基于kNN检索的网络流量检测域适应增强方法

孙剑文; 张斌; 张昊

doi:10.3969/j.issn.1671-0673.2025.05.011

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (05) : 575 -584. DOI: 10.3969/j.issn.1671-0673.2025.05.011

网络空间安全

基于kNN检索的网络流量检测域适应增强方法

孙剑文 ¹^,² ,
张斌 ¹ ,
张昊 ¹

作者信息 +

Domain Adaptation Enhancement Method for Network Traffic Detection Based on kNN Retrieval

Jianwen SUN ¹^,² ,
Bin ZHANG ¹ ,
Hao ZHANG ¹

Author information +

文章历史 +

PDF (4018K)

摘要

针对网络流量检测中目标域与源域之间数据分布差异导致的模型泛化能力不足从而使检测性能下降的问题，提出一种增强域适应能力的非参数化流量检测方法。该方法在模型微调阶段，将训练样本的深度表示与标签构建成一个字典。在检测阶段，同时检索该字典，依据与待检测样本最相似的k个样本的概率分布，对参数化检测模型的预测结果进行校正。在不增加训练样本量以及模型训练开销的前提下，实现稳定且鲁棒的检测结果，且该方法具备高可解释性。实验结果表明，在由USTC-TFC2016等数据集构成的具有不平衡分布的跨域场景中，该方法显著提升了模型的适应能力与检测性能，并且在不同新域数据分布下验证了其有效性与鲁棒性。

Abstract

To address the issue that the insufficient generalization ability of the model due to the data distribution difference between the target domain and the source domain in network traffic detection leads to declined detection performance, a non-parametric traffic detection method with enhanced domain adaptation ability is proposed. Specifically, during the model fine-tuning stage, a dictionary is constructed by integrating the deep representations of training samples with their labels. In the detection phase, the dictionary is queried to correct the prediction results of the parameterized detection model based on the probability distribution of the k most similar samples to the sample under test. This approach achieves stable and robust detection results without increasing training sample size or model training overhead and possesses high interpretability. Extensive experiments on cross-domain scenarios with imbalanced distributions (e.g., USTC-TFC2016 dataset) demonstrate that the model’s adaptation ability and detection performance are significantly enhanced by the method, and the effectiveness and robustness of the method are further verified under different new domain data distributions.

Graphical abstract

关键词

网络流量检测 / 非参数化方法 / 域适应 / 可解释性 / 跨域检测 / 不平衡数据分布

Key words

network traffic detection / non-parametric method / domain adaptation / explainability / cross-domain detection / imbalanced data distribution

引用本文

引用格式 ▾

孙剑文,张斌,张昊. 基于kNN检索的网络流量检测域适应增强方法[J]. 信息工程大学学报, 2025, 26(05): 575-584 DOI:10.3969/j.issn.1671-0673.2025.05.011

登录浏览全文

4963

注册一个新账户忘记密码

在网络流量检测领域，流量的动态特性和业务多样性导致了流量类型的复杂性。这种复杂性体现在不同协议（如TCP、UDP、ICMP）的使用模式在正常流量与异常流量中可能表现出显著差异^[1]。因而，恶意流量检测方法面临的一个主要挑战是模型的泛化能力不足。传统机器学习方法假设训练数据与测试数据独立同分布^[2]，但在动态多变的网络环境中，这一假设往往不成立。模型在源域数据训练后，若目标域数据存在特征分布偏移或标签空间差异，性能通常会下降^[3-4]。因此，如何构建一个能够有效泛化到新测试样本分布的鲁棒模型成为一项重要任务。

为了缓解训练与测试时数据分布差异导致的检测模型泛化能力不足问题，研究者探索了多种提升检测模型泛化能力或适应性的技术，主要研究方向是域泛化（Domain Generalization, DG）和域适应（Domain Adaptation, DA）^[5-6]。DG方法能够在不使用目标域信息情况下，通过来自一个或多个源的数据训练出具有泛化能力的模型，使其适应分布外的目标域^[7]。然而，DG方法在目标域与源域差异较大时表现受限，因为它不利用目标域数据进行适应^[8]。这使检测模型对新域特征的表征能力受限于训练阶段的先验知识，难以泛化到与源域差异过大的未知部分。与DG方法不同，DA方法更适合解决跨域任务^[9]。DA方法通过将已知源域学到的知识迁移到新的目标域^[10]，利用一定量的目标域样本对模型进行逐一微调，使模型能够更快且更有效地适应目标域的特定分布^[11]。尽管微调可以在一定程度上适应目标域的特征分布，但在目标域捕获样本有限的情况下，不足以捕捉目标域的全部特性^[12]。如何使微调后的检测模型快速适应目标域，从而提升检测性能是需要解答的问题。

非参数化方法近年来在语言建模、问答等领域取得了成功应用^[13]。其优势在于不需要修改或重新训练模型内部参数，能够在测试阶段直接利用训练数据进行推理，并且能够使检测模型的决策过程更加透明，从而追溯到具体实例。与基于模型的学习方法（通过显式训练阶段推导出一个固定的预测函数）相比，k最近邻(k-Nearest Neighbors, kNN)检索方法无需显式训练阶段，而是通过在引入新实例时动态分析数据结构，实时制定预测^[14-15]。这种方法为跨域检测提供了一种域适应的新思路。那么，如何在流量领域有效适应目标域与源域之间数据分布的差异，以提高模型在多样化网络环境中的泛化能力和检测性能，是本文需要解答的问题。

本文将基于kNN的检索方法推广到网络流量检测领域，提出一种基于kNN检索的非参数化流量检测（Traffic Detection, TD）方法kNN-TD，用于增强检测模型在目标域的适应能力，改善检测模型在目标域的实时流量识别效果。其核心思想是为下游任务微调的训练样本构建一个数据池，维护网络流量的深度表示（由检测模型中分类器的最后一层生成）及相应类别的数据对字典。对每个待检测样本，先从数据池检索k个最相似深度表示，将相似度经归一化处理转化为概率分布，再与参数化分类器输出的Softmax概率分布加权融合，最终选择概率最大的类别作为检测结果。实验结果表明，该方法能够有效利用目标域的微调数据适应目标域，从而提升检测性能。

1 相关研究

1.1 网络流量检测及其域适应方法

现有网络流量检测域适应方法，一方面，基于分布对齐，通过优化模型结构或训练策略提取出对域不变的特征表示，缩小源域和目标域之间的分布差异。Yang等提出跨域引导与多学习器协同监督训练策略，以源域知识提升模型在目标域的适应性和泛化能力^[16]，但大规模数据下计算资源与效率面临挑战。Ning等先在源域预训练模型，再迁移特征提取器至目标域并微调，微调时以最大平均差异（Maximum Mean Discrepancy, MMD）损失最小化域间分布差异，使模型学习域不变特征表示，再使用目标域标记数据训练新的分类器实现流量分类^[17]，但面对极端不均衡数据集时，模型性能可能下降。Taghiyarrenani等则采用MMD度量最小化源域与目标域中共享应用的分布差异，并同步最小化应用内样本、最大化应用间样本的距离，实现存在非共享应用情形下的跨域流量分类^[18]。然而，MMD仅对齐分布的均值差异，当源域与目标域数据分布差异显著时，其校正能力受限，从而削弱域适应性能。

另一方面，基于特征增强与优化，通过多种方式生成新特征，以增强模型对恶意流量的检测能力。Wei等基于高斯假设将流量特征分组，经k均值聚类生成聚类特征并与原始特征联合输入双分类器，以提升不平衡数据集下的检测能力^[19]，但其特征划分依赖先验知识且显著增加计算复杂度。Tong等提出深度域适应网络，以平滑特征函数强化任务层特征的可迁移性，降低域差异导致的计算复杂度并提升对新应用的分类性能^[20]，然而若目标域新应用与源域应用的数据分布差异较大时，其有效性仍受源域和目标域相关性制约。

综上，分布对齐类方法受限于大规模数据、极端类别不平衡及显著分布差异，特征增强与优化类方法则受限于领域先验知识、计算复杂度或对源-目标域相关性的依赖。两类方法虽已推进网络流量检测的域适应研究，其局限性仍亟需新的域适应范式予以突破。

1.2 kNN检索的应用

自然语言处理中，Huang等提出kNN-Adapter，针对输入序列、待预测token及检索邻居，调整插值系数与温度参数，使大语言模型在新域融合通用知识与特定信息，提升性能^[21]。机器翻译领域，Wang等提出kNN-MT，构建外部数据库存储领域翻译知识，翻译时检索与上下文最相似的k个邻居，与模型预测分布插值，无需重训即可更好地适应领域语言特征与翻译习惯^[22]。上述方法不修改模型参数，决策透明可溯源。将kNN检索引入网络流量检测域适应，可针对性解决现有方法局限。

2 问题提出

2.1 构造网络流量数据域

CSE-CIC-IDS2018数据集^[23]源于实验环境，通过模拟手段生成涵盖DDoS、渗透测试、Web攻击等异常流量以及大量正常流量数据。USTC-TFC2016数据集^[24]借助IXIA BPS在真实网络环境中获取，既包含Tinba、Virut等恶意软件流量，也囊括FTP、Weibo等正常应用流量。ISCX-VPN2016-Service数据集^[25]包括VPN与非VPN场景下网页浏览、文件传输、视频流等多协议和应用的常见网络活动。由于三者数据来源与采集策略差异显著，跨域检测可映射实验环境到真实网络环境的流量识别任务，进而检验检测模型的泛化性能与场景适应性。

2.2 检测方法与问题分析

现有检测模型采用预训练—微调框架^[26]。预训练阶段，融合掩码自编码器与对比学习，同步捕获局部特征，并强化全局与类别判别能力，从而学习流量的深度表示，显著降低对高质量标注数据的依赖；微调阶段引入focal损失，增强对不平衡样本的检测能力。

构造跨域场景，以ISCX-VPN2016-Service数据集为例，分别在3个源域数据集（ISCX-VPN2016-Service、CSE-CIC-IDS2018、USTC-TFC2016）训练3个编码器，对其映射分布进行可视化，如图1所示，该可视化结果表明跨域场景中的数据分布差异。

图1中x轴和y轴的数值范围反映了数据在经过降维处理后的特征分布情况。具体而言，图1（a）显示了使用本域（ISCX-VPN2016-Service）训练的编码器映射目标域数据后的分布，其中类别之间的边界较为清晰，数据在x轴（-58，67）和y轴（-48，69）上分布较广。图1（b）和图1（c）分别展示了使用CSE-CIC-IDS2018和USTC-TFC2016源域训练的编码器映射目标域数据后的分布。其中，图1（b）中数据在x轴（-13，43）和y轴（5，34）范围内分布，图1（c）中数据在x轴（-30，35）和y轴（-55，35）范围内分布。在这两个分图中，数据点分布均较为混合，类别之间的边界不明显且有较多重叠。分布表明，所构造的跨域检测场景是有效的。

该检测模型在有限样本微调下具备跨域检测能力，如表1所示，表中给出以宏平均计算的跨域检测性能。然而，当检测模型首先基于CSE-CIC-IDS2018数据集预训练，随后在目标域微调时，其性能有所下降。推测该现象的原因在于源域与目标域之间数据分布差异较大，导致检测模型难以在有限样本微调下适应新域的数据分布特点。

为此，需要解决跨域场景下检测模型的域适应问题，本文将非参数化检索技术与现有检测模型相结合。在检测阶段，利用kNN检索技术在特征空间中找到k个最相似的微调样本，这些相似样本的特征分布与目标域的整体数据分布具有较高相似性，能够校正检测模型在该场景下的预测偏差，使检测模型快速适应目标域数据分布，进而提升检测性能。

基于上述分析，本文聚焦在迁移学习框架下，解决流量检测任务中的域适应问题。给定一个检测模型

f 𝒟 : X 𝒟 → Y 𝒟

，该检测模型首先在域

𝒮

上进行预训练，然后在域

𝒟

上通过有限的标记样本进行有效微调。其中，源域

𝒮

和目标域

𝒟

由不同的数据分布定义，即

P 𝒮 (X 𝒮) ≠ P 𝒟 (X 𝒟)

，但它们在数据性质上是相关的。目标域

𝒟

是定义在输入、输出空间

X × Y

上的联合分布

P (x, y)

，其中

x ∈ X 𝒟

代表输入的流量样本，

y ∈ Y 𝒟

代表输出的流量类别标签。该检测模型用于识别新输入的流量样本

x

属于哪个类别

y

。

3 kNN-TD方法

在本节中，将流量检测过程解耦为两个部分，预测结果的一部分来源于参数化检测模型的输出，另一部分来源于基于kNN检索的输出，即对常规检测的增强，二者构成kNN-TD方法，其检测过程如图2所示。

检测模型的特征提取部分来源于预训练—微调范式的编码器，该检测模型为编码器与多层感知器结构，编码器主要包含12层Transformer结构，多层感知器包含3个线性层，两部分拼接形成已存在的检测模型，利用微调阶段训练样本，基于原微调方法对检测模型进行微调。由该检测模型检测直接输出的结果为

y m

；深度表示为该检测模型中分类器的最后一个线性层的输出，即未经过Softmax函数的logits，记为

z k

；经过kNN检索后得到预测概率

y k

。最后，两部分预测加权得到最终的检测结果

y

。

3.1 kNN检索预测

kNN检索检测方法为非参数化的方法，其分布构建过程如图3所示，一共包括3步。

1）数据池构建。给定训练集中流量的“深度表示—标签”数据对

(x, y *) ∈ D

， x 表示输入样本，

y *

表示该输入样本所属的类别。数据池构建，如式（1）所示：

(K, V) = ∪ (x, y *) ∈ D {(f (x), y *)}

（1）

式中，

f (x)

表示训练好的神经网络模型f对输入

x

的深度表示。该深度表示是检测模型中分类器的最后一层输出，即经过Softmax函数之前的logits，并作为键值。最终构建的数据池是一个字典，其中键值

K

是模型f对输入

x

的深度表示，值

V

表示输入

x

对应的流量类别。

2）kNN检索。在测试时，给定输入样本

x

，利用

f (x)

作为查询值，根据L₁距离

d

，在上一步构建的数据池中搜索得到

k

个距离最近的键值对，如式（2）所示：

N = (d j, v j), j ∈ {1, 2, ⋯, k} (k j, v j) ∈ (K, V)

（2）

式中：

k j

表示从数据池中检索得到的第

j

个最近邻表示；

v j

为该表示对应的类别；

d j = d k j, f (x)

为

k j

和查询表示

f (x)

之间的L₁距离。

3）kNN检索分布构建。将检索得到的k个最近邻表示与查询表示之间的L₁距离转化为关于类别的分布。首先对距离取负，之后应用带有温度系数的Softmax函数得到概率分布。取负操作确保与查询表示越接近的样本通过Softmax函数后获得越大的概率值。由于检索的k个样本表示中可能会有部分样本属于同一类别，因此需要进一步将相同类别对应的概率相加，从而整合得到最终的概率，如式（3）所示：

p k N N (y i x) = 𝕀 y i = v j e x p - d j τ

（3）

式中：τ是温度系数；

𝕀

是指示函数，只有满足条件时取1，其余条件取0。

𝕀 y i = v j e x p - d j τ

则表示对于第

y i

个类别，提取所有属于此类别的样本表示对应的概率，用于后续累加；属于其他类别的概率置为0。所以，kNN检索方法的预测概率

p k N N (y i x)

是经过softmax以后的属于该类别的概率的和。

3.2 检索辅助域适应检测

在测试时，检测模型通常采用直接分类的方式：最后一层的输出通过Softmax函数生成概率分布，然后选择概率最大的类别作为预测结果。这种方法完全依赖模型的内部预测分布。单独使用kNN检索方法可以在一定程度上实现有效分类，但是在数据池质量较差的情况下，kNN检索难以检索到正确的样本，从而导致识别性能下降^[14]。

为了提高整个方法的鲁棒性，将通过kNN检索方法构建的分布与检测模型本身的预测分布进行插值，并通过权重λ进行调节。最终，对于输入x，其属于输入类别

y i

的预测概率，如式（4）所示：

p (y i x) = λ p m o d e l (y i x) + (1 - λ) p k N N (y i x)

（4）

式中：

p m o d e l (y i x)

表示模型本身的预测概率；

p k N N (y i x)

表示kNN检索方法的预测概率。

4 实验分析

为了评估kNN-TD方法对不同域的适应性和泛化性，从3个方面展开实验分析。首先，评估kNN-TD方法在构造的跨域场景带来的性能提升；其次，分析影响该方法性能的关键因素；最后，对其决策过程的可解释性进行说明。

4.1 实验设置

实验基于PyTorch 2.3.0和Python 3.10.14构建，部署于配备RTX 5000 16 GB GPU的工作站。模型性能依据准确率、精确度、召回率及F1分数4项指标进行量化评估，所有指标均以宏平均方式计算。

数据预处理过程：首先进行流量分割，将原始流量数据根据五元组（源IP、源端口、目标IP、目标端口和传输层协议）切分为会话级的双向流；然后进行流量清洗，过滤掉不包含有效载荷的数据包，进一步地，过滤掉数据包数量少于4个以及总字节数少于200字节的会话级双向流；接着生成流量表示，将匿名化后的会话流量分割为4至8个数据包的序列；最后，将序列中数据包的有效载荷字符串合并，并在固定长度截断（若长度不足则以0填充）。

4.2 kNN-TD方法在跨域检测场景的性能提升评估

该实验旨在探究kNN-TD方法在由不同数据集组合形成的跨域检测任务中，是否能普遍提升检测性能。由CSE-CIC-IDS2018（标记为D₁）、USTC-TFC2016（标记为D₂）、ISCX-VPN2016-Service（标记为D₃）3个数据集两两组合形成6个跨域场景。如图4所示，为参数化检测模型的原始预测与经kNN检索加权后的预测性能对比。在所有6个跨域场景中，kNN-TD方法均能提升检测性能。

特别是在原检测模型直接预测时性能较差的情况下，通过kNN检索加权后的性能提升尤为显著。以CSE-CIC-IDS2018数据集为例，图4（e）和图4（f）显示，应用kNN-TD方法后，精确度和F1分数显著提升，均达到97%以上。在USTC-TFC2016数据集上进行测试，图4（c）和图4（d）表明，尽管原模型在跨域场景中具有较好的适应度，但加权kNN检索预测的概率仍带来了性能提升。具体而言，准确率分别提升0.88和1.13个百分点，精确度分别提升2.72和5.42个百分点，召回率分别提升0.91和1.18个百分点，F1分数分别提升了1.93和3.50个百分点。这一结果表明，kNN-TD方法能够有效增强模型在跨域场景下的检测性能，且提升效果在统计上具有显著性。相比较而言，作为用于解决迁移学习过程中源域和目标域之间特征分布不匹配问题的深度网络结构分类器，KTDA-VGGLaddernet方法在KT-VGGLaddernet方法的基础上，通过在卷积层后添加MMD损失，将源域和目标域的特征映射到同一特征空间，以实现特征对齐，进而提升该方法在目标域的检测准确率。该方法在USTC-TFC2016数据集上的准确率提升了0.49~0.95个百分点^[17]。但这类基于MMD的域适应方法需要对检测模型再次训练，导致检测的实时性较低，且可解释性较弱。

4.3 影响kNN-TD方法性能的关键因素分析

通过跨域检测研究，模拟从实验环境到真实网络环境的流量检测场景。因此，选择将CSE-CIC-IDS2018数据集上预训练好的模型迁移到以USTC-TFC2016数据集为代表的真实网络环境中，以检测其中的恶意软件流量。从算法参数角度，分析可能导致kNN-TD方法性能波动或变化的各项因素，为优化该方法提供实验依据。首先，近邻样本数量k作为kNN算法的核心参数，决定了在特征空间中寻找近邻样本的范围，k值的选择影响方法的泛化能力和适应性。温度系数通过调整输出的概率分布平滑性，影响kNN检索方法在源域和目标域分布存在差异时对不确定性的处理能力。加权权重可以平衡模型自身预测与kNN检索预测对kNN-TD决策的贡献，从而提高目标域的检测性能。其次，在特征分布不同的跨域场景中，距离度量方式影响近邻样本的匹配效果。流量深度表示的选取影响方法的计算复杂度，还可能影响特征提取能力，从而影响检测性能。最后，数据池大小影响存储需求，也影响方法的性能。

4.3.1 近邻样本数量、温度系数和加权权重对kNN-TD方法检测性能的影响

采用USTC-TFC2016数据集，设定基准参数：k=5，τ=1，λ=0，基于L₂距离度量最近邻样本。通过依次调整k、τ、λ，分析近邻样本数量、温度系数和加权权重对kNN-TD性能的具体影响，如表2~表4所示。

表2中实验结果表明，当k值较小（如k=1和k=2）时，kNN-TD的检测性能更佳。此处较小的k值使kNN检索算法在进行决策时主要依赖于距离最近的样本，这些样本更有可能与目标样本属于同一类别。相反，较大的k值可能会引入更多的背景噪声，从而影响模型性能。

表3中实验结果表明，随着τ值增加，kNN-TD方法的性能逐渐下降，尤其是在τ=1.5时，准确率、精确度、召回率和F1分数都有明显下降。这表明较低的温度系数有助于kNN检索算法保持对数据的敏感性，而较高的τ值使kNN检索算法的输出过于平滑，从而丢失重要特征。

表4的实验结果表明，当λ=0时，检测结果仅依赖kNN检索结果，此时精确度与F1分数较高；当λ=0.1时，通过对检测模型自身预测概率与kNN检索预测概率加权融合，准确率与召回率达到较高水平。随着λ值继续增加，kNN-TD对检测模型自身预测概率的依赖逐渐增强，kNN检索预测概率的贡献相应减弱，导致准确率与精确度下降。由此可见，kNN检索在不同λ取值下均能提供稳定增益，展现出良好的鲁棒性。

4.3.2 距离度量方式对kNN-TD方法检测性能影响

探讨在kNN-TD方法中，使用不同的距离度量公式（如欧氏距离L₂、曼哈顿距离L₁、最大范数距离L_∞）对检索结果及最终检测性能产生的作用机制和差异表现。采用USTC-TFC2016数据集，设定k=5、τ=1、λ=0。对比结果如表5所示。

实验结果表明，计算L₁距离的kNN检索检测在该数据集的分类任务中性能最佳。该结果与L₁距离在处理数据中异常值时的鲁棒性相符合。L₁距离通过累加各维度的绝对差值来计算，与L₂距离相比，它不假设数据在各维度上具有相同的方差和协方差，因此对异常值的敏感度较低。这种特性使L₁距离在特征分布不均匀或数据中存在异常值的情况下，能够提供更稳定的性能。

4.3.3 检测模型不同层次作为流量深度表示对kNN-TD方法检测性能的影响

探讨检测模型内部不同层次所提取的流量深度表示如何影响kNN-TD方法在跨域检测任务中的性能表现，并进一步分析最优层次选择对检测效果的提升作用。采用USTC-TFC2016数据集，设定基准参数：k=3、τ=0.2、λ=0.1、batch_size=32，以L₁距离度量最近邻样本。分别从检测模型中提取以下4个层生成的流量深度表示：分类器的第3层（即Softmax层之前的线性层），分类器的第2个线性层，分类器的第1个线性层，以及编码器的最后一层，其结构如图5所示。不同表示层的选取对检测性能的影响结果，如表6所示。

实验结果表明，从检测模型中不同层次提取的流量深度表示在推理速度上相近，检测性能也相差不大。其中，以分类器的第2个线性层作为流量深度表示时，性能略高。然而，字典的大小与流量深度表示的维度成正比，这意味着存储空间的占用增加。考虑到存储资源与性能的之间平衡，kNN-TD方法选择使用分类器的第3层（即Softmax层之前的线性层）作为流量深度表示。

4.3.4 数据池大小对kNN-TD检测性能的影响

实验旨在分析数据池规模变化对kNN-TD方法在跨域检测任务中的性能影响，包括检索效率和准确性等。实验中采用USTC-TFC2016数据集，设定k=3、τ=0.2、λ=0.1，并以L₁距离作为度量。数据池规模的变化不改变各类样本的原始不平衡分布；若按比例缩放后的样本数量非整数，则向下取整。

kNN-TD方法在不同数据池规模下的检测性能如表7所示。实验结果表明，使用100%的数据池进行训练时，kNN-TD方法的性能最佳。随着数据池规模减小，该方法各项性能指标呈现逐渐下降的趋势。表明数据池中样本数量的充足性对维持kNN-TD方法性能至关重要。

4.4 kNN-TD方法的可解释性

该实验旨在识别直接使用检测模型预测和通过kNN检索方法加权预测的样本中分类结果存在差异的情况。具体地，关注那些kNN检索结果与检测模型直接输出不一致的样本，尤其是这种不一致导致加权分类结果改变，最终使分类结果与实际标签相匹配的情况。旨在评估kNN检索方法对分类准确性的潜在提升作用。

以USTC-TFC2016数据集为例，计算L₁距离，并设置k=3、τ=0.2、λ=0.1。标签0~12的对应关系如下：0-Cridex、1-Geodo、2-Htbot、3-Miuref、4-Neris、5-Nsis-ay、6-Shifu、7-Tinba、8-Virut、9-Zeus、10-FTP、11-Weibo、12-WorldOfWarcraft。其中，类别0~9为攻击流量，类别10~12为正常应用流量。由图6所示，横坐标表示模型在直接分类过程中容易混淆的样本对，每个样本对中第1个元素为通过kNN检索加权方法校正后的正确分类标签，第2个元素为检测模型直接预测的分类标签；纵坐标表示被校正的样本对计数。

从图6中可以看出，在所有样本对中，kNN检索技术对分类结果校正最为显著的前3组分别为(4, 8)→(Neris，Virut)、(11, 4)→(Weibo，Neris)和(8, 4)→(Virut, Neris)。检测模型倾向于将Neris与Virut相互之间误分类，但kNN检索通过邻域样本的标签分布，发现邻域样本中正确类别的比例较高，从而有效地校正了检测模型的预测混淆。kNN-TD方法中的检索机制显著提高了对这些易混淆类的检测性能。

随机抽取3个样本，分别构建概率分布图，如图7所示，每个子图对应1个样本，横轴表示预测的类别标签，纵轴表示各类别预测的概率值。图7（a）中，检测模型实际预测为类别5的概率约为0.655 8，类别4的概率约为0.333 9；而经kNN检索加权处理后，预测为类别4的概率约为0.957 4，类别5的概率约为0.042 0。图7（b）中，检测模型实际预测为类别4的概率约为0.605 7，类别8的概率约为0.373 8，类别9的概率约为0.016 0；而经kNN检索加权处理后，预测为类别11的概率约为0.934 4，类别4的概率约为0.040 0，类别8的概率约为0.024 4。图7（c）中，检测模型实际预测为类别8的概率约为0.981 3，类别4的概率约为0.017 9；而经kNN检索加权处理后，预测为类别2的概率约为0.932 9，类别8的概率约为0.065 9。kNN检索的加权值改变了模型的初始预测分类倾向，帮助其克服初始预测的不确定性。借助概率分布图可清晰识别原始检测模型对当前样本的分类倾向，从而深化对模型决策过程的理解，对改进分类准确性具有重要意义。该实验结果进一步表明，kNN-TD方法在跨域检测过程中具有较高的可解释性，这提升了其在实际应用中的可信度和接受度。

5 结束语

提出了一种增强域适应能力的非参数化流量检测方法，通过结合训练好的检测模型与kNN检索技术，利用现有训练数据，在不增加训练样本量和模型训练开销的前提下，实现了跨域流量检测任务中稳定且鲁棒的性能提升。实验结果表明，该方法在3个具有不平衡数据分布的场景中显著提高了模型的适应能力和检测性能，验证了其在不同新域数据（不同攻击类型流量、不同应用协议类型流量）分布下的有效性和鲁棒性。此外，该方法的决策过程具备较高的可解释性，能够清晰地解释推理过程，为实际应用中的安全评估决策提供可靠参考依据。

然而，研究中仍存在局限性。由于该方法通过检索字典中样本的深度表示校正预测结果，该过程可能会因字典检索操作而降低推理速度。未来研究将探索更高效的检索算法，并进一步优化从微调数据中生成优质字典的机制，使其能够更好地覆盖目标域的分布特征，从而提升模型的整体性能。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	杨宏宇，张豪豪，胡泽，等.基于深度学习的网络异常流量检测研究综述［J］.武汉大学学报（理学版）， 2025，71（2）：159-172.

[2]	SREY P， ZHANG Y H， KANAMORI T. Open-world learning under dataset shift［C］∥Proceedings of the 2024 IEEE Conference on Artificial Intelligence. Piscataway， USA： IEEE， 2024：1040-1042.

[3]	LIANG J， HU D P， FENG J S. Domain adaptation with auxiliary target domain-oriented classifier［C］∥Proceedings of the 2021 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2021：16632-16642.

[4]	LIANG J， HE R， TAN T N. A comprehensive survey on test-time adaptation under distribution shifts［J］. International Journal of Computer Vision， 2025：133（1）：31-64.

[5]	NATH KUNDU J， VENKAT N， RAHUL M V，et al. Universal source-free domain adaptation［C］∥Proceedings of the 2020 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2020：4543-4552.

[6]	LI R， JIAO Q F， CAO W M， et al. Model adaptation： unsupervised domain adaptation without source data［C］∥Proceedings of the 2020 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2020：9638-9647.

[7]	ZHOU K Y， LIU Z W， QIAO Y， et al. Domain generalization： a survey［J］. IEEE Transactions on Pattern Analysis and Machine Intelligence， 2023，45（4）：4396-4415.

[8]	WANG W， ZHONG Z， WANG W J， et al. Dynamically instance-guided adaptation： a backward-free approach for test-time domain adaptive semantic segmentation［C］∥Proceedings of the 2023 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Piscataway， USA： IEEE， 2023：24090-24099.

[9]	RUAN X Q， TANG W. Fully test-time adaptation for object detection［C］∥Proceedings of the 2024 IEEE/CVF Conference on Computer Vision and Pattern Recognition. Workshops. Piscataway， USA： IEEE， 2024：1038-1047.

[10]	KOUW W M， LOOG M. A review of domain adaptation without target labels［J］. IEEE Transactions on Pattern Analysis and Machine Intelligence， 2021，43（3）：766-785.

[11]	YOSINSKI J， CLUNE J， BENGIO Y， et al. How transferable are features in deep neural networks？［EB/OL］. （2014-11-06）［2025-01-22］.

[12]	ZHANG M， MARKLUND H， DHAWAN N， et al. Adaptive risk minimization： learning to adapt to domain shift［C］∥Proceedings of the Neural Information Processing Systems. Cambridge， USA： NeurIPS， 2021. DOI： 10.48550/ arXiv.2007.02931 .

[13]	KHANDELWAL U， LEVY O， JURAFSKY D， et al. Generalization through memorization： nearest neighbor language models［EB/OL］. （2019-11-01）［2025-01-22］. http s：//doi.org/10.48550/arXiv.1911.00172.

[14]	HALDER R K， UDDIN M N， UDDIN M A， et al. Enhancing k-nearest neighbor algorithm： a comprehensive review and performance analysis of modifications［J］. Journal of Big Data， 2024，11（1）：No.113.

[15]	KHANDELWAL U， FAN A， JURAFSKY D， et al. Nearest neighbor machine translation［EB/OL］. （2020-10-01）［2025-01-22］.

[16]	YANG L Y， GAO M F， CHEN Z Y， et al. Burn after reading： online adaptation for cross-domain streaming data［C］∥Proceedings of the Computer Vision-ECCV 2022. Cham， Switzerland： Springer， 2022：404-422.

[17]	NING J H， GUI G， WANG Y， et al. Malware traffic classification using domain adaptation and ladder network for secure industrial Internet of Things［J］. IEEE Internet of Things Journal， 2022，9（18）：17058-17069.

[18]	TAGHIYARRENANI Z， FARSI H. Domain adaptation with maximum margin criterion with application to network traffic classification［C］∥Proceedings of the Machine Learning and Principles and Practice of Knowledge Discovery in Databases. Cham， Switzerland： Springer， 2023：159-169.

[19]	WEI N， YIN L H， ZHOU X M， et al. A feature enhancement-based model for the malicious traffic detection with small-scale imbalanced dataset［J］. Information Sciences， 2023，647：No.119512.

[20]	TONG V， DAO C， TRAN H A， et al. Encrypted traffic classification through deep domain adaptation network with smooth characteristic function［J］. IEEE Transactions on Network and Service Management， 2025，22（1）：331-343.

[21]	HUANG Y S B， LIU D G， ZHONG Z X， et al. kNN-adapter： efficient domain adaptation for black-box language models［EB/OL］. （2023-02-23）［2025-01-22］. http s：//doi.org/10.48550/arXiv.2302.10879.

[22]	WANG D X， FAN K， CHEN B X， et al. Efficient cluster-based k-nearest-neighbor machine translation-nearest-neighbor machine translation［C］∥Proceedings of the 60th Annual Meeting of the Association for Computational Linguistics. Stroudsburg， USA： ACL， 2022：2175-2187.

[23]

SHARAFALDIN I， HABIBI LASHKARI A， GHORBANI A A. Toward generating a new intrusion detection dataset and intrusion traffic characterization［C］∥Proceedings of the 4th International Conference on Information Systems Security and Privacy. Funchal， Portugal： SCITEPRESS-Science and Technology Publications， 2018：108-116.

[24]	WANG W， ZHU M， ZENG X W， et al. Malware traffic classification using convolutional neural network for representation learning［C］∥Proceedings of the 2017 International Conference on Information Networking. Piscataway， USA： IEEE， 2017：712-717.

[25]	DRAPER-GIL G， LASHKARI A H， MAMUN M S I， et al. Characterization of encrypted and VPN traffic using time-related features［C］∥Proceedings of the 2nd International Conference on Information Systems Security and Privacy. Rome， Italy： SCITEPRESS-Science and Technology Publications， 2016：407-414.

[26]	SUN J W， ZHANG B， LI H Y， et al. T-Sanitation： contrastive masked auto-encoder-based few-shot learning for malicious traffic detection［J］. The Journal of Supercomputing， 2025，81（5）：No.727.