使用增强采样技术的混合深度学习框架中的 HACDT‑Net 与 TRBM‑Net 入侵检测

为何更聪明的在线守护至关重要

每次你在网上购物、观看电影或连接智能家居设备时，你的数据都会经过不断被攻击者探测的网络。大多数攻击会被拦截，但有少数会漏网——尤其是那些罕见或全新的、传统防护难以识别的攻击。本文探讨了两种先进的人工智能“守护者”，它们旨在实时识别常见与罕见的入侵，即便在当今互联网和物联网设备的嘈杂、不均衡流量中也能发挥作用。

隐藏与罕见攻击的挑战

现代入侵检测系统监视网络流量，并尝试判断每次连接是正常还是恶意。旧方法依赖固定特征签名，类似于已知犯罪分子的通缉照，因此在应对新招数和隐蔽攻击时力有不逮。深度学习可以直接从数据中学习模式，但面临两大难题。首先，网络日志严重不平衡：每个罕见攻击对应数百万条正常连接。在这种数据上训练的模型很容易“学会”把所有情况都判为安全，从而漏掉我们真正关心的事件。其次，攻击既在单包的结构中显现，也在活动随时间展开的方式中显现。许多模型只关注空间（包中哪些字段异常）或时间（行为如何变化）中的一方面，而不是同时兼顾两者。

清理与平衡流量视图

为构建更可靠的检测器，作者首先对两个大型真实数据集进行了仔细清洗：代表传统网络的 CICIDS2017 和代表物联网环境的 NF‑BoT‑IoT‑v2。他们删除重复和明显损坏的条目，过滤掉可能误导训练的极端异常值，并对所有数值特征进行归一化，以免某一特征主导模型。最关键的步骤是直接应对不平衡问题。团队采用了复杂的重采样策略，生成逼真的罕见攻击合成样本，同时剪除噪声或冗余的正常流量。实质上，他们“重新平衡了法庭”，使学习算法能看到足够多的每类攻击示例以可靠识别它们，而不被背景流量淹没。

两种混合 AI 守护者：一种擅长模式，一种擅长序列

第一个模型 HACTD‑Net 专注于识别单个网络流的复杂模式。它以自编码器开始，将原始流量压缩为更干净、低维的摘要，去除冗余。随后卷积网络扫描这些摘要以发现局部模式，有点像在图像中检测边缘和形状。在此之上，Transformer 模块同时查看所有特征，学习哪些组合对于区分攻击与正常使用最为关键。最后，密集层给出决策。该模型配合名为 ADASYN‑SMOTE 和 Edited Nearest Neighbors 的重采样方法，强化罕见攻击样本并删除混淆或标注错误的点。

擅长序列的看门狗以应对演进中的威胁

第二个模型 TRBM‑Net 关注事件随时间的展开——这对发现僵尸网络和物联网中缓慢型攻击至关重要。它以时序卷积层开始，高效扫描数据包序列，捕获长程趋势而无需传统循环网络的高昂开销。ResNet 块帮助训练更深层而不“忘记”重要细节，而双向 GRU 则前后读取序列，在上下文中捕捉因果关系。多头注意力随后突出最具信息量的时刻，例如暗示拒绝服务攻击的突发峰值。该模型使用不同的重采样组合——Borderline SMOTE 与 One‑Sided Selection 相结合，旨在在决策边界附近生成新的合成样本并剔除无益的正常流量。

结果对日常安全意味着什么

在数百万条真实网络记录上测试时，两个模型都取得了显著高分，总体准确率均超过 99%，即便在罕见与隐蔽攻击上也表现强劲。HACTD‑Net 在总体准确性方面表现出色，而 TRBM‑Net 在捕捉难以察觉的入侵并减少漏报方面略胜一筹，特别是在物联网场景中。对普通用户而言，这意味着基于此类混合深度学习与智能数据平衡的未来安全工具可以像更警觉、具上下文感知的守卫一样工作。它们更善于在不因无害噪声频繁打扰你的前提下，注意到走廊里不寻常的脚步声，使我们更接近对日益增长的互联设备网络实现可靠的实时保护。

引用: Padma Priya, N., Mohanbabu, G. Intrusion detection with HACDT-Net and TRBM-Net using a hybrid deep learning framework with enhanced sampling techniques. Sci Rep 16, 11799 (2026). https://doi.org/10.1038/s41598-026-41422-5

关键词: 入侵检测, 深度学习, 网络安全, 不平衡数据, 物联网攻击