SDN网络中基于联合熵与多重聚类的DDoS攻击检测.pdf

1、NETINFOSECURITY2023年第10 期优秀论文doi:10.3969/j.issn.1671-1122.2023.10.001SDN 网络中基于联合熵与多重聚类的 DDoS攻击检测王智1.2，张浩12，顾建军3，（1.福州大学计算机与大数据学院，福州350 116；2.福建省网络计算与智能信息处理重点实验室，福州350 116；3.达尔豪斯大学电气与计算机工程学院，哈利法克斯B3J1Z1）摘要：软件定义网络（Software Defined Networking，SD N）作为一种新兴的网络范式，在带来便利性的同时也引入了更为严峻的分布式拒绝服务攻击（DistributedDeni

2、al of ServiceAttacks，D D o S）风险。现有的模型通常是使用机器学习模型来检测DDoS攻击，忽略了模型给SDN控制器带来的额外开销。为了更加高效且精确地检测DDoS攻击，文章采取了多级检测模块的方式，即一级模块通过计算当前流量窗口的联合熵快速检测异常，二级模块采用半监督模型，并使用特征选择、multi-training算法、多重聚类等技术，通过训练多个局部模型提高检测性能。与现有的其他模型相比，该模型在多个数据集上均表现更好，拥有更好的检测精度和泛化能力。关键词：软件定义网络；分布式拒绝服务攻击；半监督学习；统计学习中图分类号：TP309文献标志码：A文章编号：16 7

3、 1-112 2（2 0 2 3）10-0 0 0 1-0 7中文引用格式：王智，张浩，顾建军.SDN网络中基于联合嫡与多重聚类的DDoS攻击检测J.信息网络安全，2 0 2 3，2 3（10)：1-7.英文引用格式:WANG Zhi,ZHANG Hao,GU J.A Hybrid Method of Joint Entropy and Multiple Clustering BasedDDoS Detection in SDNJ.Netinfo Security,2023,23(10):1-7.A Hybrid Method of Joint Entropy and Multiple Clu

4、stering BasedDDoSDetection in SDNWANG Zhil,2,ZHANG Haol2,Jason GU3(1.Colleage of Computer and Date Science,Fuzhou University,Fuzhou 350116,China;2.Fujian Key Laboratory ofNetwork Computing and Intelligent Information Processing,Fuzhou 350116,China;3.Department of Electrical andComputer Engineering,D

5、alhousie University,Halifax B3J1Z1,Canada)Abstract:Software Defined Networking(SDN),an emerging networking paradigm,has introduced more severe Distributed Denial of Service attacks(DDoS)along withconvenience.Existing works typically use machine learning models to detect DDoS attacks,收稿日期：2 0 2 3-0 6

6、-2 8基金项目：国家自然科学基金U1804263，U 2 1A 2 0 47 2 ；国家留学基金2 0 2 0 0 6 6 550 11；福建省自然科学基金2 0 2 0 J01130167，2 0 2 1J0 16 16，2021J01625作者简介：王智（19 9 8 一），男，山西，硕士研究生，CCF会员，主要研究方向为网络安全、机器学习；张浩（19 8 1一），男，安徽，副教授，博士，CCF会员，主要研究方向为信息安全、安全大数据分析和计算智能算法；顾建军（19 7 2 一），男，江苏，教授，博士，主要研究方向为机器学习、神经网络和控制、生物医学工程和康复工程。通信作者：张浩NETI

7、NFOSECURITY优秀论文2023年第10 期but ignore the additional overhead that models impose on SDN controllers.In order to detectDDoS attacks more efficiently and accurately,this paper adoptd a strategy of multi-leveldetection modules:the first-level module detectd suspicious traffic by calculating the jointentr

8、opy of the traffic in the current window;the second-level module used a semi-supervisedmodel that used techniques such as feature selection,multi-training algorithms,and multipleclustering to improve detection performance by training multiple local models.Comparedwith other existing models,this mode

9、l performs best on multiple data sets and has betterdetection accuracy and generalization ability.Key words:SDN;DDoS;semi-supervised learning;statistical learning0引言随着技术的进步，计算机网络在现代社会中扮演着越来越重要的角色，然而网络在发展的同时，其管理和维护也变得日益困难。SDNII作为一种网络范式，可以很好地解决以上问题，它的核心思想是将网络的转发功能与控制功能解耦。SDN虽然为管理网络资源提供了较大的便利和效率，但这种中心化

10、控制思想也引人了一些安全问题，其中较典型的问题是DDoS。SD N存在单点故障问题2 ，因此这种攻击类型在SDN中表现得尤为突出。为了应对DDoS攻击对SDN网络造成的威胁，近几年研究人员提出了多种检测方案，这些方案主要分为统计学习方法和机器学习方法3，这两种方法各有优缺点。统计学习方法的优势在于检测速度很快，但它在准确性上表现欠佳；机器学习方法依靠其复杂的模型拥有更高的检测精度，但也因此需要消耗更多的计算资源，增加了控制器开销3。现有的大多研究47 仅使用这两种方法的其中一种，因此该方法的不足也会体现在这些研究中，如何高效地使用这两种方法是一项有价值的研究。此外，目前基于机器学习的工作大多都

11、采用有监督模型，其在检测性能上虽然表现良好，但如果处于一些特殊的场景中时，这些模型的检测性能会大大降低8 ，如可获取的有标签数据较少时等。针对这个问题，可以采用半监督模型解决，然而半监督模型在检测精度上往往不如有监督模型，因此如何提高半监督模型的性能也是一个需要解决的问题。针对上述两个问题，本文提出了一种用于SDN中的DDoS攻击检测方法。本文采用多级检测策略来解决统计学习和机器学习的问题，一级检测模块通过计算当前窗口中流量的联合来快速检测异常，若有异常，则启动二级检测模块；若无异常，则清空当前窗口中的流量，并继续收集和检测下一个时间窗口内的流量。二级模块是一种机器学习模型，可以对流量进行更精

12、确的判断。由于有监督模型对数据集依赖性较强，本文采用半监督模型，并提出一种半监督学习算法Multi-training，该算法对部分无标签数据附上置信度较高的伪标签来增加训练数据集的大小，解决有标签数据不足的问题。同时，为了提高半监督算法的准确率和泛化能力，本文以Multi-training算法为基分类器构建了多重聚类模型，首先使用加权K-means算法构建多个随机化层，然后在每个层中训练不同的局部模型，最后使用投票法确定每条流量的检测结果。1相关工作近年来，国内外学者针对SDN网络中的DDoS攻击检测技术进行了大量研究。TANI9等人提出了一种混合检测模型，在数据平面部署了检测DDoS攻击的异

13、常触发机制，在控制平面使用基于K-means和KNN的组合机器学习算法检查可疑流量，该模型具有较好的检测精度，但是它的异常触发机制仅考虑了数据包的接收速率，会产生较大的误报率。JASIMI4等人提出了一种半监督分类算法，首先使用混合特征选择方法进行特征优化，然后利用聚类算法选择最优的两个质心作为区分正常流量和DDoS攻击的依据，但是该方法无法取得较高的检测准确率。KALKAN5等人提出了一种基于联合熵的DDoS检测模型，首先在无攻击时期生成一个基本配置文件，然后以该文件为依据检测系统中联合信息熵的2NETINFOSECURITY2023年第10 期优秀论文变化情况，最后判断是否存在DDoS攻击

14、。该方法相较于机器学习算法在准确性方面表现较差，且无法区分DDoS攻击和Flash Crowd事件。MAHESHWARI等人提出了一种优化加权投票集成模型，采用6 个基分类器以及一种新的动态适应度函数来训练集成框架，其中使用的权重集由启发式优化算法确定。该模型的不足主要是对有标签数据的依赖度较高，无法适用于有标签数据较少的场景。于俊清7 等人设计了一种基于序贯概率比和梯度提升机的检测方法，具有较高的实时性和检测精度，但是使用的序贯概率比只能用于检测TCP流量，具有局限性。王聪10 等人提出了一种改进的D-S证据理论检测算法，使用纯度因子和离散因子衡量D-S证据源之间的冲突并对证据源进行调整，通

15、过Dempster规则融合得到检测结果。综上所述，学者们提出了许多在SDN中检测DDoS攻击的方法，但是每种方法都有其局限性，如何高效且精准地检测DDoS攻击，一直都是学者研究的重点与挑战。2模型设计本文提出的异常检测方法主要分为两个子模块：基于联合熵的一级检测模块和基于多重聚类的二级检测模块。2.1基于联合熵的一级检测模块信息熵I是与随机变量相关联的一个度量，随概率分布的不确定性增加而增加。在给定可能结果x(i=1,2,M)和对应样本数n;的情况下，使用香农公式来计算信息熵，如公式（1）所示。(1)（S其中，S表示X中的样本总数。利用信息熵来检测DDoS攻击基于这一原理：正常情况下，源IP地

16、址和目的IP地址的数量是趋于稳定的；而在DDoS攻击的条件下，会存在大量伪造的源IP地址，导致源IP地址数量激增；同时，由于攻击者会有目的性地向某几个目标主机发起攻击，这会使目的IP地址的数量变得很少12 。因此，当发生DDoS攻击时，源IP地址的熵值、目的IP地址的熵值、源IP地址与目的IP地址的熵值之差这3项指标均会发生显著变化,本文将这3项指标作为初始检测模块中的联合熵。一级检测模块的代码如下。输入：数据分组D；Window-WindowU(Di)if Window.size WthenH=(Hsre,Hos,Hpi)if any value of H;exceeds the thres

17、hold T,theninvoke the second-level moduleend ifWindowend if该算法会利用“窗口”收集当前网络中最新的W条数据流量，并计算这些流量的联合熵H，如果H中任意一项指标超过预先设定的阈值T，就会触发异常信号并唤醒二级检测模块。虽然这会产生一定的误报率，但这种误报率是被允许的，这是由于该模块的主要作用是提供足够好的查全率，较高的查准率和较低的误报率则由二级模块负责。2.2基于多重聚类的二级检测模块多重聚类模型是本文提出的一种半监督学习模型，它结合了特征选择、Multi-training算法和加权聚类等技术，图1展示了多重聚类模型的整体框架。原始数

18、据数据预处理C4.5决multi-策树raining.元分类器按嵌训练图1多重聚类模型框架具体而言，对于获取到的原始数据，首先进行删除缺省值、One-hot编码等数据预处理工作。然后通过计算每个属性的信息增益比进行特征选择，信息增益比的计算如公式（2）所示。特征选择信息增益比分层聚类训练数据集：划分层次3NETINFOSECURITY优秀论文2023年第10 期H(X)-H(X A.)IGR(X,A,)=其中，A,表示第j个特征，H(X)和H(XIA)分别表示数据X的信息嫡和条件信息熵。在特征选择后，将处理后的数据集复制L份作为L个相互独立的层，在每一层中，使用加权K-means算法进行聚类，

19、加权K-means中不同节点间的距离计算公式如公式（3）所示。d(x,c)=2w;(x,-c.)Vj=1其中，x,表示数据的第j个特征；c表示簇心的第个特征；w,是特征j的权重，体现了特征在聚类中的重要性，使用每个特征的信息增益比表示其权重。与传统的K-means13算法相比，引人权重之后聚类的速度更快、效果更好。分层聚类后，在每层的每个簇中都训练一个局部模型，最后预测结果通过比较多个局部模型的分类结果综合分析得出。聚类的结果主要取决于初始种子和类簇数量14,这是多重聚类模型遵循的原理。因此，当每次初始化参数不同时，聚类结果就不同。例如，图2 a）表示某个数据集的数据分布情况，图2 b）和图2

20、 c）是在两种不同初始化参数下的聚类情况，其中图2 b）2.的3个实例在图2 c）中被划分到不同的簇中，图2 d）表示两次聚类的对比图。通过多次聚类得到不同的簇分布情况，以每个簇中的数据作为一个单元进行训练，会获得多个相互独立的基分类器，这些基分类器组成了本文提出的多重聚类模型。2.2.1训练过程原始的数据集在经过K-means聚类之后会得到若干个簇，每个簇中包含一批相关性较强的数据。由于原始数据集既包含有标签数据又包含无标签数据，所以聚类之后形成的簇满足以下3种情况之一：1）仅包含有标签数据；2）仅包含无标签数据；3）既包含有标签数据又包含无标签数据。对于仅包含有标签数据的簇，可以使用有监督

21、学(2)H(4,)(3)?classiClass2a）一个有两个类别的数据集Class121.1Class2Q1,3b）使用初始化参数Pi的聚类结果Class1Class2022C）使用初始化参数P2的聚类结果ClassIClass2d）两次聚类下所得的簇的分布情况图2 分层聚类习算法C4.5决策树15 进行模型训练。决策树算法是一个非参数化模型，它更易于理解和解释、适用于大规模数据、鲁棒性强，因此通常作为训练有标签数据的基分类器使用。本文在Tri-trainingl16算法的基础上提出半监督算法Multi-training，对于既包含有标签数据又包含无标签数据的簇进行训练。Multi-tra

22、ining算法包含4个基分类器，每个基分类器均由一个C4.5决策树组成，在初始阶段，它们通过自举采样的方式从有标签数据中选择各自的训练数据，由于训练使用的数据不同，训练出的分类器也会有所差异；在迭代阶段，对于其中一个分类器q，另外3个分类器预测无标签的数据，挑选出预测结果中置信度大于的样本作为分类器q的伪标签数据，加人到训练集中用于之后的训练。这里的表21.2Q21NETINFOSECURITY2023年第10 期优秀论文示最小置信度，只有置信度大于的样本才可以作为伪标签，用户可以根据需求动态设定的值。算法会对4个基分类器重复执行上述迭代阶段的步骤，直到模型收敛。对于仅包含无标签数据的簇，首先

23、从所有层中选择距离它最近、且包含有标签数据的簇作为邻居簇；然后使用重采样技术从邻居簇中选择一些有标签数据，并将这些数据放入无标签数据簇中，使得原来的无标签数据簇变为既包含有标签数据又包含无标签数据的簇；最后使用Multi-training算法训练出局部模型。本文提出的多重聚类模型的训练过程如图3所示。数据预处理获取数据集对部分列进行one-hot编码计算每个特征的信息增益比将处理之后的数据集拷贝L份，分别作为L个层仅包含有标签数据使用C4.5决策树训练图3多重聚类模型训练过程2.2.2测试过程在对测试数据集进行分类之前，首先会进行数据预处理和特征选择；然后，针对每条测试数据，在多重聚类模型的每

24、个层中找到与该条数据相关性最高的簇，即在每一层中计算当前测试样本与层中所有簇心的距离，相距最短的簇心所在的簇作为该测试样本的归属簇；其次，使用归属簇的局部模型来预测样本的类别，每层都有一个归属簇，即获得一个分类结果，在L层便得到L个结果；最后，通过投票法的方式从这L个结果中选择出最终预测结果。图4展示了多重聚类模型的测试过程。依据15个最相关特征，将原始测试集开始数据预处理开始图4多重聚类模型测试过程对所有特征列进行标准化、归一化选择信息增益比最大的15个特征按照设定的族数列，给每个层聚类判断炎型仅包含无标签数据从最近的族中提取有Multi-txainingil练标签数据，并使用结束是中的数据

25、拼接成仪试集中包合15个特征的数据集3实验结果与分析3.1数据集介绍特征选择SDN公开的数据集并不像传统网络数据集那样丰富，目前可以找到的公开可用且质量良好的数据集是由AHUJA17等人创建的SDN数据集，它所使用的拓多层镁划分扑结构如图5所示，拓扑图展示了良性主机和恶意主机的分布情况。该数据集的样本总数为10 4345，其中正常类和攻击类的样本大小分别是6 356 1和40 7 8 4。H7：目标主机H9,H3:受攻击主机数据练既包含有标签数据又包含无标签数据training算法训练采用Malti-都经过测香按顺序选择一条测试数据在每层对所选数据进行聚类，找到数据最合适的莲使用族中的分类器预

26、测数据，L层会得到1个结果文使用投票法的方式选择出预测结果，并将结果添加到结果集控制器S4S5H3H6图5SDN数据集的拓扑结构除此之外，本文还使用了传统网络中的经典数据集NSL-KDD和CICIDS2017对模型的效果进行进一步的验证。3.2实验过程与结果3.2.1一级检测模块有效性验证本文实验通过计算每个窗口中Hsre、H p s t、H p i r 三个值来评估基于联合的一级检测模块的有效性。其中，实验包含两个场景：第一个场景中收集的50 0 0 个结束H7H8H9H10H11H12H135NETINFOSECURITY优秀论文2023年第10 期数据包均为正常流量，第二个场景中收集的前

27、2 0 0 0 个数据包为正常流量，之后由于攻击者向网络发起DDoS攻击，因此后30 0 0 个数据包中既包含正常流量又包含攻击流量。在这两种场景下获得的Hsre、H D s t、H D i j 值如图6 所示，其中窗口大小S-100。结果清楚地表明，在发生DDoS攻击的情况下，3个指标均发生了明显的变化。正常环境6DDOS5-202.01.00.50正常环境6DDOS5幸2-C）源IP地址和目的IP地址炳值之差图6 正常环境和DDoS攻击下3种炳值的变化情况3.2.2多重聚类模型的有效性验证本次实验中使用SDN数据集验证多重聚类模型的有效性,对比使用的半监督算法包括Co-trainingl1

28、8模型、Tri-training模型和SMLC19模型，这3个模型都是比较成熟的半监督学习算法，在异常检测领域也都表现出了较好的性能。同时，Multi-training算法是本文提出的一种半监督算法，因此也被用于性能比较。本次实验中有标签数据和无标签数据各占比50%，多重聚类模型的层数L=5，簇数K-2,2,2,3,4。通过十折交叉验证得到的实验结果如表1所示。表1不同半监督模型性能对比模型ACCCo-training93.56%92.88%Tri-training91.52%SMLC85.94%Multi-training94.84%94.41%本文方法96.23%95.94%从表1可以看出

29、，新提出的Multi-training算法相比于现有的半监督算法在准确率ACC、召回率Recall、精确率Precision、F1值这4个指标上均有提升，而本文提出1020窗口值a）源IP地址炳值1020窗口值b）目的IP地址值1020窗口值Recall90.79%86.72%4050正常环境DDOS30403040Precision94.62%91.87%88.47%94.93%97.16%的多重聚类模型又在Multi-training算法的基础上有了进一步的提升，与其他4个模型相比，多重聚类模型在ACC、Re c a ll、Pr e c i s i o n、F1值这4个指标上均表现最优。因

30、此能够证明本文提出的多重聚类模型是有效且性能优异的。3.2.3特征选择的有效性验证本文对原始数据集做了特征选择，并对模型在有特征选择和没有特征选择的情况下进行了性能测试，50实验结果如表2 所示。表2 特征选择效果对比ACCRecallPrecision71个特征96.23%95.94%97.16%96.43%5.59%26.3115个特征96.36%95.81%96.76%从实验结果可以看出，当通过特征选择将原始数据集中的7 1个特征缩减到15个特征时，模型的性能表现依旧良好，并且在ACC和FPR指标上均有小范围提50升，同时在训练时间上大幅减少，因此特征选择对于模型的整体性能提升较为明显。

31、3.2.4其他数据集的实验结果本文使用了NSL-KDD和CICIDS2017对模型的性能做了进一步的验证，实验结果如表3和表4所示。通过观察NSL-KDD和CICIDS2017两个数据集上的实验结果，可以看出与其他半监督模型相比，本文提出的模型在测试的所有性能指标上都是最好的，这F1值93.43%91.43%85.85%94.58%96.43%F1值FPRTT/s96.22%5.04%12.846NETINFOSECURITY2023年第10 期优秀论文表3不同模型在NSL-KDD实验结果模型F1值ACCRecallCo-training80.90%83.14%82.74%80.89%Tri-

32、training70.83%78.07%74.05%SMLC81.44%83.50%82.72%81.44%本文方法82.19%83.97%83.87%表4不同模型在CICIDS2017实验结果模型ACCCo-training99.8662%99.8664%Tri-training99.8742%99.8663%SMLC99.8817%本文方法99.8830%99.8858%证明本文提出的模型具有更强的检测性能。4结束语本文为了解决SDN中DDoS攻击造成的恶性影响，提出了一种基于联合熵和多重聚类的多级检测方法。一级检测模块利用了统计学习低开销、高响应的特点，通过计算当前窗口流量的联合熵来检测

33、可疑流量，若有异常则启动二级检测模块。二级模块首先进行特征选择工作，使用信息增益比选择最有价值的一组特征；然后，使用加权聚类方式生成多个相互独立的随机化层，每一层中的簇分布各不相同；其次，以每个层中的每个簇作为数据单元构建局部模型，并使用本文提出的Multi-training算法训练簇中的数据；最后，使用投票法的方式从模型的多个层中选择最终的预测结果。在实验部分，首先验证了联合信息熵检测异常流量的有效性，然后在多个数据集上测试了多重聚类模型的性能，最后结果表明本文提出的模型与Co-training、Tri-training和SMLC等模型相比拥有更好的检测能力。参考文献：1 KOPONEN T

34、,CASADO M,GUDE N,et al.Distributed Control Platformfor Large-Scale Production Networks:USA,8.830.823P.2014-09-09.2 KAUR S,KUMAR K,AGGARWAL N,et al.A ComprehensiveSurvey of DDoS Defense Solutions in SDN:Taxonomy,ResearchChallenges,and Future DirectionsJ.Computers&Security,2021,110(1):102423-102431.3

35、SINGHJ,BEHAL S.Detection and Mitigation of DDoS Attacks in SDN:A Comprehensive Review,Research Challenges and Future Directions.Computer Science Review,2020,37:100279-100294.4 JASIM M N,GAATA M T.K-Means Clustering-Based Semi-Supervised for DDoS Attacks ClassificationDl.Bulletin of ElectricalPrecisi

36、onEngineering and Informatics,2022,11(6):3570-3576.5 KALKAN K,ALTAY L,GUR G,et al.JESS:Joint Entropy-Based70.32%DDoS Defense Scheme in SDNJ.IEEE Journal on Selected Areas inCommunications,2018,36(10):2358-2372.82.19%6 MAHESHWARI A,MEHRAJ B,KHAN M S,et al.An OptimizedWeighted Voting Based Ensemble Mo

37、del for DDoS Attack Detection andRecallPrecision99.8610%99.8637%99.8775%99.8719%99.8845%99.8745%99.8795%99.8849%99.8890%F1值Mitigation in SDN EnvironmentJ.Microprocessors and Microsystems,2022,89:104412-104438.7 YU Junqing,LI Zizun,WU Chi,et al.A Two-Stage DDoS AttackDetection and Defense Method in S

38、ofitware Defined NetworkDl.NetinfoSecurity,2022,22(1):1-8.于俊清，李自尊，吴驰，等.面向软件定义网络的两级DDoS攻击检测与防御.信息网络安全，2 0 2 2，2 2（1)：1-8.8 VILLA-PEREZ M E,ALVAREZ-CARMONA M A,LOYOLA-GONZALEZ O,et al.Semi-Supervised Anomaly Detection Algorithms:A Comparative Summary and Future Research Directions.Knowledge-Based Syst

39、ems,2021,218:106878-100686.9 TAN Liang,PAN Yue,WU Jing,et al.A New Framework for DDoSAttack Detection and Defense in SDN EnvironmentJ.IEEE Access,2020,8:161908-161919.1o WANG Cong,CUI Yunhe,GAO Hongfeng.DDoS AttackDetection Based on Improved D-S Theory in SDNDJ.Computer System&Applications,2022,31(8

40、):354-360.王聪，崔允贺，高鸿峰.SDN环境下基于改进D-S理论的DDoS攻击检测).计算机系统应用，2 0 2 2,31（8)：354-36 0.11 SABIROV D S,SHEPELEVICH I S.Information Entropy inChemistry:An Overviewl.Entropy,2021,23(10):1240-1249.12 ZHANG Long,WANG Jinsong.A Hybrid Method of Entropy andSSAE-SVM Based DDoS Detection and Mitigation Mechanism in S

41、DNDJ.Computers&Security,2022,115:102604-102620.13 SINAGA K P,YANG M S.Unsupervised K-Means ClusteringAlgorithm.IEEE Access,2020,8:80716-80727.14 RAHMAN A,VERMA B.Novel Layered Clustering-Based Approachfor Generating Ensemble of Classifiers.IEEE Transactions on NeuralNetworks,2011,22(5):781-792.15 QU

42、INLAN J R.Induction of Decision Trees.Machine Learning,1986,1:81106.16 ZHOU Zhihua,LI Ming.Tri-Training:Exploiting Unlabeled DataUsing Three ClassifiersJ.IEEE Transactions on Knowledge and DataEngineering,2005,17(11):1529-1541.17 AHUJA N,SINGAL G,MUKHOPADHYAY D,et al.AutomatedDDOS Attack Detection i

43、n Software Deflned Networkingl.Journal ofNetwork and Computer Applications,2021,187:103108-102122.18 NING Xin,WANG Xinran,XU Shaohui,et al.A Review of Researchon Co-TraininglJ.Concurrency and Computation:Practice and Experience,2021,35(18):116.19 AI-JARRAH O Y,AI-HAMMDI Y,YOO P D,et al.Semi-Supervised Multi-Layered Clustering Model for Intrusion Detection.Digital Communications and Networks,2018,4(4):277-286.7