网络流整合提升机器学习入侵检测系统的泛化能力

本文是SBSeg 2026会议论文的补充材料，核心提出通过网络流整合方法增强机器学习入侵检测系统（IDS）在多域数据场景下的泛化能力。研究使用NFStream工具标准化多个公开数据集，解决单一数据集训练模型难以跨环境适配的问题。

随着网络威胁增长和攻击手段演进，传统规则IDS难以应对复杂环境。ML技术为IDS带来新可能，但现有模型存在泛化能力局限：单一数据集训练易过拟合特定网络环境，不同数据集特征空间不一致，跨域部署性能显著下降。本研究旨在通过整合多数据集流级特征，提升模型跨域泛化能力。

针对传统ML IDS的局限，研究提出网络流整合方法，核心包括：1. 多数据集整合：统一处理不同来源的网络流量数据；2. 特征标准化：使用NFStream工具从原始PCAP提取一致的流级特征；3. 构建共同特征空间：支持跨域泛化实验。

研究采用NFStream提取标准化特征，分为三类：

• 核心特征：流标识信息（源/目的IP、端口、协议）、持续时间、数据包数量/字节数；
• 事后统计特征：包长统计（最小/最大/平均/标准差）、到达间隔时间统计、流量方向比例；
• 应用识别特征：流量类别（正常/攻击）及攻击类型细分。标准化流程为跨域学习奠定基础。

研究使用三个公开数据集：

1. UNSW-NB15：澳网络安全中心发布，含9种攻击类型，代表混合校园网环境；
2. CIC-IDS2017：加拿大网络安全研究所发布，含完整PCAP文件及多种现代攻击；
3. CIC-IDS2018：2017版扩展，规模更大、攻击场景更复杂。 注意：原始数据因许可限制未重新分发，需从官方来源获取后用本仓库流程生成标准化版本。

实验验证了网络流整合方法的效果：

1. 泛化能力提升：多数据集训练模型在不同数据域适应性显著改善；
2. 性能稳定性：跨域部署时性能退化程度明显降低；
3. 权衡关系：攻击检测率与误报率间存在可调权衡空间。这些发现有助于安全运营中心构建更鲁棒的检测模型。

本研究方法论的应用场景包括：

• 安全运营中心（SOC）：整合多客户流量训练通用模型，减少重新训练成本；
• 云安全服务商：构建跨租户统一威胁检测能力，提升新租户onboarding效率；
• 学术研究：提供标准化实验基准，促进不同方法公平比较。

网络流整合方法标志着IDS领域从“单数据集优化”向“跨域泛化”的转变。通过标准化特征提取和多数据集联合训练，为提升模型鲁棒性提供可行路径。对网络安全从业者、ML研究者及AI安全开发者而言，本工作提供了宝贵技术参考和实验基础，未来泛化能力研究将愈发重要。