通过这几天阅读文献，我现在用于入侵检测的模型可以大体分为传统的机器学习模型和深度学习模型。其中传统的机器学习模型有SVM、KNN、决策树、PCA等，深度学习模型有CNN、DBN、RNN等。
首先说一下常用的数据集：NSL-KDD、Gure-KDD、CIDDS-001、DARPA1999、KDD199等。
目前论文基本的研究方向大体可以分为两类：数据预处理、模型优化。

数据预处理

从我这一段时间看的论文来说数据预处理有三个方面：特征选择降维、处理非平衡数据集、以及数据子集的选择（这样做的暂时不多，不过还是把它归为一类?）

一、特征选择降维

入侵检测领域的数据往往特征非常的多，CICFlowMeter处理的数据多达八十多个特征，有些数据集甚至有几百个特征。这样就导致运算时间成本非常高甚至维数灾难。所以如何在所有的特征中提取优质的特征子集成为重要研究方向。
首先特征选择和特征降维是不一样的，特征选择只是选择特征子集、并不影响特征空间。特征降维通过组合原有属性产生新的属性，最终会改变特征空间。
特征选择的方法可以分为三类：过滤模式、封装模式、嵌入模式。这三种方法侧重点和方式不同过滤模式是针对单个特征，计算较快封装模式是针对特征子集，选择最优的特征子集（因为我对此没有了解的很充分，就不展开讲了）。我在阅读论文的时候有一篇提到了特征的二次优化，它根据两个不同的评价准则进行两次过滤模式，然后将这两次过滤后得到的特征集合取交集，然后对这交集在进行封装模式特征选择，这样实现了对特征选择的二次优化。
还有篇论文提到用遗传算法进行特征选择，我没有看懂具体算法流程。按照我的理解可以将染色体内容表示特征的选择，假如有A、B、C三个特征，我可以用101这样的染色体表示选取A和C特征。这样随机生成染色体后进行交叉变异选择，得到了最佳的染色体就表示了最佳的特征子集（小白的理解）。

二、处理非平衡数据集：

因为如今常用的基于网络的入侵检测公开数据集几乎都是不平衡的数据集、小样本占比很小很小，可能会有1%甚至0.5%，因为如何处理这样极其不平衡的数据集、使用这种数据集依然能训练出效果好的模型就显得很重要。常见的处理不平衡数据集的方法有上采样（过采样）、下采样（欠采样）以及上下采用混合。
上采样：从少数类样本中生成新的样本，扩充少数样本数量，常见的算法发有：随机过采样、SMOTE、borderline SMOTE（对每个小样本计算K近邻，只为周围大部分是大样本的小样本生成新样本）、ADASYN（根据数据为不同小众样本生成不同数量的新样本，计算每个小众样本的分布比例在用SMOTE生成数据）
下采样：从多数类样本从提取部分和小样本构成新的数据，然后利用新的数据集训练。
上下采样混合：先生成小众样本数据然后再删除部分大众样本，需要上采样算法和下采样算法结合使用。

三、数据子集选择

看了的论文中只有一篇提到了选择更加优质的数据子集进行训练，思想也很简单：分别计算每个数据之间的距离，删除平均距离最大的数据)获取优质的数据子集。

传统机器学习模型优化

这一部分没什么好说的，模型太多了，可以说的也太多了，就简单说一下集成学习，前面提到的上采样下采样是用来处理非平衡数据集，使训练的模型更加科学，集成学习也某种程度上可以应对这样的非平衡数据集。集成学习分为三类：Bagging、Boosting、Stacking。这三类在入侵检测领域都可以应用，例如随机森林等。

深度学习

在入侵检测领域也逐渐开始使用深度学习，例如自动编码器、深度玻尔兹曼机、深度新年网络、循环神经网络、卷积神经网络。
此处只简单介绍一下卷积神经网络。因为目前的流量数据都是一维的，而卷积神经网络处理的是图像信息也就是二维的，所以我们要事先将一维的数据扩展为二维的数据，具体扩展方法有很多。然后将数据当做图像就可以了，模型整体和用于Object Detection方面的并没有太大区别。焦点损失函数很适用于非平衡数据集因为它分类错误的样本损失权重更大，也有再次基础上改进的GHM。

（研0学生，小白）