类别不平衡问题的系统性解决方案:安全视角下的稀有攻击检测实践
类别不平衡问题的系统性解决方案:安全视角下的稀有攻击检测实践
安全风信子
发布于 2026-01-18 11:22:54
发布于 2026-01-18 11:22:54
作者:HOS(安全风信子) 日期:2026-01-09 来源平台:GitHub 摘要: 类别不平衡是机器学习中的常见问题,在安全领域尤为突出。稀有攻击检测、异常行为识别等场景中,正样本(攻击样本)往往只占总样本的极小比例,导致传统机器学习模型倾向于预测多数类,性能严重下降。本文从安全视角出发,深入探讨类别不平衡问题的系统性解决方案,包括数据层面、算法层面、模型层面和系统层面的多种技术。通过分析最新的研究进展和工业实践,结合实际代码案例,展示如何构建高效的不平衡学习系统,提高稀有攻击的检测率。文章重点讨论了安全领域中类别不平衡的特点、基于SMOTE的高级数据增强技术、动态加权损失函数、集成学习方法以及对抗性不平衡学习,为读者提供了一套完整的安全机器学习不平衡问题解决方案。
1. 背景动机与当前热点
1.1 为什么类别不平衡是安全ML的顽疾
在安全领域,类别不平衡问题非常普遍。例如:
- 入侵检测:正常流量占99.9%以上,攻击流量不足0.1%。
- 恶意软件检测:正常软件占绝大多数,恶意软件比例极低。
- 欺诈交易检测:合法交易占99.99%以上,欺诈交易比例极低。
- 异常行为检测:正常用户行为占多数,异常行为比例极低。
传统的机器学习模型假设各类别样本数量大致均衡,在不平衡数据上表现不佳。模型往往倾向于预测多数类,导致少数类(攻击样本)的召回率极低,无法满足安全需求。
最新研究表明,超过70%的安全机器学习项目面临类别不平衡问题,而超过50%的项目因不平衡问题导致模型性能不达标。因此,解决类别不平衡问题是安全机器学习工程化的核心挑战之一。
1.2 当前行业动态与技术趋势
当前,类别不平衡学习领域正呈现出以下几个重要趋势:
- 深度学习驱动:基于深度学习的不平衡学习方法成为研究热点,如注意力机制、对抗训练等。
- 多层面融合:从数据、算法、模型、系统等多个层面综合解决不平衡问题。
- 自适应技术:自适应调整采样策略、损失函数和模型结构,适应动态变化的不平衡数据。
- 对抗性学习:将对抗训练与不平衡学习结合,提高模型对少数类的鲁棒性。
- 联邦学习中的不平衡处理:解决联邦学习场景下的跨设备不平衡问题。
1.3 安全领域类别不平衡的特点
安全领域的类别不平衡具有以下特点:
- 极端不平衡:少数类样本比例往往低于0.1%,属于极端不平衡场景。
- 动态变化:攻击模式不断演进,少数类样本的分布和数量动态变化。
- 高误报成本:误报会导致安全团队疲惫不堪,影响正常工作。
- 高漏报成本:漏报会导致安全事件,造成严重损失。
- 对抗性:攻击者可能主动调整攻击策略,导致少数类样本分布变化。
2. 核心更新亮点与新要素
2.1 亮点1:基于深度学习的高级数据增强技术
传统的SMOTE(合成少数类过采样技术)在处理复杂数据时效果有限。本文提出基于深度学习的数据增强技术,包括:
- 生成对抗网络(GAN)增强:使用GAN生成高质量的少数类样本,提高模型的泛化能力。
- 变分自编码器(VAE)增强:使用VAE学习少数类样本的潜在分布,生成多样化的合成样本。
- 扩散模型增强:利用扩散模型生成高度真实的少数类样本,解决极端不平衡问题。
2.2 亮点2:动态加权损失函数
传统的加权损失函数通常采用固定权重,无法适应动态变化的不平衡数据。本文提出动态加权损失函数,包括:
- 基于样本分布的动态加权:根据当前批次的样本分布动态调整权重。
- 基于模型置信度的动态加权:根据模型对样本的置信度调整权重,关注难以分类的样本。
- 基于对抗性损失的动态加权:结合对抗训练,增强模型对少数类的关注。
2.3 亮点3:对抗性不平衡学习
攻击者可能主动攻击模型,导致其在少数类上表现不佳。本文提出对抗性不平衡学习框架,包括:
- 对抗性重采样:生成对抗性样本,增强模型对少数类的鲁棒性。
- 对抗性损失函数:结合对抗训练,提高模型在不平衡数据上的泛化能力。
- 防御性集成学习:使用集成方法,提高模型对对抗攻击的抵抗力。
3. 技术深度拆解与实现分析
3.1 类别不平衡解决方案分类
类别不平衡解决方案可以分为以下几个层面:
层面 | 主要技术 | 代表方法 | 适用场景 |
|---|---|---|---|
数据层面 | 重采样 | 过采样(SMOTE)、欠采样(Tomek Links) | 数据量较小的场景 |
算法层面 | 损失函数调整 | 加权损失、Focal Loss | 各种场景,尤其是深度学习 |
模型层面 | 结构调整 | 注意力机制、对抗训练 | 深度学习场景 |
集成层面 | 集成学习 | Bagging、Boosting | 大规模数据场景 |
系统层面 | 多模型融合 | 规则+ML、多模型投票 | 生产环境部署 |
3.2 数据层面解决方案
数据层面的解决方案主要通过调整样本分布来解决类别不平衡问题,包括过采样和欠采样两种方法。
3.2.1 过采样技术
过采样是通过增加少数类样本数量来平衡数据分布,常用的方法包括:
- 随机过采样:随机复制少数类样本,简单但容易导致过拟合。
- SMOTE(Synthetic Minority Over-sampling Technique):通过插值生成合成样本,避免过拟合。
- ADASYN(Adaptive Synthetic Sampling):根据样本密度自适应生成合成样本,关注边界样本。
- Borderline-SMOTE:只对边界附近的少数类样本进行过采样,提高合成样本的质量。
下面是SMOTE算法的实现示例:
import numpy as np
from sklearn.neighbors import NearestNeighbors
class SMOTE:
def __init__(self, k_neighbors=5, sampling_strategy='auto'):
self.k_neighbors = k_neighbors
self.sampling_strategy = sampling_strategy
self.nn = None
def fit_resample(self, X, y):
"""
执行SMOTE算法,生成平衡数据集
X: 特征矩阵,形状为(n_samples, n_features)
y: 标签向量,形状为(n_samples,)
返回: (X_resampled, y_resampled),平衡后的特征矩阵和标签向量
"""
# 确定少数类和多数类
classes, counts = np.unique(y, return_counts=True)
minority_class = classes[np.argmin(counts)]
majority_class = classes[np.argmax(counts)]
# 计算需要生成的少数类样本数量
if self.sampling_strategy == 'auto':
n_minority = counts[np.argmin(counts)]
n_majority = counts[np.argmax(counts)]
n_samples_to_generate = n_majority - n_minority
else:
n_samples_to_generate = int(self.sampling_strategy * len(X))
# 获取少数类样本
X_minority = X[y == minority_class]
y_minority = y[y == minority_class]
# 训练KNN模型
self.nn = NearestNeighbors(n_neighbors=self.k_neighbors)
self.nn.fit(X_minority)
# 生成合成样本
synthetic_samples = []
for _ in range(n_samples_to_generate):
# 随机选择一个少数类样本
idx = np.random.randint(0, len(X_minority))
sample = X_minority[idx]
# 找到其K个最近邻
distances, indices = self.nn.kneighbors([sample], n_neighbors=self.k_neighbors+1)
# 排除样本自身
indices = indices[0][1:]
# 随机选择一个最近邻
neighbor_idx = np.random.choice(indices)
neighbor = X_minority[neighbor_idx]
# 生成合成样本
alpha = np.random.random()
synthetic_sample = sample + alpha * (neighbor - sample)
synthetic_samples.append(synthetic_sample)
# 转换为numpy数组
synthetic_samples = np.array(synthetic_samples)
synthetic_labels = np.full(len(synthetic_samples), minority_class)
# 合并原始数据和合成数据
X_resampled = np.vstack([X, synthetic_samples])
y_resampled = np.hstack([y, synthetic_labels])
return X_resampled, y_resampled
# 示例用法
if __name__ == "__main__":
# 生成不平衡数据
from sklearn.datasets import make_classification
X, y = make_classification(n_samples=1000, n_features=20, n_informative=15,
n_redundant=5, n_classes=2, weights=[0.9, 0.1],
random_state=42)
print(f"原始数据形状: X={X.shape}, y={y.shape}")
print(f"原始数据类别分布: {np.bincount(y)}")
# 使用SMOTE生成平衡数据
smote = SMOTE(k_neighbors=5, sampling_strategy='auto')
X_resampled, y_resampled = smote.fit_resample(X, y)
print(f"平衡数据形状: X={X_resampled.shape}, y={y_resampled.shape}")
print(f"平衡数据类别分布: {np.bincount(y_resampled)}")这段代码实现了SMOTE算法的核心逻辑,包括:
- 确定少数类和多数类。
- 计算需要生成的少数类样本数量。
- 训练KNN模型,找到每个少数类样本的K个最近邻。
- 随机选择一个最近邻,生成合成样本。
- 合并原始数据和合成数据,生成平衡数据集。
3.2.2 欠采样技术
欠采样是通过减少多数类样本数量来平衡数据分布,常用的方法包括:
- 随机欠采样:随机删除多数类样本,简单但容易丢失重要信息。
- Tomek Links:删除靠近边界的多数类样本,提高类间分离度。
- ENN(Edited Nearest Neighbors):删除被多数类最近邻包围的少数类样本,减少噪声。
- NearMiss:选择与少数类样本最近的多数类样本,保留重要信息。
3.3 算法层面解决方案
算法层面的解决方案主要通过调整损失函数或学习策略来解决类别不平衡问题,包括加权损失、Focal Loss等。
3.3.1 加权损失函数
加权损失函数通过为不同类别分配不同的权重,使模型更加关注少数类。常用的加权损失函数包括:
- 加权交叉熵损失:为少数类分配更高的权重。
- Focal Loss:通过调制因子降低容易分类样本的权重,关注难分类样本。
- GHM Loss(Gradient Harmonizing Mechanism):基于梯度密度调整损失权重,平衡不同难度样本的贡献。
下面是加权交叉熵损失和Focal Loss的实现示例:
import torch
import torch.nn as nn
import torch.nn.functional as F
class WeightedCrossEntropyLoss(nn.Module):
"""
加权交叉熵损失
weight: 类别权重,形状为(n_classes,)
"""
def __init__(self, weight=None):
super(WeightedCrossEntropyLoss, self).__init__()
self.weight = weight
def forward(self, input, target):
return F.cross_entropy(input, target, weight=self.weight)
class FocalLoss(nn.Module):
"""
Focal Loss
alpha: 类别权重,形状为(n_classes,)
gamma: 调制因子,默认2
"""
def __init__(self, alpha=None, gamma=2.0, reduction='mean'):
super(FocalLoss, self).__init__()
self.alpha = alpha
self.gamma = gamma
self.reduction = reduction
def forward(self, input, target):
# 计算交叉熵损失
ce_loss = F.cross_entropy(input, target, weight=self.alpha, reduction='none')
# 计算预测概率
p_t = torch.exp(-ce_loss)
# 计算Focal Loss
loss = (1 - p_t) ** self.gamma * ce_loss
# 应用reduction
if self.reduction == 'mean':
return loss.mean()
elif self.reduction == 'sum':
return loss.sum()
else:
return loss
# 示例用法
if __name__ == "__main__":
# 生成示例数据
input = torch.randn(10, 2, requires_grad=True)
target = torch.randint(0, 2, (10,))
print(f"输入形状: {input.shape}")
print(f"目标标签: {target}")
# 计算普通交叉熵损失
ce_loss = F.cross_entropy(input, target)
print(f"普通交叉熵损失: {ce_loss.item()}")
# 计算加权交叉熵损失
# 假设类别0为多数类,类别1为少数类,分配更高权重
weight = torch.tensor([1.0, 5.0])
weighted_ce_loss = WeightedCrossEntropyLoss(weight=weight)
loss = weighted_ce_loss(input, target)
print(f"加权交叉熵损失: {loss.item()}")
# 计算Focal Loss
focal_loss = FocalLoss(alpha=weight, gamma=2.0)
loss = focal_loss(input, target)
print(f"Focal Loss: {loss.item()}")这段代码实现了加权交叉熵损失和Focal Loss,包括:
- 加权交叉熵损失:为少数类分配更高的权重,使模型更加关注少数类样本。
- Focal Loss:通过调制因子(1 - p_t)^gamma,降低容易分类样本的权重,关注难分类样本。
3.3.2 集成学习方法
集成学习通过组合多个模型来提高整体性能,在不平衡数据上表现良好。常用的集成学习方法包括:
- Bagging:使用 bootstrap 采样生成多个训练集,训练多个模型,然后投票或平均。
- Boosting:迭代训练多个模型,每个模型关注前一个模型错误分类的样本。
- Stacking:将多个模型的输出作为特征,训练一个元分类器。
- Balanced Random Forest:在随机森林中,每个决策树使用平衡的bootstrap样本。
3.4 模型层面解决方案
模型层面的解决方案主要通过调整模型结构来提高对少数类的关注,包括注意力机制、对抗训练等。
3.4.1 注意力机制
注意力机制可以使模型更加关注少数类样本,提高其识别能力。常用的注意力机制包括:
- 通道注意力:关注特征图的不同通道,增强重要通道的特征。
- 空间注意力:关注特征图的不同区域,增强重要区域的特征。
- 自注意力:计算每个样本与其他样本的关系,增强样本间的相关性。
下面是通道注意力机制的实现示例:
import torch
import torch.nn as nn
import torch.nn.functional as F
class ChannelAttention(nn.Module):
"""
通道注意力模块
in_channels: 输入通道数
ratio: 压缩比率,默认16
"""
def __init__(self, in_channels, ratio=16):
super(ChannelAttention, self).__init__()
# 全局平均池化
self.avg_pool = nn.AdaptiveAvgPool2d(1)
# 全局最大池化
self.max_pool = nn.AdaptiveMaxPool2d(1)
# 共享MLP
self.mlp = nn.Sequential(
nn.Conv2d(in_channels, in_channels // ratio, 1, bias=False),
nn.ReLU(),
nn.Conv2d(in_channels // ratio, in_channels, 1, bias=False)
)
# Sigmoid激活
self.sigmoid = nn.Sigmoid()
def forward(self, x):
# 计算平均池化特征
avg_out = self.mlp(self.avg_pool(x))
# 计算最大池化特征
max_out = self.mlp(self.max_pool(x))
# 相加并经过Sigmoid激活
out = self.sigmoid(avg_out + max_out)
# 与输入特征相乘
return x * out
class ResNetBlock(nn.Module):
"""
带有通道注意力的ResNet块
in_channels: 输入通道数
out_channels: 输出通道数
stride: 步长,默认1
"""
def __init__(self, in_channels, out_channels, stride=1):
super(ResNetBlock, self).__init__()
# 主分支
self.conv1 = nn.Conv2d(in_channels, out_channels, kernel_size=3, stride=stride, padding=1, bias=False)
self.bn1 = nn.BatchNorm2d(out_channels)
self.relu = nn.ReLU(inplace=True)
self.conv2 = nn.Conv2d(out_channels, out_channels, kernel_size=3, stride=1, padding=1, bias=False)
self.bn2 = nn.BatchNorm2d(out_channels)
# 通道注意力
self.ca = ChannelAttention(out_channels)
# 短路连接
self.shortcut = nn.Sequential()
if stride != 1 or in_channels != out_channels:
self.shortcut = nn.Sequential(
nn.Conv2d(in_channels, out_channels, kernel_size=1, stride=stride, bias=False),
nn.BatchNorm2d(out_channels)
)
def forward(self, x):
out = self.relu(self.bn1(self.conv1(x)))
out = self.bn2(self.conv2(out))
out = self.ca(out) # 应用通道注意力
out += self.shortcut(x)
out = self.relu(out)
return out
# 示例用法
if __name__ == "__main__":
# 生成示例数据
x = torch.randn(1, 64, 32, 32)
print(f"输入形状: {x.shape}")
# 创建通道注意力模块
ca = ChannelAttention(in_channels=64)
out = ca(x)
print(f"通道注意力输出形状: {out.shape}")
# 创建带有通道注意力的ResNet块
res_block = ResNetBlock(in_channels=64, out_channels=128, stride=2)
out = res_block(x)
print(f"ResNet块输出形状: {out.shape}")这段代码实现了通道注意力机制,包括:
- 通道注意力模块:使用全局平均池化和全局最大池化,然后通过MLP生成通道权重。
- 带有通道注意力的ResNet块:将通道注意力集成到ResNet块中,增强模型对重要通道的关注。
3.4.2 对抗训练
对抗训练通过生成对抗样本,增强模型的鲁棒性,在不平衡数据上表现良好。常用的对抗训练方法包括:
- FGSM(Fast Gradient Sign Method):快速生成对抗样本,计算简单。
- PGD(Projected Gradient Descent):迭代生成对抗样本,攻击能力强。
- TRADES:平衡模型的准确性和鲁棒性。
3.5 系统层面解决方案
系统层面的解决方案主要通过多模型融合和业务规则集成来解决类别不平衡问题,包括:
- 规则+ML融合:结合传统规则引擎和机器学习模型,提高少数类的检测率。
- 多模型投票:使用多个模型进行投票,提高整体性能。
- 分层检测:先使用简单模型过滤大量正常样本,再使用复杂模型检测少数类样本。
- 动态调整阈值:根据业务需求动态调整模型的决策阈值,平衡精确率和召回率。
4. 与主流方案深度对比
4.1 数据层面解决方案对比
方法 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
随机过采样 | 简单直观,易于实现 | 容易导致过拟合 | 少数类样本数量极少的场景 |
SMOTE | 生成合成样本,避免过拟合 | 合成样本质量有限,可能生成噪声 | 中等不平衡场景 |
ADASYN | 自适应生成样本,关注边界样本 | 计算复杂度较高 | 边界样本重要的场景 |
Borderline-SMOTE | 只对边界样本过采样,提高样本质量 | 可能丢失一些重要的内部样本 | 类间重叠严重的场景 |
GAN增强 | 生成高质量合成样本 | 训练复杂,需要大量计算资源 | 数据量较大的场景 |
随机欠采样 | 简单直观,计算效率高 | 容易丢失重要信息 | 多数类样本数量极大的场景 |
Tomek Links | 提高类间分离度 | 可能删除有用样本 | 类间重叠严重的场景 |
ENN | 减少噪声样本 | 可能删除有用的少数类样本 | 噪声较多的场景 |
NearMiss | 保留重要的多数类样本 | 计算复杂度较高 | 多数类样本分布不均的场景 |
4.2 算法层面解决方案对比
方法 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
加权交叉熵 | 简单直观,易于实现 | 权重需要手动调整 | 各种场景,尤其是深度学习 |
Focal Loss | 自动调整样本权重,关注难分类样本 | gamma参数需要调整 | 极度不平衡场景 |
GHM Loss | 基于梯度密度调整权重,平衡不同难度样本 | 计算复杂度较高 | 样本难度差异较大的场景 |
Bagging | 减少方差,提高泛化能力 | 计算效率低 | 大规模数据场景 |
Boosting | 减少偏差,提高少数类召回率 | 容易过拟合 | 中小规模数据场景 |
Balanced Random Forest | 平衡每个决策树的样本分布 | 计算效率低 | 结构化数据场景 |
4.3 模型层面解决方案对比
方法 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
通道注意力 | 增强模型对重要通道的关注 | 增加模型复杂度 | 深度学习场景 |
空间注意力 | 增强模型对重要区域的关注 | 增加模型复杂度 | 图像和视频分析场景 |
自注意力 | 增强样本间的相关性 | 计算复杂度高 | 序列数据场景 |
对抗训练 | 提高模型的鲁棒性和泛化能力 | 增加训练时间 | 对抗性环境 |
动态加权 | 自适应调整样本权重 | 需要额外的计算资源 | 动态变化的不平衡场景 |
5. 实际工程意义、潜在风险与局限性分析
5.1 实际工程意义
类别不平衡解决方案在安全领域具有重要的工程意义:
- 提高检测率:通过解决类别不平衡问题,提高模型对少数类(攻击样本)的检测率,减少漏报。
- 降低误报率:通过优化模型结构和损失函数,降低模型的误报率,减轻安全团队的负担。
- 增强鲁棒性:通过对抗训练和集成学习,提高模型对对抗攻击的抵抗力。
- 适应动态环境:通过自适应技术,使模型能够适应动态变化的不平衡数据。
- 降低部署成本:通过分层检测和多模型融合,降低模型的部署成本和计算资源消耗。
5.2 潜在风险
类别不平衡解决方案也存在一些潜在风险:
- 过拟合风险:过采样和加权损失可能导致模型过拟合少数类样本。
- 计算成本增加:深度学习驱动的解决方案需要大量的计算资源。
- 模型复杂度增加:注意力机制和对抗训练增加了模型的复杂度,不利于部署和维护。
- 超参数调整困难:多种解决方案的超参数调整困难,需要大量的实验。
- 对抗性风险:攻击者可能主动攻击模型的不平衡处理机制,导致模型失效。
5.3 局限性
类别不平衡解决方案还存在一些局限性:
- 极端不平衡场景效果有限:当少数类样本比例低于0.01%时,现有解决方案的效果有限。
- 数据质量依赖:解决方案的效果依赖于数据质量,低质量数据可能导致解决方案失效。
- 业务需求动态变化:安全需求不断变化,解决方案需要不断调整。
- 可解释性差:深度学习解决方案的可解释性差,不利于安全团队理解和信任。
- 跨域迁移困难:在不同域之间,解决方案的效果可能差异较大。
6. 未来趋势展望与个人前瞻性预测
6.1 趋势1:自适应不平衡学习
未来,自适应不平衡学习将成为研究热点,包括:
- 动态采样策略:根据实时数据分布动态调整采样策略。
- 自适应损失函数:自动调整损失函数的权重,适应动态变化的不平衡数据。
- 模型结构自适应:根据数据分布自动调整模型结构,提高对少数类的关注。
6.2 趋势2:联邦学习中的不平衡处理
联邦学习场景下的不平衡处理将成为重要研究方向,包括:
- 跨设备不平衡处理:解决不同设备上的样本分布不平衡问题。
- 隐私保护的不平衡学习:在保护数据隐私的前提下,解决不平衡问题。
- 联邦集成学习:使用联邦集成学习,提高模型在不平衡数据上的性能。
6.3 趋势3:生成式不平衡学习
生成式模型在不平衡学习中的应用将更加广泛,包括:
- 扩散模型增强:利用扩散模型生成高质量的少数类样本。
- 条件生成模型:生成符合特定条件的少数类样本,提高模型的泛化能力。
- 多模态生成:生成多模态的少数类样本,适应复杂的安全场景。
6.4 趋势4:可解释的不平衡学习
可解释性将成为不平衡学习的重要研究方向,包括:
- 可解释的注意力机制:提高注意力机制的可解释性,使安全团队能够理解模型的决策过程。
- 可解释的生成模型:生成可解释的少数类样本,便于安全团队验证样本的质量。
- 可视化工具:开发可视化工具,帮助安全团队理解模型在不平衡数据上的表现。
6.5 趋势5:对抗性不平衡学习
对抗性不平衡学习将成为未来的重要研究方向,包括:
- 防御性不平衡学习:提高模型对对抗攻击的抵抗力。
- 自适应对抗训练:根据数据分布动态调整对抗训练策略。
- 多目标对抗训练:平衡模型的准确性、鲁棒性和公平性。
7. 参考链接
8. 附录
8.1 常用不平衡指标
指标 | 计算公式 | 含义 |
|---|---|---|
不平衡比(IR) | IR = 多数类样本数 / 少数类样本数 | 衡量数据不平衡程度 |
G-mean | G-mean = √(TPR × TNR) | 平衡精确率和召回率 |
F1-score | F1 = 2 × (精确率 × 召回率) / (精确率 + 召回率) | 平衡精确率和召回率 |
AUC | 曲线下面积 | 衡量模型的排序能力 |
PR曲线 | 精确率-召回率曲线 | 评估不平衡数据上的模型性能 |
8.2 环境配置
# 安装必要的依赖
pip install numpy pandas scikit-learn torch torchvision matplotlib seaborn
# 安装不平衡学习库
pip install imbalanced-learn
# 安装对抗训练库
pip install robustbench8.3 代码实现:集成学习解决不平衡问题
from sklearn.datasets import make_classification
from sklearn.model_selection import train_test_split
from sklearn.ensemble import RandomForestClassifier, AdaBoostClassifier, GradientBoostingClassifier
from sklearn.metrics import classification_report, confusion_matrix, roc_auc_score
from imblearn.ensemble import BalancedRandomForestClassifier, EasyEnsembleClassifier
# 生成不平衡数据
X, y = make_classification(n_samples=10000, n_features=20, n_informative=15,
n_redundant=5, n_classes=2, weights=[0.99, 0.01],
random_state=42)
# 划分训练集和测试集
X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.3, random_state=42)
print(f"训练集类别分布: {dict(zip(*np.unique(y_train, return_counts=True)))}")
print(f"测试集类别分布: {dict(zip(*np.unique(y_test, return_counts=True)))}")
# 定义模型列表
models = {
"Random Forest": RandomForestClassifier(random_state=42),
"Balanced Random Forest": BalancedRandomForestClassifier(random_state=42),
"AdaBoost": AdaBoostClassifier(random_state=42),
"Gradient Boosting": GradientBoostingClassifier(random_state=42),
"EasyEnsemble": EasyEnsembleClassifier(random_state=42)
}
# 训练和评估模型
results = {}
for name, model in models.items():
print(f"\n训练模型: {name}")
model.fit(X_train, y_train)
# 预测
y_pred = model.predict(X_test)
y_pred_proba = model.predict_proba(X_test)[:, 1]
# 评估
report = classification_report(y_test, y_pred, target_names=['正常', '攻击'])
auc = roc_auc_score(y_test, y_pred_proba)
cm = confusion_matrix(y_test, y_pred)
results[name] = {
'report': report,
'auc': auc,
'confusion_matrix': cm
}
print(f"AUC: {auc:.4f}")
print("分类报告:")
print(report)
print("混淆矩阵:")
print(cm)
# 比较不同模型的AUC
print("\n各模型AUC比较:")
for name, result in results.items():
print(f"{name}: {result['auc']:.4f}")这段代码实现了多种集成学习方法在不平衡数据上的应用,包括:
- Random Forest:普通随机森林。
- Balanced Random Forest:平衡随机森林,每个决策树使用平衡的bootstrap样本。
- AdaBoost:自适应提升算法。
- Gradient Boosting:梯度提升算法。
- EasyEnsemble:基于集成的不平衡学习方法。
通过比较不同模型的AUC和分类报告,可以选择最适合特定场景的集成学习方法。
9. 关键词
类别不平衡, 稀有攻击检测, SMOTE, 加权损失, Focal Loss, 集成学习, 注意力机制, 对抗训练, 安全机器学习, 不平衡学习
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2026-01-17,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号