1. 機器學習在網路入侵檢測中的應用 - 2017

絡入侵檢測方法分為異常檢測和誤用檢測

異常檢測首先構建一個正常模型，不符合該模型的訪問均被定義為人侵。
相反誤用檢測根據不可接受的行為建立一個入侵模型，符合該模型的訪問均為人侵。

傳統缺點

系統佔用資源過多，對未知的網路監測能力不佳；異常檢測的誤報率高，誤用檢測的漏報率高；對異常的資料分析不足，需要人工干預等

將入侵檢測問題轉化為模式識別和分類的問題來處理

整個處理過程主要分為：獲取特徵資訊並進行特徵分析；學習特徵提取後的資料，進行深入分析；判斷資料型別。

機器學習的方法

神經網路/支援向量機/決策樹

介紹方法

決策樹/神經網路/支援向量機/貝葉斯分類/K-means聚類 五種方法

2. 基於機器學習演算法的網路入侵檢測 - 現代電子技術/2018

神經網路缺點：

當前主要有神經網路進行網路入侵行為分類器的構建，而神經網路是一種基於大資料理論的建模方法，要求訓練樣本足夠多，這就增加了網路入侵檢測的成本，同時網路入侵實際是一種小樣本，難以滿足大樣本的要求，因此，神經網路的網路入侵檢測結果不太穩定，檢測正確率時高時低，檢測結果不太可信。

支援向量機

相對神經網路，支援向量機對訓練樣本數量要求沒有那麼高，而且學習效能也不比神經網路差，為此有學者將其引入到網路入侵檢測的應用中

在基於支援向量機的網路入侵檢測建模過程中，存在以下難題

支援向量機引數的確定，當前對於引數確定問題，有學者採用梯度下降演算法、遺傳演算法進行尋優得到，但是梯度下降演算法的尋優時間長，影響網路入侵檢測的效率；遺傳演算法的遺傳運算元設定沒有統一的理論指導，易獲得區域性最優的引數值，影響網路入侵的檢測結果

基於蟻群演算法確定支援向量機引數的網路入侵檢測模型

通過機器學習演算法--支援向量機構建“一對多”的網路入侵檢測分類器，採用蟻群演算法確定最優引數，採用當前標準網路入侵檢測資料庫對模型的有效性進行測試，網路入侵檢測正確率高達95%以上，檢測誤差遠遠低於實際應用範圍。

...支援向量機理論...

測試物件

包括 4 種網路入侵行為：DoS，Probe，U2R和 R2L
為了使本文模型（ACO-SVM）實驗結果具有說服力，採用 BP 神經網路（BPNN）、遺傳演算法優化SVM（GA-SVM）的網路入侵檢測模型作為對比模型