文章总结： 本文综述了面向数据不平衡的网络入侵检测系统研究，针对真实流量中攻击样本稀缺导致的模型偏向问题，分析了数据层采样技术与模型层优化策略。研究发现混合采样与代价敏感学习能有效提升少数类检测率，但存在协议逻辑冲突与概念漂移挑战。建议未来应提升数据质量与动态适应能力，结合数据与模型层优势以增强NIDS在复杂环境下的鲁棒性。 综合评分： 95 文章分类： 网络安全,AI安全,安全运营

优秀论文 | 天津大学金志刚教授团队：面向数据不平衡的网络入侵检测系统研究综述

原创

信息网络安全杂志 信息网络安全杂志

信息网络安全杂志

2026年1月23日 17:01 上海

引用本文

金志刚, 李紫梦, 陈旭阳, 等. 面向数据不平衡的网络入侵检测系统研究综述[J]. 信息网络安全, 2025, 25(8): 1240-1253.

JIN Zhigang, LI Zimeng, CHEN Xuyang, et al. Review of Network Intrusion Detection System for Unbalanced Data[J]. Netinfo Security, 2025, 25(8): 1240-1253.

研究意义

随着全球网络安全威胁快速演进，网络入侵检测系统（NIDS）成为维系关键信息基础设施安全的重要环节。然而，真实网络流量普遍具有正常流量占比极高、攻击样本稀缺且分布高度不均的特征，使得基于机器学习的NIDS面临模型偏向性学习、少数类难检测、泛化能力下降等核心瓶颈。公开数据集（如UNSW-NB15、CICIDS-2017 等）均呈现显著类别不平衡及内部极端失衡现象，不同攻击类别的样本比例差距可达百倍以上，进一步导致传统指标失真、模型稳定性降低，并使得攻击检测在真实环境中风险加剧。因此，系统性梳理面向数据不平衡的NIDS研究进展，对理解其技术发展脉络、发现现存问题并指引未来研究方向具有重要理论与工程价值。

本文工作

本文围绕网络入侵检测中的数据不平衡问题展开系统综述，从基础概念、典型方法到不足与趋势进行了全面分析。

首先，介绍入侵检测的基本概念与数据不平衡的成因，比较 UNSW-NB15、CICIDS2017 等常用数据集的类别比例与指标适用性，指出传统准确率难以反映不平衡情境下的真实性能，需要结合 Recall、F1、AUPR、MCC 等更稳健的指标进行评估。

随后，本文从数据层面与模型层面两个角度系统归纳现有方法。在数据层面，总结欠采样、过采样、混合采样及生成式增强（如 VAE、GAN、CGAN、CWGAN 等）方法的研究进展，分析其在平衡类间分布、提升少数类代表性方面的作用与风险，如可能破坏协议逻辑、放大噪声或造成生成样本不稳定。模型层面则涵盖集成学习、损失函数设计（如加权交叉熵、Focal Loss、CFL）及代价敏感学习等策略，讨论其通过重加权与聚焦难分类样本来缓解模型偏向性的问题。

最后，本文总结当前研究仍面临的挑战，包括不平衡类型多样、少数类样本质量不足、生成流量难以保持协议一致性、离线训练难适应实际场景中的概念漂移等，并指出未来研究方向需在数据质量、动态学习能力及跨场景泛化能力上进一步突破。

实验结果与研究发现

结合原文汇总的典型研究工作，可以从数据层方法与模型层方法两个方面提炼出当前研究的主要表现规律。

在数据层方法方面，多项研究表明（表1），欠采样虽能改善平衡性，但可能损失关键信息；过采样方法如 ROS、SMOTE、ADASYN 在多个数据集上实现较高 Recall 与 F1；混合采样方法（如 ROS/GMM、SMOTE 与编辑方法结合）表现更为稳定，并在若干研究中取得接近或达到 99% 的高 F1 分数；基于 VAE、GAN、CGAN 或 CWGAN 的生成式增强能够显著扩充少数类，但生成流量可能出现协议字段冲突、时序逻辑偏差或模式崩溃，限制其直接应用于真实网络环境。

表1 数据层面的方法总结

在模型层方法方面，表2显示集成学习方法（如 Bagging、两阶段模型、XGBoost-DNN）在多类攻击识别任务中取得优异性能；代价敏感学习可显著提升少数类检测能力，适合高代价误报场景；基于损失函数的改进（如 WCE、Focal Loss、CFL）通过重加权机制有效提升识别偏斜类别的能力。虽然这些方法整体表现稳健，但部分研究指出训练复杂度较高、依赖离线设置、难以适应概念漂移等问题仍然存在。

表2 模型层面的方法总结

总体来看，数据层方法能够直接改善类别分布，但受样本质量与协议一致性影响较大；模型层方法提升更为稳定，但难以单独解决极端不平衡导致的学习瓶颈；二者结合通常效果最佳，但在真实网络环境中的可迁移性和鲁棒性仍需进一步研究。这些发现均来源于原文对已有方法实验表现的系统总结。

通信作者:

金志刚 [email protected]

作者简介:

金志刚（1972—），男，上海，教授，博士，主要研究方向为无线网络与网络安全。

李紫梦（2001—），女，河北，硕士研究生，主要研究方向为深度学习与水下传感器网络。

陈旭阳（1999—），男，山东，硕士研究生，主要研究方向为物联网安全与入侵检测系统。

刘泽培（1998—），男，天津，博士研究生，主要研究方向为物联网安全与联邦学习。

阅读原文

长按识别二维码

信息网络安全

《信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。

中文核心期刊

中国科技核心期刊

中国科学引文数据库来源期刊

CCF计算领域高质量科技期刊

我们在不断努力和完善中，期待您的关注和支持！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息网络安全杂志 信息网络安全杂志 信息网络安全杂志《优秀论文 | 天津大学金志刚教授团队：面向数据不平衡的网络入侵检测系统研究综述》