面向非对称攻击场景网络流的时空检测技术

王文江; 马海龙; 江逸茗; 胡涛; 胡燕燕

doi:10.3969/j.issn.1671-0673.2025.06.012

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (06) : 715 -722. DOI: 10.3969/j.issn.1671-0673.2025.06.012

网络空间安全

面向非对称攻击场景网络流的时空检测技术

王文江 ¹^,² ,
马海龙 ¹ ,
江逸茗 ¹ ,
胡涛 ¹ ,
胡燕燕 ³

作者信息 +

Spatiotemporal Network Traffic Detection Technology Oriented to Asymmetric Attack Scenarios

Wenjiang WANG ¹^,² ,
Hailong MA ¹ ,
Yiming JIANG ¹ ,
Tao HU ¹ ,
Yanyan HU ³

Author information +

文章历史 +

PDF (13317K)

摘要

针对资源消耗型大流量攻击和隐蔽为主的蛰伏型攻击检测准确率不能兼顾的问题，提出一种面向非对称攻击场景网络流的时空检测技术（CLA+SubModule）架构。首先，通过数据预处理解决数据质量、量纲差异问题，最小化类别不平衡对模型的性能影响；其次，通过融合卷积神经网络（CNN）、长短期记忆（LSTM）网络以及注意力机制（AM）模型，在多层次联合学习网络流量时空特征的同时，构建基于自适应权重的小样本检测分支（SubModule），进一步提高模型对小样本攻击的关注能力；最后，通过测试集进行模型性能检验。实验结果表明，技术架构能够有效聚焦攻击源的时空特征，资源消耗型、隐蔽蛰伏型攻击的检测准确率分别在99.85%和92.72%以上，模型性能显著优于传统机器学习方法和主流深度学习模型。

Abstract

Regarding the issue of being unable to simultaneously achieve high detection accuracy for both resource-consuming high-traffic attacks and stealth-based dormant attacks, a spatiotemporal network traffic detection framework (CLA+SubModule) tailored for asymmetric attack scenarios is proposed, which is designed to enhance detection accuracy for both attack types. Firstly, issues related to data quality and scale differences are addressed through data preprocessing, thereby minimizing the impact of class imbalance on model performance. Secondly, spatiotemporal features of network traffic are jointly learned at multiple levels through the integration of CNN, LSTM networks, and AM. Additionally, a small-sample detection branch (SubModule) based on adaptive weighting is constructed to enhance the model’s focus on small-sample attacks. Finally, model performance is validated using a test set. Experimental results show that the proposed framework is shown to effectively capture spatiotemporal features of attack sources, achieving detection accuracies exceeding 99.85% for resource-consuming attacks and 92.72% for stealth dormant attacks, significantly outperforming traditional machine learning methods and mainstream deep learning models.

Graphical abstract

关键词

入侵检测 / 非对称攻击 / 多层次联合学习 / 时空特征 / 小样本攻击

Key words

intrusion detection / asymmetric attacks / multi-level joint learning / spatiotemporal features / small-sample attacks

引用本文

引用格式 ▾

王文江,马海龙,江逸茗,胡涛,胡燕燕. 面向非对称攻击场景网络流的时空检测技术[J]. 信息工程大学学报, 2025, 26(06): 715-722 DOI:10.3969/j.issn.1671-0673.2025.06.012

登录浏览全文

4963

注册一个新账户忘记密码

数智化时代，网络已成为人们生活和工作的核心基础设施。然而，网络的开放性、复杂性与安全性很难调和，数据或信息系统的机密性、完整性、可用性（Confidentiality, Integrity, Availability, CIA）面临前所未有的威胁^[1]，据统计，2023年全球因网络犯罪导致的损失高达8万亿美元^[2]，其中70%的企业遭受过至少一次隐蔽性攻击（如供应链攻击、零日漏洞利用等）。分析近几年的网络安全事件开源信息，不难发现，随着网络攻防对抗的不断加剧，非对称性态势构建成为攻守双方博弈的焦点，通过资源、技术的不对等优势，塑造利己的摄压局面。网络攻击手段呈现复杂和隐蔽的两极化发展趋势^[3-4]：一是以威慑和降低对方信心为主的拒绝服务攻击^[5]，这类攻击可迅速消耗对方服务器资源，毁瘫关键基础设施，给对方造成巨大压力；二是以隐蔽窃密为主的蛰伏攻击^[6]，充分利用网络攻防的不对称优势，渗透并在对方内网长期隐藏，根据需要窃取机密信息或者随时发动致命攻击。反映到流量维度，这些攻击正呈现出“一大一小”的极端化分布，共同构成非对称攻击。

网络安全的基础在基线，关键在发现，及时、准确发现威胁至关重要。入侵检测系统作为网络安全的重要防线，能够实时监测网络流量，及时发现异常行为，保障网络正常运行。基于先验知识的检测方法高度依赖已知攻击模式库^[7]，对攻击特征的提取要求较高，只能识别已有攻击类型，且误报率和漏报率高是其致命缺点；基于机器学习（如决策树、支持向量机、朴素贝叶斯等）的检测方法通常需要人工特征工程，但特征选择和优化往往需要反复试验、调整，不仅耗时耗力，且难以适应快速变化的网络环境和攻击手段^[8]；基于深度学习的入侵检测模型在流量二分类问题上表现优异，但不能联合学习网络流量的局部空间特征、流量时序依赖关系以及关键流量特征，对样本的多分类识别能力欠佳。因此，如何结合多种技术优势，开发出更加高效、准确且适应性强的入侵检测系统，已成为当前网络安全防护领域重要研究课题。

文献[9]以规则匹配实现快速检测。文献[10]通过穷举特征选择算法和量子启发的最小二乘支持向量机（LS-SVM）分类器，提高网络威胁检测的准确性和效率。文献[11]在5G移动网络领域提出基于梯度提升算法的最佳解决方案。文献[12-18]基于深度学习技术构建混和模型（如XG-Boost-LSTM）。文献[19]基于改进的长短期记忆（Long Short-Term Memory, LSTM）网络和麻雀优化算法（Sparrow Search Algorithm, SSA）提升检测精度。文献[20]提出基于联合注意力机制和1维卷积神经网络—双向长短期记忆网络（1DCNN-BiLSTM）的流量异常检测方法，文献[21]提出基于生成对抗网络（SeqGAN）的系统调用数据增强方法。尽管上述文献展示了入侵检测技术在特征提取、模型融合、性能优化方面的诸多进展，但仍存在局限：如部分模型使用的数据集老旧，且为非真实环境获取流量，导致其难以适应多样化的网络环境；部分基于CNN或LSTM等神经网络建构的模型难以兼顾网络流量数据的时空特征和动态变化。

针对以上不足，本文提出一种面向非对称攻击场景网络流的时空检测技术（CLA+SubModule）架构。首先，通过数据预处理最小化类别不平衡对模型的性能影响。其次，通过融合模型，在多层次联合学习网络流量时空特征的同时，构建基于自适应权重的小样本检测分支（SubModule），提高模型对小样本攻击的关注能力。最后，通过测试集进行模型性能检验。所提方法能够更有效聚焦网络流量中的关键特征，提升模型对复杂、隐蔽攻击的检测性能。

1 相关工作

入侵检测系统（Intrusion Detection System, IDS）是实现入侵检测技术的具体工具或平台，广泛应用于网络安全防护实践。入侵检测系统的技术发展较为成熟，并有多种分类方式，如按照数据来源可分为网络入侵检测系统（NIDS）和主机入侵检测系统（HIDS）^[22]。按部署方式可分为主动式入侵检测系统（AIDS）和被动式入侵检测系统（PIDS）等。

卷积神经网络（Convolutional Neural Network, CNN）是专门用于处理具有网格结构数据（如图像或视频）的深度学习架构^[23]。利用卷积核滑动技术提取局部特征，使用非线性激活函数（如ReLU）和全连接层，自动学习数据中的复杂模式。LSTM网络是一种改进的循环神经网络（RNN）架构^[24]，用于处理序列数据，可有效解决传统RNN中的梯度消失问题。注意力机制（Attention Mechanism, AM）是一种模拟人类注意力的神经网络技术^[25]，通过计算输入序列中每个元素的重要性权重，生成上下文向量并提取关键信息。

本文充分考虑网络流量的时空特性以及网络攻击两极化发展的特点，提出一种面向非对称攻击场景网络流的时空检测技术架构，融合卷积神经网络（CNN）、长短期记忆（LSTM）网络和注意力机制（AM），构建基于自适应权重的小样本检测分支，利用CNN提取局部空间特征，LSTM捕捉时序依赖关系，AM聚焦关键流量特征，通过自适应权重提高小样本流量关注度，达到多层次联合学习网络流量时空特征的目的，进一步提高网络流量威胁检测的准确性和鲁棒性。

2 技术架构

2.1 整体技术架构

本文设计的面向非对称攻击场景网络流的时空检测技术（CLA+SubModule）架构主要由数据预处理、模型训练、测试评估3部分组成，如图1所示。

数据预处理采用表格结构的流量数据作为输入，核心作用是将原始输入的网络流量数据转换成适合模型训练的标准格式，主要包括标签数值编码、数据清洗（清洗缺失/异常值）、标准化特征尺度、样本聚类平衡等，并按比例划分训练集（70%）和测试集（30%）。通过数据预处理解决数据质量、量纲差异问题，最小化类别不平衡对模型的性能影响，为下一步的模型提供规范化的高质量输入。

模型训练包括CNN-LSTM-ATTENTION（CLA）模型和SubModule模型，CLA模型通过1维CNN提取网络流量数据的局部空间特征，经双向LSTM捕捉长时序依赖关系，并利用AM动态聚焦关键时间步特征；SubModule模型主要用来增强小样本的关注度，最后通过联合决策实现预测结果的多分类输出。

测试评估模块主要使用测试集对已训练模型进行检测评估。技术架构端到端的融合了时空特征学习和自适应权重分配，在关注DoS这种资源消耗型攻击的同时，也展示了对隐蔽蛰伏型攻击的检测性能。

2.2 数据预处理

数据预处理流程主要包括4个关键步骤。

1）缺失值与异常值处理。数据预处理部分采用表格结构的流量数据作为输入，设原始特征矩阵为

Χ ∈ R m × n

（

m

为样本数，

n

为特征数），通过以下运算清洗数据：

X' = I (X < τ) ⊙ X + I (X ≥ τ) ⊙ τ

（1）

式中：

τ

为特征经验截断阈值；

I

为指示函数；

⊙

表示逐元素乘法。

2）标准化。对每个特征维度

j

进行标准化：

X j' = X j - μ j σ j

（2）

式中：

μ j

为样本均值；，

σ j

为样本标准差。标准化后，新特征

X j'

的均值为0，标准差为1，以消除量纲差异。

3）标签编码。定义攻击类型标签集合，

L = {L 1, L 2, …, L K}

,通过映射函数

f : L → {0,1, …, K - 1}

实现类别编码：

f (l i) = i - 1

，

∀ l i ∈ L

（3）

该操作满足双射性（Bijectivity），确保编码可逆。

4）类别平衡。主要通过基于领域知识的样本聚类最小化类别不平衡给模型带来的检测影响，对于少数类样本

X i

，聚类生成合成样本：

X j = X i + ε

（4）

式中：

X i

，

X j

为

k

近邻样本；

ε

为均匀分布噪声。

2.3 模型训练

模型训练部分主要包括CLA模型和SubModule模型。

2.3.1 CLA模型

该模型主要实现网络流量时空特征的层次化建模，级联卷积神经网络（CNN）、长短时记忆网络（LSTM）、注意力机制（AM）以及全连接网络（FC）。其核心结构如图2所示。

1）CNN层。采用双层卷积结构，卷积核大小为3。第1层卷积，输入通道数为4，输出通道数为64；第2层卷积，输入通道数为64，输出通道数为128。数据预处理后的网络流首先进入CNN层，输入特征向量

Χ ∈ R B × N

（

B

为批次大小，

N

为特征维度），通过1维卷积核提取局部空间模式：

Z = W * X + b

（5）

式中：

W

为卷积核权重；

*

表示一维卷积运算。经两层卷积与池化后，输出压缩特征：

Z' ∈ R B × N'

（6）

2）LSTM层。采用双向LSTM捕捉前后向流量上下文，建模流量行为的时序依赖关系。隐藏单元数为256，每次迭代随机停掉30%神经元，防止过拟合。将CNN输出展平为序列

Z " ∈ R B × T × N'

N'

为CNN模块最终输出的特征维数（通道数），输入双向LSTM：

h t → = L S T M (Z t ″, h → t - 1)

（7）

h t ← = L S T M (Z t ″, h ← t + 1)

（8）

最终状态为

h t = [h t →; h t ←]

（9）

3）AM层。为增强关键攻击特征的关注度，通过两层全连接网络计算特征权重，动态计算各时间步重要性权重：

e t = V T t a n h (W h t + b)

（10）

∂ t = S o f t m a x (e t)

（11）

式中： V 是一个可学习的权重向量， V^T是其转置，将隐状态映射为注意力分数e_t；

h t

是时间步

t

的LSTM输出；

W

和

b

为可学习参数，这些参数通过训练过程中的反向传播算法进行更新，以优化模型性能。上下文向量通过加权求和LSTM的输出得到：

c = ∑ t - 1 T ∂ i h i

（12）

4）FC层。使用两层全连接网络，实现8个维度的分类输出：

y = W 2 h + b 2

（13）

式中：h = ReLu（W₁c + b₁），为第一层的输出。

CLA模型在利用CNN局部空间特征提取性能的同时，通过LSTM的门控机制（遗忘门和输入门）有效缓解梯度消失问题，利用注意力权重

∂ t

可视化关键攻击特征时间步，有效确保了模型的有效性和鲁棒性。

2.3.2 SubModule模型

隐蔽攻击检测在整体架构中能针对性增强隐蔽蛰伏型攻击检测效果，模型结构如图3所示。通过独立于主模型的特征提取路径，进行专项特征挖掘，能针对性发现小样本流的细微特征模式。本文采用两层神经网络结构，聚焦小样本流特征并通过参数自学习确定最优阈值。训练阶段对小样本流施加5倍权重，采用单神经元输出加Sigmoid的轻量化设计，避免与主模型分类器产生梯度竞争，输出结果会修正主模型对应位置预测值，形成联合决策，进而强化对少数类的识别能力。

2.4 测试评估

测试评估部分主要目的是对经过训练的模型进行性能评估和验证。测试集与训练集分开，确保评估结果的客观性和准确性。测试集通过与训练集相同的数据预处理步骤，包括数值化、归一化和样本聚合等，确保了数据的一致性。采用经典指标体系（准确率、精确率、召回率、

F 1

分数以及分类矩阵）全面验证模型性能，这些指标不仅反映了模型对资源消耗型攻击的检测能力，还特别关注了对隐蔽攻击的识别性能。

3 实验设计与分析

3.1 实验环境设置

模型使用开源深度学习框架PyTorch（CUDA版本为12.6）作为基础算法库，面向非对称攻击场景网络流的时空检测技术架构采用PyThon（版本为3.7.0）编程语言进行构建和训练，架构运行环境为Ubuntu操作系统，处理器为Intel（R） Xeon（R） CPU E5-2682 V4 @ 2.50 Ghz。

本文的多分类任务使用随机搜索算法确定最优超参数,其中，学习率

l r = 0.001

6

W d = 1 × 10 - 6

，训练40轮，CLA模型首先进行保尺寸卷积，然后设置池化步长为2，隐藏通道数为512，SubModule模型通道数为256，中间通道数为128，输出通道数为1。

3.2 数据集选取

本文选用公开的网络入侵检测数据集CIC-IDS-2017和CSE-CIC-IDS2018 on AWS进行实验和评估，数据集样本统计情况如表1和表2所示。

CIC-IDS-2017数据集是由加拿大网络安全研究所（CIC）精心构建，涵盖拒绝服务（DoS）、分布式拒绝服务（DDoS）、端口扫描、恶意软件传播和僵尸网络活动等攻击类型，同时也包含丰富的正常网络行为样本。CSE-CIC-IDS2018 on AWS数据集是由加拿大安全、取证和渗透测试研究组（CSE）与加拿大网络安全研究所合作创建，包括暴力攻击、心脏出血、僵尸网络、DoS、DDoS、Web攻击和网络内部渗透等7种不同的攻击场景。两类数据集具有高度的相似性，正常流量样本中均包含有资源消耗型攻击和隐蔽蛰伏型攻击，符合实验要求。

3.3 数据集样本聚类

从样本统计情况看，两个数据集均呈现出显著的类别不平衡现象，如CIC-IDS-2017数据集BENIGN类别的样本数高达2 273 097个，远超其他攻击类型的样本数，其他样本数从231 073个到11个不等，这种不平衡会给模型训练带来偏差，影响关键攻击类型的识别准确性和公平性。为进一步减少数据不平衡带来的检测影响，在数据预处理中，充分考虑样本在攻击层面的特征共性、对样本进行聚类处理，聚类方法综合考虑先验知识以及样本统计特性，并将数量极少，统计意义不足的样本做舍弃处理。特征聚类后的样本分布情况如表3和表4所示。

3.4 实验评价

为增强模型构建的可比性，本文采用主流做法，选用准确率（

R A c c u r a c y

）、精确率（

R P r e c i s i o n

）、召回率（R_Recall）和

F 1

分数（

F 1

）来验证本模型的有效性，计算公式如下：

R A c c u r a c y = N T P + N T N N T P + N T N + N F P + N F N

（14）

R p r e c i s i o n = N T P N T P + N F P

（15）

R R e c a l l = N T P N T P + N F N

（16）

F 1 = 2 N T P 2 N T P + N F P + N F N

（17）

式中：

R A c c u r a c y

表示正确分类的样本数占总样本数的比例；

R P r e c i s i o n

表示预测为攻击的样本中，实际为攻击的样本比例；

R R e c a l l

表示正确预测为攻击的样本数占实际攻击样本总数的比例；

F 1

表示精确率和召回率的调和平均值；

N T P

表示正确预测为攻击的样本数；

N T N

表示正确预测为正常的样本数；

N F P

表示预测为攻击的样本数，与网络入侵检测的误报率有关；

N F N

表示错误预测为正常的样本数，与网络入侵检测的漏报率有关。

3.5 实验结果与分析

3.5.1 基于CIC-IDS-2017数据集的检测性能分析

数据集划分情况如表5所示。

模型在CIC-IDS-2017数据集上所有攻击类型的检测准确率及分类矩阵分别如图4和图5所示。由图4和图5分析可知，模型共对数据集样本进行了7分类。实验结果表明，该模型对于大多数网络样本的检测表现出了卓越的性能，尤其是在DDoS、DoS和PortScan等大规模网络流量数据的识别上，检测准确率均在99%以上，表明模型能够有效区分这些攻击类型与正常流量。在不采用样本增强策略的情况下，Web Attack检测准确率接近99.70%，Covert Attack样本识别准确率稍低，但也保持在99.18%。充分展示了样本聚类思想的正确性以及模型构建的有效性。

3.5.2 基于CSE-CIC-IDS2018 on AWS数据集的检测性能分析

考虑到两个数据集的样本数据量悬殊巨大，本文在实验时对CSE-CIC-IDS2018 on AWS数据集采用分层抽样方法，即按定预设比例（70%）从不同样本类别中随机抽取样本构成数据子集代表原数据集进行训练和评估。其数据集划分情况如表6所示。

模型在CSE-CIC-IDS2018 on AWS数据集不同攻击类型上的检测性能如图6所示。面向非对称攻击场景网络流的时空检测技术模型共对数据集样本进行了6分类。图6展示了模型在不同攻击类别上的检测准确率，其中，DDoS攻击的检测准确率最高，达到了99.9%，而DoS攻击的准确率最低，为88.1%。总体而言，模型在所有攻击类别上的检测准确率均超过了88.1%，表现稳健。尽管模型在DoS攻击的识别上还有提升空间，但实验结果表明，模型具有一定的健壮性和适应性，能够有效区分和识别各类网络攻击，可以用于识别资源消耗型攻击以及隐蔽蛰伏型攻击。

3.5.3 消融实验

为有效评估模型各模块的重要性，通过消融法理解模型各模块的贡献，本文共设计4个消融实验，实验方案如表7所示。将检测结果与完整模型的检测结果进行对比，实验结果如图7所示。

实验结果表明，CLA+SubModule模型展现出显著的性能优势，其

F 1

分数为99.58%，较次优模型CLA（79.59%）提升25.12%，且召回率（99.57%）与精确率（99.62%）的均衡性表明该模型对类别间边界具有更强的判别能力。从架构层面看，引入注意力机制的CLA比基础CNN-LSTM的

F 1

提升1.3%，证实了时序特征选择的有效性，但其增益远低于CLA+SubModule的26.8%的提升值，再次印证本文方法的有效性。

3.5.4 对比实验

为进一步验证本文所提模型的性能，选取相同数据集，对同类别多分类的相关模型进行对比，结果如表8所示。

从实验结果可得，所提CLA+SubModule模型在经典评价指标上表现优异，具有非常高的准确性和可靠性，次优模型为CNN-GRU模型和ResNet+TranBiLSTM模型，评价指标值都保持在90.89%以上。本文模型较各项指标均表现优异的CNN-GRU还要高0.4个百分点。AE+PCA+LSTM模型表现较差，尤其是在准确率和召回率方面，表明该模型存在进一步优化空间。总体来看，本文模型架构能够有效发挥各神经网络模块的性能优势，通过对网络流量时空特征的多层次联合学习和自适应权重调整，达到了较好的检测分类效果。

4 结束语

本文提出一种面向非对称攻击场景网络流的时空检测技术架构，通过融合CNN、LSTM和AM，构建基于自适应权重调整的小样本检测分支（SubModule），进一步提高模型对小样本的关注能力。实验结果表明，该模型在CIC-IDS-2017数据集和CSE-CIC-IDS2018 on AWS数据集上能够有效聚焦攻击源的时空特征，不仅能高效检测以消耗服务资源、毁瘫关键基础设施为目的的拒绝服务型攻击，对以隐蔽为主的蛰伏攻击也有较好的检测能力。需要指出的是，本文模型未对显存占用、模型开销等进行系统评估，在实际部署中或将制约模型性能。

下一步将进一步优化模型结构，使其能更好地应用于网络安全防护实践。同时，也将探索如何将该方法与其他技术（如联邦学习、因果推论等）相结合，以进一步增强模型实际使用性能以及可解释能力。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	陈熙.信息化时代下计算机网络安全面临的挑战及防护策略［J］.中国宽带，2025（6）：37-39.

[2]	赛博研究院.智库解读\|2024年网络安全数据统计报告（EB/OL）.（2024-03-18）［2025-11-05］.

[3]	郭媛丹，马俊.DeepSeek遭网攻，为大模型安全敲警钟［N］.环球时报，2025-02-06（8）.

[4]	杨铭，王静，刘冰洁.新形势下APT防御：挑战与策略研究［J］.通信技术，2025，58（4）：448-456.

[5]	郭帆. 网络攻防技术与实战：深入理解信息安全防护体系［M］. 2版. 北京：清华大学出版社，2024.

[6]	李亚琪.基于威胁情报分析的APT组织攻击技术提取系统的设计与实现［D］.北京：北京邮电大学，2023：1-83.

[7]	汪志航.基于Suricata的网络安全分析检测系统设计［J］.信息与电脑，2023，35（14）：136-138.

[8]	YANG L， SHAMI A. IDS-ML： an open source code for Intrusion Detection System development using Machine Learning［J］. Software Impacts， 2022，14：No.100446.

[9]	ROESCH M. Snort：lightweight intrusion detection for networks［C］∥Proceedings of the 13th Systems Administration Conference. Berkeley， USA： USENIX， 1999，99（1）：229-238.

[10]	WAGHMODE P， KANUMURI M， EL-OCLA H， et al. Intrusion detection system based on machine learning using least square support vector machine［J］. Scientific Reports， 2025，15：No.12066.

[11]	IMANBAYEV A， TYNYMBAYEV S， ODARCHENKO R， et al. Research of machine learning algorithms for the development of intrusion detection systems in 5G mobile networks and beyond［J］. Sensors， 2022，22（24）：No.9957.

[12]	LONG Z Y， YAN H R， SHEN G Q， et al. A Transformer-based network intrusion detection approach for cloud security［J］. Journal of Cloud Computing， 2024，13（1）：No.5.

[13]	AHMIM A， MAAZOUZI F， AHMIM M， et al. Distributed denial of service attack detection for the Internet of Things using hybrid deep learning model［J］. IEEE Access， 2023，11：119862-119875.

[14]	ALI M L， THAKUR K， SCHMEELK S， et al. Deep learning vs. machine learning for intrusion detection in computer networks： a comparative study［J］. Applied Sciences， 2025，15（4）：No.1903.

[15]	SAJID M， MALIK K R， ALMOGREN A， et al. Enhancing intrusion detection： a hybrid machine and deep learning approach［J］. Journal of Cloud Computing， 2024，13（1）：No.123.

[16]	高鑫泽，吕国，杨宵，等.基于CNN-LSTM模型的入侵检测算法研究［J］.河北建筑工程学院学报，2024，42（3）：216-221.

[17]	马泽亮.基于Transformer和CNN的物联网恶意流量检测研究与实现［D］.石家庄：河北师范大学，2024：1-63.

[18]	曲彦泽，马海龙，江逸茗，等.深度网络异常检测模型的泛化性能研究［J］.信息工程大学学报，2024，25（2）：213-218.

[19]	黄亮，陶达，王秀木，等.基于改进LSTM的网络入侵检测方法［J］.计算机测量与控制，2025，33（2）：63-70.

[20]	尹梓诺，马海龙，胡涛.基于联合注意力机制和一维卷积神经网络-双向长短期记忆网络模型的流量异常检测方法［J］.电子与信息学报，2023，45（10）：3719-3728.

[21]	樊燚，胡涛，伊鹏，等.基于生成对抗网络的系统调用主机入侵检测技术［J］.计算机科学，2024，51（10）：408-415.

[22]	王文江，柏赫，刘鑫，等.计算机网络安全入侵检测技术研究［J］.中国新通信，2023，25（4）：102-104.

[23]	ATASOY H， KUTLU Y. CNNFET： convolutional neural network feature extraction tools［J］. SoftwareX， 2025，30：No.102088.

[24]	VAN HOUDT G， MOSQUERA C， NÁPOLES G. A review on the long short-term memory model［J］. Artificial Intelligence Review， 2020，53（8）：5929-5955.

[25]	GUO M H， XU T X， LIU J J， et al. Attention mechanisms in computer vision： a survey［J］. Computational Visual Media， 2022，8（3）：331-368.

[26]	XIE X， WANG B， WAN T C， et al. Multivariate abnormal detection for industrial control systems using 1D CNN and GRU［J］. IEEE Access， 2020，8：88348-88359.

[27]	WANG S Y， XU W X， LIU Y W. Res-TranBiLSTM： an intelligent approach for intrusion detection in the Internet of Things［J］. Computer Networks， 2023，235：No.109982.

[28]	THAKKAR A， KIKANI N， GEDDAM R. Fusion of linear and non-linear dimensionality reduction techniques for feature reduction in LSTM-based Intrusion Detection System［J］. Applied Soft Computing， 2024，154：No.111378