhǔn)確率、精確度、真正例率、召回率和耗時(shí)等性能，實(shí)驗(yàn)結(jié)果如表1所示。

由表1可知，隨機(jī)森林算法和支持向量機(jī)算法的召回率和準(zhǔn)確率較高；但耗時(shí)更長(zhǎng)，最大耗時(shí)為215.6 ms。主要原因?yàn)殡S機(jī)森林算法可以在確定惡意

攻擊類別時(shí)評(píng)估攻擊的重要性，從而平衡電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)分類數(shù)據(jù)集的誤差。因此，其準(zhǔn)確率和召回率相對(duì)較高，且由于需要對(duì)電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)生成多棵決策樹(shù)進(jìn)行評(píng)估，因此運(yùn)行時(shí)間和計(jì)算資源也更多。而支持向量機(jī)算法采用二次編程求解支持向量，需要計(jì)算m階矩陣（m為樣本數(shù)）［18］。當(dāng)m較大時(shí)，該矩陣的存儲(chǔ)和計(jì)算將消耗大量?jī)?nèi)存和計(jì)算時(shí)間。當(dāng)實(shí)際惡意攻擊檢測(cè)系統(tǒng)中產(chǎn)生多個(gè)高度復(fù)雜的信息交互數(shù)據(jù)時(shí)，這2種方法的資源消耗較大，且真正例率分別為5.5%、4.7%。邏輯回歸和樸素貝葉斯算法耗時(shí)較少，但準(zhǔn)確率和精度低于隨機(jī)森林算法和支持向量機(jī)算法。且邏輯回歸算法的真正例率最高，較樸素貝葉斯算法增加43.9%，主要?dú)w因于樸素貝葉斯算法是一個(gè)生成模型，可以根據(jù)先驗(yàn)概率更好地?cái)M合數(shù)據(jù)，而邏輯回歸是一個(gè)決策模型，通過(guò)訓(xùn)練數(shù)據(jù)直接預(yù)測(cè)輸出，不對(duì)聯(lián)合概率建模。同時(shí)可觀察到，所提出的深度學(xué)習(xí)算法，在檢測(cè)惡意攻擊時(shí)，準(zhǔn)確率可以達(dá)到98.84%，較邏輯回歸算法等其他4種算法分別增加7.25%、41.49%、5.70%、6.11%，雖檢測(cè)精度較低（92.69%），但真正例率和耗時(shí)均比較低（2.1%、11.28 ms）。深度學(xué)習(xí)算法的召回率高達(dá)99.2%，進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動(dòng)編碼器可以有效檢測(cè)到惡意攻擊，且檢測(cè)綜合性能優(yōu)于其他4種算法。

2.3"" 數(shù)據(jù)丟包率

為了驗(yàn)證深度學(xué)習(xí)檢測(cè)惡意攻擊方法的有效性，對(duì)電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)中的丟包率進(jìn)行統(tǒng)計(jì)計(jì)算，丟包率越小，表明深度學(xué)習(xí)可檢測(cè)到惡意攻擊［19］，并自動(dòng)啟動(dòng)電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)防火墻進(jìn)行掃描攔截。丟包率如圖3所示。

由圖3可知，丟包率隨著樣本數(shù)的增加而降低。當(dāng)樣本數(shù)增加到40 000個(gè)時(shí)，丟包率約為3%。但隨著樣本數(shù)的不斷增加，丟包率也進(jìn)一步增加。當(dāng)樣本數(shù)為50 000個(gè)時(shí)，丟包率約為3.2%，主要由于在檢測(cè)惡意攻擊時(shí)，自動(dòng)編碼器對(duì)數(shù)據(jù)集中的樣本分類錯(cuò)誤，從而導(dǎo)致樣本數(shù)為50 000個(gè)時(shí)，丟包率進(jìn)一步增加。同時(shí)可觀察到，樣本數(shù)較小時(shí)，最大丟包率為21%，主要原因?yàn)閻阂夤魰?huì)進(jìn)一步破壞電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)數(shù)據(jù)庫(kù)，造成數(shù)據(jù)丟包率增加，且由于樣本數(shù)較小，平臺(tái)防火墻無(wú)法有效識(shí)別惡意攻擊類別，導(dǎo)致惡意攻擊攔截失敗。當(dāng)樣本數(shù)超過(guò)20 000個(gè)時(shí)，丟包率明顯下降，究其原因?yàn)閻阂夤魴z測(cè)系統(tǒng)的編碼器將輸入數(shù)據(jù)嵌入一個(gè)低維的潛在空間，在這個(gè)空間中，相似的輸入數(shù)據(jù)相互嵌入［20］；當(dāng)樣本數(shù)較多時(shí)，惡意攻擊檢測(cè)系統(tǒng)可以將相似輸入數(shù)據(jù)進(jìn)行有效分類，從而提高檢測(cè)性能。因此，基于深度學(xué)習(xí)所建立的惡意攻擊檢測(cè)系統(tǒng)可以在一定程度上可以檢測(cè)到惡意攻擊，但需要適量的數(shù)據(jù)樣本才能降低數(shù)據(jù)丟包率。針對(duì)深度學(xué)習(xí)所建立的惡意攻擊檢測(cè)系統(tǒng)，測(cè)試的樣本數(shù)量應(yīng)為40 000個(gè)，才能使電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)丟包率降到最低。

3"" 結(jié)語(yǔ)

（1）研究采用了低采樣和高采樣的混合采樣策略來(lái)平衡數(shù)據(jù)集?；旌喜蓸雍?，數(shù)據(jù)集中正常樣本和異常樣本的比例平衡為 1∶1；

（2）所提出的深度學(xué)習(xí)算法，在檢測(cè)惡意攻擊時(shí)，準(zhǔn)確率可以達(dá)到98.84%，較邏輯回歸算法等其他4種算法分別增加7.25%、41.49%、5.70%、6.11%。深度學(xué)習(xí)算法的召回率高達(dá)99.2%，進(jìn)一步表明基于深度學(xué)習(xí)所建立的自動(dòng)編碼器可以有效檢測(cè)到惡意攻擊；

（3）丟包率隨著樣本數(shù)的增加而降低。隨著樣本數(shù)的不斷增加，丟包率也進(jìn)一步增加，當(dāng)樣本數(shù)為50 000個(gè)時(shí)，丟包率約為3.2%。當(dāng)樣本數(shù)超過(guò)20 000個(gè)時(shí)，丟包率明顯下降，測(cè)試的樣本數(shù)量應(yīng)為40 000個(gè)，才能使電網(wǎng)軟件運(yùn)營(yíng)平臺(tái)丟包率降到最低。

【參考文獻(xiàn)】

［1］""" 武強(qiáng)，苗彥濤，余尚仁.基于智能分析的惡意軟件檢測(cè)研究進(jìn)展和挑戰(zhàn)［J］.通信技術(shù)，2022，55（9）：1183?1195.

［2］""" 崔琳，楊黎斌，何清林，等.基于開(kāi)源信息平臺(tái)的威脅情報(bào)挖掘綜述［J］.信息安全學(xué)報(bào)，2022，7（1）：1?26.

［3］""" 朱大立，金昊，吳荻，等.基于數(shù)據(jù)流深度學(xué)習(xí)算法的Android惡意應(yīng)用檢測(cè)方法［J］.信息安全學(xué)報(bào)，2019，4（2）：53?68.

［4］""" 熊輝，呂智慧，張世永.基于OpenStack的自適應(yīng)異常檢測(cè)模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用與軟件，2015，32（9）：292?298.

［5］""" 姚燁，朱怡安，錢亮，等.一種基于異質(zhì)模型融合的Android終端惡意軟件檢測(cè)方法［J］.計(jì)算機(jī)科學(xué)，2022，49（S1）：508?515.

［6］""" 張皓.基于深度學(xué)習(xí)的惡意軟件動(dòng)態(tài)檢測(cè)方法研究［J］.電子技術(shù)與軟件工程，2022（3）：43?46.

［7］""" 王聰，邱衛(wèi)東，唐鵬，等.基于CNN和LSTM混合的Android惡意應(yīng)用檢測(cè)［J］.通信技術(shù)，2018，51（9）：2209?2214.

［8］""" 符士侃，夏元軼，杜鈺，等.基于概率主題模型的大數(shù)據(jù)平臺(tái)隱私泄露自動(dòng)檢測(cè)方法［J］.自動(dòng)化與儀器儀表，2022（4）：115?118.

［9］""nbsp; 李群，董佳涵，關(guān)志濤，等.一種基于聚類分類的物聯(lián)網(wǎng)惡意攻擊檢測(cè)方法［J］.信息網(wǎng)絡(luò)安全，2021，21（8）：82?90.

［10］""" 左曉軍，陳澤，董立勉，等.基于信息安全框架“金三角" 模型”的網(wǎng)絡(luò)安全評(píng)估方法研究［J］.粘接，2020，" 41（2）：106?110.

［11］""" 王濤，吳曉燕，程良倫.無(wú)線Mesh網(wǎng)絡(luò)基于隱半馬爾" 可夫模型的跨層結(jié)合異常檢測(cè)方法［J］.計(jì)算機(jī)科學(xué)，" 2012，39（8）：62?66.

［12］""" 范禹辰，劉相坤，朱建生，等.基于BERT的服務(wù)網(wǎng)站" Web攻擊檢測(cè)研究［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2022，"" 32（8）：168?173.

［13］""" 盧純義.基于SDN架構(gòu)的電網(wǎng)通信惡意攻擊防御控制" 方法［J］.微型電腦應(yīng)用，2021，37（12）：162?165.

［14］""" 季一木，焦志鵬，劉尚東，等.基于通信特征的CAN總" 線泛洪攻擊檢測(cè)方法［J］.網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2020，" 6（1）：27?37.

［15］""" 黎明，宋廣軍.云計(jì)算環(huán)境下軟件異常區(qū)域檢測(cè)模型" 仿真［J］.計(jì)算機(jī)仿真，2015，32（9）：314?317.

［16］""" 白宏鵬，鄧東旭，許光全，等.基于聯(lián)邦學(xué)習(xí)的入侵檢測(cè)" 機(jī)制研究［J］.信息網(wǎng)絡(luò)安全，2022，22（1）：46?54.

［17］""" 武強(qiáng)，苗彥濤，余尚仁.基于智能分析的惡意軟件檢測(cè)" 研究進(jìn)展和挑戰(zhàn)［J］.通信技術(shù)，2022，55（9）：1183?1195.

［18］""" 熊輝，呂智慧，張世永.基于OpenStack的自適應(yīng)異常" 檢測(cè)模型的設(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)應(yīng)用與軟件，2015，" 32（9）：292?298.

［19］""" 陳曉軍，姚浩浩，王月領(lǐng)，等.基于DNS日志的惡意域名" 態(tài)勢(shì)預(yù)警研究［J］.信息技術(shù)與信息化，2021（7）：99?101.

［20］""" 徐超，孫金莉，楊郡，等.基于分布式支持向量機(jī)的電網(wǎng)" 錯(cuò)誤數(shù)據(jù)注入檢測(cè)法［J］.粘接，2023，50（2）：188?192.