一种基于增量学习的在线自适应入侵检测方法

1.本发明属于网络安全技术领域，进一步涉及入侵检测方法，具体为一种基于增量学习的在线自适应入侵检测方法，可用于实时检测网络中的攻击行为并在线更新入侵检测系统。


背景技术：

2.深度神经网络作为一种智能算法，在复杂数据分析方面充分展示了其优势所在，能够很好地应用在入侵检测领域，然而大部分深度神经网络只能针对已知类别的网络入侵进行良好的训练，即大部分神经网络模型是为一个封闭的环境所设计的。在现实生活中，已知类别的网络攻击并不能有效地涵盖所有攻击类别。增量学习是一类能够通过学习新增样本、扩展和更新现有模型的算法。它能够保存大部分在已知类别中学习的知识，并且不断地从新增类别中学习新的知识。增量学习算法的主要特征包括：具备从新增样本中学习新知识的能力；模型在训练过程中不需要或者仅需要部分原始数据集；模型对旧知识具有记忆的能力，不会出现灾难性遗忘的问题；模型能够对新增样本中可能出现的新类别进行自适应学习。虽然增量学习为处理新增类别提供了思路，但是目前用于入侵检测的增量学习算法仍不能实现在线实时地检测网络入侵行为，导致入侵检测技术缺乏自适应性，实时性以及可靠性。
3.中国专利申请cn108173708a公开了一种基于深度学习的异常流量检测方法，该方法包括获取用户端流量数据，利用流量检测分类其对流量进行异常检测，基于异常数据对流量检测分类器进行在线训练三个阶段。首先，利用嗅探器获取用户端的流量数据构建可训练数据集；其次，利用异常检测设备中预先构建的流量检测分类器对所述流量数据进行异常检测；当检测出异常数据时，基于所述异常数据，得到训练样本数据，并利用所述样本数据对所述流量检测分类器进行在线训练。然而，上述方法对全部的异常样本数据进行训练并不能达到非常完美的效果，且在增量过程中未对样本数据进行处理的问题均会影响模型分类准确率和训练效率。
4.在入侵检测领域，不管是因为需求的变化，还是新的入侵行为的出现，入侵检测模型都需要重新训练。当模型需要日日训练时，训练时间变得非常重要。现有相关工作大多只考虑静态环境中的入侵检测，很少考虑随时间变化的动态环境中的入侵检测，较少考虑入侵检测方法的自适应性，主要体现在以下三个方面：1)模型大部分都是离线的，不能在线实时地检测已知种类的网络入侵行为；2)现有入侵检测模型检测不出未知类别的入侵行为，当出现未知类别时，模型无法动态自适应地更新，需要全部重新训练；3)基于深度学习的入侵检测模型会产生大量的时间开销，导致模型效率不高。网络复杂程度的增加以及大量高维网络数据的出现也使得基于传统机器学习的入侵检测模型检测准确率不高；4)理论研究很少应用在真实场景中，在很多方面缺乏对真实场景的考量。
5.因此，现有技术需要一种提高已知类别和未知类别分类准确率的方法，来处理并解决识别问题，且需要一种专门针对入侵检测领域的增量学习方法，来提高增量学习分类
效率。


技术实现要素：

6.本发明目的在于针对上述现有技术的不足，提出一种基于增量学习的在线自适应入侵检测方法，该方法可以有效地提升对已知类别和未知类别入侵行为检测的准确率，并且可以在线实时地更新入侵检测模型；在现有增量学习基础上进一步提高算法分类效率，从而保证入侵检测方法的实时性、可扩展性、可适应性和鲁棒性，为后续基于增量学习的入侵检测算法研究以及工程应用提供新的思路。
7.实现本发明的基本思路是：首先在已知种类的数据集上对待扩展入侵检测分类模型进行训练得到初始模型，接着实时嗅探并处理当前网络中的数据同时送入模型进行检测，当模型检测结果为未知种类的攻击数据时，选择部分已知种类的代表性样本与未知种类样本相结合作为增量样本集，利用增量学习对模型进行在线更新，同时实时判断当前网络中的数据流量，当数据流量小于阈值时利用全部数据重新训练待扩展模型。
8.本发明实现上述目的具体步骤如下：
9.(1)获取数据集并进行预处理：
10.从网络中获取公开入侵检测数据集作为初始已知类别样本集，提取每条数据记录的特征和标签，去除部分无效数据，根据标签对剩余数据记录进行分类，并对字符型特征进行独热编码，制作包含数据、标签、列表的二进制文件样本集，将该文件样本集中的数据划分为初始已知类别训练集d
old
和验证集d
valid
两部分；
11.d
old
＝{x1,x2,...,xn}，
12.d
valid
＝{t1,t2,...,tn}，
13.其中，n为初始已知类别样本的类别数量，xn、tn分别表示所有第n类初始已知类别训练样本、验证样本；
14.(2)搭建待扩展分类网络模型：
15.采用时空网络结构，以一维卷积神经网络和长短期记忆神经网络串接在一起作为网络结构，搭建依次由两个第一一维卷积神经网络层conv1d、第一最大池化层max_pooling_1、第二一维卷积神经网络层conv1d_2、第二最大池化层max_pooling_2、长短期记忆神经网络层lstm、暂退层dropout以及第一全连接层dense_1组成的待扩展分类网络模型，以18*1的一维矩阵作为输入，输出代表样本类型预测分数的1*1的矩阵；
16.(3)利用初始已知类别样本训练集d
old
和交叉熵损失函数lc训练待扩展分类网络模型，获取可检测已知类别的入侵检测模型，同时利用初始已知类别验证集d
valid
在入侵检测模型训练过程中检验该模型的状态、收敛情况，并根据检验结果调整超参数实现训练效果优化，得到训练好的入侵检测模型
17.(4)利用流量特征提取工具cicflowmeter的实时提取模块realtime实时捕获网络中的数据记录，去除部分无效数据记录，对有效数据记录进行分析得到50-80个数据特征并保存；
18.(5)对步骤(4)得到的数据特征进行特征提取，根据提取到的特征组合得到在线入侵检测样本集d
online
；
19.(6)实时入侵检测：
20.将在线入侵样本集d
online
放入步骤(3)中训练好的入侵检测模型中进行预测，根据模型预测结果判断在线入侵检测样本集d
online
中每一个样本的类型，具体如下：
21.若样本分类为正常的样本，则继续对样本集d
online
中其它样本进行实时入侵检测；
22.若样本分类为已知异常类别的样本，则将该样本反馈至管理员做进一步分析，同时继续对样本集d
online
中其它样本进行实时入侵检测；
23.若样本分类为未知类别的样本，则进行人工判断，确定该样本是否可用，如果判断为不可用，则继续对样本集d
online
中其它样本进行实时入侵检测；如果判断为可用，则执行步骤(7)；
24.(7)根据可用样本数据记录的信息，人工标注未知类别样本的标签，并构建未知类别样本集d
unknown
：
25.d
unknown
＝{x1,x2,...,xm}，
26.其中m为未知类别样本的类别数量，xm为样本类别为m的所有未知样本集。
27.(8)在初始已知类别样本集中选取具有代表性的样本构建已知类别样本集d
known
：
28.d
known
＝{d
t
,df,dr}，
29.其中d
t
为在待扩展分类模型上分类正确且分数前1％高的数据样本集，df为在待扩展分类模型上分类错误的全部数据样本集，dr为随机选择1％剩余已知类别样本的数据样本集；
30.(9)构建用于后续在线更新模型的增量样本集d
new
：
31.d
new
＝{d
known
,d
unknown
}
32.＝{d
t
,df,dr,d
unknown
}，
33.＝{x1,x2,...,xn,x
n+1
,x
n+2
,...x
n+m
}
34.其中，n和m分别表示已知类别样本和未知类别样本的类别数量；
[0035][0036]
x
n+m
＝{(xj,yj),1≤j≤m,yj∈[1,2,...,m]}，
[0037]
其中，分别为已知类别样本的样本特征和样本标签，n为已知类别样本集的样本数量，xi、yi分别为未知类别样本的样本特征和样本标签，m为未知类别样本集的样本数量；
[0038]
(10)搭建扩展分类网络模型：
[0039]
搭建依次由一维分离卷积神经网络层separable_conv1d、第一最大池化层max_pooling_1、过渡层flatten、第二全连接层dense_2、暂退层dropout和第一全连接层dense_1构成的扩展分类网络模型，对其输入18*1的一维矩阵，得到代表样本类型预测分数的1*1矩阵；
[0040]
(11)利用增量样本集d
new
和损失函数l训练扩展分类网络模型，得到可检测已知类别和未知类别的在线更新后入侵检测模型并用该在线更新后入侵检测模型替换步骤(6)中的入侵检测模型完成实时入侵检测。
[0041]
本发明与现有技术相比具有以下优点：
[0042]
第一、本发明利用增量学习使入侵检测系统可在随时间变化的动态环境中检测出
已知和未知种类的入侵行为，大大减少了模型更新的时间，让模型有了自适应性；通过使用增量学习算法，不需要对模型全部重新训练就可以让模型具备检测未知类别攻击的能力，从而实现了入侵检测的实时性和高效性。
[0043]
第二、本发明对待扩展分类模型和扩展分类模型使用不同的深度神经网络；采用参数更少的一维分离卷积神经网络作为扩展分类模型，采用卷积神经网络和长短期记忆神经网络相结合的模型作为待扩展分类模型，明显缩减了训练时间，进而降低训练成本，使得模型更具高效性，且提高了模型的检测率。
[0044]
第三、本发明构建的模型能够部署在真实的网络环境中并在线进行检测和更新，同时也可以在网络空闲时重新训练，每个步骤均可以单独应用在真实网络之中，包括但不局限于数据收集、特征提取、入侵检测以及模型更新阶段；设计令当前网络流量小于阈值时利用全部数据重新训练模型，可在模型持续更新时，有效应对模型可能存在的灾难性遗忘问题，同时避免在大量使用网络时更新模型带来的成本增加情况。
附图说明
[0045]
图1为本发明的实现流程图；
[0046]
图2为本发明待扩展分类模型的参数设置示意图；
[0047]
图3为本发明扩展分类模型的参数设置示意图。
具体实施方式
[0048]
下面结合附图对本发明做进一步的描述。
[0049]
实施例一：参照附图1，本发明提出的一种基于增量学习的在线自适应入侵检测方法，具体包括如下步骤：
[0050]
步骤1.获取数据集并进行预处理：
[0051]
从网络中获取公开入侵检测数据集作为初始已知类别样本集，提取每条数据记录的特征和标签，去除部分无效数据，根据标签对剩余数据记录进行分类，并对字符型特征进行独热编码，制作包含数据、标签、列表的二进制文件样本集，将该文件样本集中的数据划分为初始已知类别训练集d
old
和验证集d
valid
两部分；
[0052]dold
＝{x1,x2,...,xn}，
[0053]dvalid
＝{t1,t2,...,tn}，
[0054]
其中，n为初始已知类别样本的类别数量，xn、tn分别表示所有第n类初始已知类别训练样本、验证样本。
[0055]
步骤2.搭建待扩展分类网络模型：
[0056]
采用时空网络结构，以一维卷积神经网络和长短期记忆神经网络串接在一起作为网络结构，搭建依次由两个第一一维卷积神经网络层conv1d、第一最大池化层max_pooling_1、第二一维卷积神经网络层conv1d_2、第二最大池化层max_pooling_2、长短期记忆神经网络层lstm、暂退层dropout以及第一全连接层dense_1组成的待扩展分类网络模型，以18*1的一维矩阵作为输入，输出代表样本类型预测分数的1*1的矩阵；
[0057]
所有一维卷积神经网络层均采用相同填充的same填充方式，激活函数均使用线性整流激活函数relu函数，最大池化层池化大小均设置为2，长短期记忆神经网络层包含128
个隐藏层，暂退层的参数为0.1，全连接层的激活函数采用s型生长曲线激活函数sigmoid函数。
[0058]
步骤3.利用初始已知类别样本训练集d
old
和交叉熵损失函数lc训练待扩展分类网络模型，获取可检测已知类别的入侵检测模型，同时利用初始已知类别验证集d
valid
在入侵检测模型训练过程中检验该模型的状态、收敛情况，并根据检验结果调整超参数实现训练效果优化，得到训练好的入侵检测模型
[0059]
所述入侵检测模型还可以通过如下方式进行训练得到：
[0060]
(a)动态计算数据流量阈值θ：
[0061][0062]
其中，a为当前时刻之前7天中每天凌晨四点到六点的数据流量之和；
[0063]
(b)将步骤(4)中每小时捕获网络中数据记录的接收数据流量τ与阈值θ大小进行实时比较，当τ《θ时，将全部样本设为已知类型样本，构建步骤(1)中的初始已知样本类别样本训练集d
old
，并利用该样本集和交叉熵损失函数lc训练待扩展分类网络模型，得到可检测已知类别的训练好的入侵检测模型
[0064]
所述交叉熵损失函数lc定义为：
[0065][0066]
其中y和分别表示已知样本经过模型得到的预测类型和真实类型。
[0067]
步骤4.利用流量特征提取工具cicflowmeter的实时提取模块realtime实时捕获网络中的数据记录，去除部分无效数据记录，对有效数据记录进行分析得到50-80个数据特征并保存；
[0068]
步骤5.对步骤4得到的数据特征进行特征提取，根据提取到的特征组合得到在线入侵检测样本集d
online
。所述特征提取方法包括：皮尔逊相关系数特征提取法、主成分分析法等。本实施例采用皮尔逊相关系数特征提取法，实现步骤如下：
[0069]
(5.1)对字符型特征进行独热编码，之后算每一个特征与其他特征的皮尔逊相关系数r，并设定系数判定阈值；这里的皮尔逊相关系数r，根据下式进行计算：
[0070][0071]
其中，i∈[1,fnum]为样本特征值的序号，fnum为样本集的特征数量，xi为当前样本的第i个特征值，yi为当前样本的其它特征值，为全部样本第i个特征值的均值，为全部样本其它特征值的均值。
[0072]
(5.2)按照从大到小的顺序对相关系数r进行排序，取出相关系数值大于判定阈值的特征，制作由相关系数值大于判定阈值的特征组合成的二进制文件在线入侵检测样本集d
online
；
[0073]
步骤6.实时入侵检测：
[0074]
将在线入侵样本集d
online
放入步骤3中训练好的入侵检测模型中进行预测，根据模型预测结果判断在线入侵检测样本集d
online
中每一个样本的类型，具体如下：
[0075]
若样本分类为正常的样本，则继续对样本集d
online
中其它样本进行实时入侵检测；
[0076]
若样本分类为已知异常类别的样本，则将该样本反馈至管理员做进一步分析，同时继续对样本集d
online
中其它样本进行实时入侵检测；
[0077]
若样本分类为未知类别的样本，则进行人工判断，确定该样本是否可用，如果判断为不可用，则继续对样本集d
online
中其它样本进行实时入侵检测；如果判断为可用，则执行步骤7；
[0078]
步骤7.根据可用样本数据记录的信息，人工标注未知类别样本的标签，并构建未知类别样本集d
unknown
：
[0079]dunknown
＝{x1,x2,...,xm}，
[0080]
其中m为未知类别样本的类别数量，xm为样本类别为m的所有未知样本集。
[0081]
步骤8.在初始已知类别样本集中选取具有代表性的样本构建已知类别样本集d
known
：
[0082]dknown
＝{d
t
,df,dr}，
[0083]
其中d
t
为在待扩展分类模型上分类正确且分数前1％高的数据样本集，df为在待扩展分类模型上分类错误的全部数据样本集，dr为随机选择1％剩余已知类别样本的数据样本集；
[0084]
步骤9.构建用于后续在线更新模型的增量样本集d
new
：
[0085]dnew
＝{d
known
,d
unknown
}
[0086]
＝{d
t
,df,dr,d
unknown
}，
[0087]
＝{x1,x2,...,xn,x
n+1
,x
n+2
,...x
n+m
}
[0088]
其中，n和m分别表示已知类别样本和未知类别样本的类别数量；
[0089][0090]
x
n+m
＝{(xj,yj),1≤j≤m,yj∈[1,2,...,m]}，
[0091]
其中，分别为已知类别样本的样本特征和样本标签，n为已知类别样本集的样本数量，xi、yi分别为未知类别样本的样本特征和样本标签，m为未知类别样本集的样本数量；
[0092]
增量样本的选择方法还可以采用如仅使用蓄水池采样算法获取随机样本、仅使用分类分数更高的样本等。
[0093]
步骤10.搭建扩展分类网络模型：
[0094]
搭建依次由一维分离卷积神经网络层separable_conv1d、第一最大池化层max_pooling_1、过渡层flatten、第二全连接层dense_2、暂退层dropout和第一全连接层dense_1构成的扩展分类网络模型，对其输入18*1的一维矩阵，得到代表样本类型预测分数的1*1矩阵；
[0095]
所有分离一维卷积神经网络层均采用相同填充的same填充方式，激活函数均使用线性整流激活函数relu函数，最大池化层池化大小均设置为2，暂退层的参数为0.5，全连接层的激活函数采用s型生长曲线激活函数sigmoid函数。
[0096]
步骤11.利用增量样本集d
new
和损失函数l训练扩展分类网络模型，得到可检测已知类别和未知类别的在线更新后入侵检测模型并用该在线更新后入侵检测模型替换步骤6中的入侵检测模型完成实时入侵检测。
[0097]
所述损失函数l的定义为：
[0098]
l＝λld+(1-λ)lc，
[0099]
其中，λ为超参数，ld为蒸馏损失函数，其定义为：
[0100][0101]
其中，n为所有样本的数量，n+m为所有样本类型的数量；
[0102][0103][0104]
其中，为已知种类样本在扩展模型上的预测分数，q为未知种类的样本在扩展模型上的预测分数，t为超参数。
[0105]
实施例二：本实施例提出的入侵检测方法整体步骤同实施例一，现给定具体参数进一步详细描述本发明方法的实现过程。
[0106]
步骤a.本实施例优选公开入侵检测数据集cicids2017作为已知类别样本集，cicids2017数据集包含良性和最新的常见攻击，类似真实世界数据。它还包括使用cicflowmeter进行网络流量分析的结果，使用基于时间戳、源和目标ip、源和目标端口、协议和攻击(csv文件)的标记流。提取后的每条数据记录有18个特征，标签共有8种攻击类和1种正常类，接着去除部分无效数据，按照标签对所有的数据记录进行分类，并对字符型特征进行独热编码，制作出包含数据、标签、列表的二进制文件样本集，最后选取其中80％的数据用作训练，20％的数据用作验证，当然这里也可以按照其它比例来划分初始已知类别训练集d
old
和验证集d
valid
，例如7:3，本实施例优选按照8:2来划分。
[0107]
对于已知种类样本集cicids2017可以替换为其它公开的入侵检测数据集，如unsw-nb15、nsl-kdd等。
[0108]
步骤b.参照图2，搭建待扩展分类网络模型，该模型采用时空网络结构，以一维卷积神经网络和长短期记忆神经网络串接在一起作为网络结构。待扩展分类模型的可训练参数量为123905，其输入为18*1的一维矩阵，经过一维卷积神经网络层conv1d_21，conv1d_22，最大池化层max_pooling1d_16，一维卷积神经网络层conv1d_23，最大池化层max_pooling1d_17，长短期记忆神经网络层lstm_7，dropout层dropout_9以及全连接层dense_11，最终输出为1*1的矩阵，代表样本类型的预测分数。其中一维卷积神经网络层均采用same的填充方式，激活函数均使用relu激活函数，最大池化层池化大小均设置为2，长短期记忆神经网络层包含128个隐藏层，dropout层的参数为0.1，全连接层的激活函数采用
sigmoid激活函数。
[0109]
步骤c.利用步骤a中的初始已知类别训练集d
old
和交叉熵损失函数lc训练步骤b中搭建的待扩展分类网络模型，获取可检测已知类别的入侵检测模型，同时利用初始已知类别验证集d
valid
在入侵检测模型训练过程中检验该模型的状态、收敛情况，根据检验结果调整超参数实现训练效果优化，得到训练好的入侵检测模型这里对模型进行检验，具体是通过得到验证集中每一条数据记录的分类预测概率，进而得到模型预测的准确率，最后判断当前模型是否可用，从而实现优化。其中old表示模型还未经过更新，θ
old
为神经网络模型参数。
[0110]
步骤d.实时嗅探网络流量：
[0111]
利用cicflowmeter的realtime模块实时捕获网络中的数据记录，去除部分无效数据记录，对有效数据记录进行分析得到不多于80个数据特征并保存；本实施例优选对有效数据记录进行分析得到80个数据特征。
[0112]
步骤e.对上一步得到的80个数据特征，即网络流量特征利用皮尔逊相关系数特征提取法进行特征提取，具体实现如下：
[0113]
首先对字符型特征进行独热编码，接着计算每一个特征与其他特征的皮尔逊相关系数r，按照相关系数的大小进行降序排序，取相关系数值大于设定阈值的特征作为概括整个数据集的特征，本实施例中设定阈值为0.078，最终制作出包含数据的二进制文件在线入侵检测样本集d
online
。
[0114]
其中皮尔逊相关系数r的计算方法为：
[0115][0116]
其中，i∈[1,80]为样本特征值的序号，xi为当前样本的第i个特征值，yi为当前样本的其它特征值，为全部样本第i个特征值的均值，为全部样本其它特征值的均值。
[0117]
步骤f.实时入侵检测：
[0118]
将在线入侵样本集d
online
放入步骤c中训练好的入侵检测模型中进行预测，得到线入侵样本集d
online
中每一条记录的分类预测概率logits，根据预测概率判断样本集d
online
的每一个样本类型，具体如下：
[0119]
若样本分类为正常的样本，则继续对样本集d
online
中其它样本进行实时入侵检测；
[0120]
若样本分类为已知异常类别的样本，则将该样本反馈至管理员做进一步分析，同时继续对样本集d
online
中其它样本进行实时入侵检测；
[0121]
若样本分类为未知类别的样本，则进行人工判断，确定该样本是否可用，如果判断为不可用，则继续对样本集d
online
中其它样本进行实时入侵检测；如果判断为可用，则进入下一步骤准备进行数据标注，即执行步骤g。
[0122]
步骤g.人工标注数据
[0123]
当在线入侵检测结果为未知类别样本且可用时，根据可用样本数据记录的信息，人工标注未知类别样本的标签，并构建未知类别样本集d
unknown
：
[0124]dunknown
＝{x1,x2,...,xm}，
[0125]
其中m为未知类别样本的类别数量，xm为样本类别为m的所有未知样本集。
[0126]
步骤h.构建代表性已知类别样本集d
known
：
[0127]dknown
＝{d
t
,df,dr}，
[0128]
其中d
t
为在待扩展分类模型上分类正确且分数前1％高的数据样本集，df为在待扩展分类模型上分类错误的全部数据样本集，dr为随机选择1％剩余已知类别样本的数据样本集。
[0129]
步骤i.构建用于后续在线更新模型的增量样本集d
new
：
[0130]dnew
＝{d
known
,d
unknown
}，即：
[0131]dnew
＝{x1,x2,...,xn,x
n+1
,x
n+2
,...x
n+m
}，
[0132]
其中n和m分别表示已知类别样本和未知类别样本的类别数量，
[0133][0134]
x
n+m
＝{(xj,yj),1≤j≤m,yj∈[1,2,...,m]}，
[0135]
其中分别为已知类别样本的样本特征和样本标签，n为已知类别样本集的样本数量，xi，yi分别为未知类别样本的样本特征和样本标签，m为未知类别样本集的样本数量。
[0136]
至此，用于后续更新在线扩展模型的增量样本集构建成功。
[0137]
步骤j.参阅图3，搭建扩展分类网络模型，该模型的可训练参数量为37124，其输入为18*1的一维矩阵，经过一维分离卷积神经网络层separable_conv1d_1，最大池化层max_pooling1d_5，过渡层flatten_1，最大池化层max_pooling1d_17，全连接层dense_4，dropout层dropout_9以及全连接层dense_5，最终输出为1*1的矩阵，代表样本的预测分数。其中分离一维卷积神经网络层均采用same的填充方式，激活函数均使用relu激活函数，最大池化层池化大小均设置为2，dropout层的参数为0.5，全连接层的激活函数采用sigmoid激活函数。
[0138]
步骤k.利用增量样本集d
new
和损失函数l训练扩展分类网络模型，得到可检测已知类别和未知类别的在线更新后入侵检测模型其中new表示模型已经更新过了，θ
new
代表神经网络模型参数；并用该在线更新后入侵检测模型替换实现模型更新，完成实时入侵检测。
[0139]
本发明构建的待扩展分类模型和扩展分类模型还可以使用任意一种深度学习网络结构进行替代，如卷积神经网络结构、resnet残差网络结构、深度卷积网络vgg-net等，但需要保证扩展分类模型的参数值小于待扩展分类模型。针对步骤二，所述的cicflowmeter的网络嗅探部分可以替换为其它网络流量嗅探器，如sniffer、whireshark。cicflowmeter可以自行提取获得数据包的流量特征，比替代方案效率高很多，实现高效率的数据挖掘。
[0140]
本发明未详细说明部分属于本领域技术人员公知常识。
[0141]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。