基于改進單類支持向量機的工業控制網絡入侵檢測方法

劉萬軍，秦濟韜，曲海成

(遼寧工程技術大學軟件學院，遼寧葫蘆島125105)

(*通信作者電子郵箱lgc_qinjitao@sina．com)

0 引言

目前，大部分關鍵的基礎設施和工業系統，例如石油天然氣管道、自來水處理系統、水庫閥門控制、電力電網以及核電廠等，都通過監控和數據采集系統(Supervisory Control And Data Acquisition，SCADA)來控制［1］。這些系統允許遠程監控，并為地理上分散的設施提供遠程訪問和控制，這使得這些設施中的運營商能夠實時監控和控制整個系統，而這種控制網絡對外是完全封閉的。隨著工業控制系統和計算機網絡的發展，為了方便對工業生產過程進行控制，工控組態網絡與IT網絡結合起來，工業控制網絡(以下簡稱工控網絡)就變成了完全開放或者半開放的網絡;但是，工控網絡缺乏相應的防護措施和安全機制，因此近些年來對于工業控制設備的攻擊越來越多，特別是2010年伊朗震網病毒的爆發［1］，暴露出工控網絡中存在的重大缺陷，同時，給網絡入侵檢測帶來了新的難題和挑戰。

網絡入侵檢測主要完成以下功能:識別入侵者，識別入侵行為，檢測和監視已經成功的安全突破，提供重要的安全信息。在入侵檢測方法上工控網絡與計算機網絡相比沒有本質區別，它們都是通過收集和分析網絡行為、安全日志、審計數據、其他網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象［2－3］。目前，大部分入侵檢測的工作都是基于正常網絡數據流量的特性來建立異常檢測模型，而單分類方法在計算機網絡入侵檢測中獲得了廣泛的關注［4－6］，而且取得了比較好的檢測效果。

工業網絡入侵檢測的研究并沒有成熟的理論體系，因此，現在與工控網絡入侵檢測的研究大部分采用傳統網絡入侵檢測的方法。在單分類方法中，單分類支持向量機(One-Class Support Vector Machine，OCSVM)廣泛應用于異常檢測中［5－6］，但是OCSVM應用于異常檢測時，無法克服內部異常點和離群點對決策函數產生影響的缺陷:2015年，尚文利等［5］使用粒子群優化(Particle Swarm Optimization，PSO)算法自動尋找OCSVM算法的參數，并建立入侵檢測模型，但是該方法沒有解決OCSVM易受到孤立點的影響而且無法檢測內部異常點的問題;Bartman等［7］介紹了如何將網絡入侵檢測方法與SCADA(Supervisory Control And Data Acquisition)網絡結合，完成工業入侵檢測的任務，同時也討論了工業網絡攻擊者的攻擊方式以及工業網絡的脆弱性;萬明等［8］研究了Modbus/TCP協議中的功能碼特性。利用深度包解析技術(Deep Packet Inspection，DPI)解析協議中的功能碼，然后利用模式匹配的方法進行規則匹配，以判斷異?；蛘?，利用規則的入侵檢測實時性高，能夠檢測出部分攻擊，但是僅僅利用功能碼解析，反而產生了漏報行為;Kim等［9］利用了分層誤用檢測和異常檢測相互結合的入侵檢測方法，該算法使用C4．5構建誤用檢測模型，將正常訓練數據分成多個子集，然后使用子集數據創建多個OCSVM模型，該過程雖然避免了內部異常點檢測的難題，但孤立點對OCSVM的影響卻沒有消除;吳麗云等［10］利用偏最小二乘回歸(Partial Least Squares Regression，PLSR)提取數據主成分進行特征選擇，構造數據集，并考慮到支持向量機(Support Vector Machine，SVM)算法不適用于大樣本數據的缺陷，利用SVM在大規模數據上的改進核向量機(Core Vector Machine，CVM)算法，構造網絡入侵檢測模型。實驗結果表明，該方法具有較高的精確率、較低的誤報和漏報率以及較高的實時性，避免了孤立點的影響，但是忽略了內部異常點導致的檢測精度不高的問題。

為了避免OCSVM對孤立點敏感的缺點以及內部異常點無法檢測的問題，本文主要從單分類支持向量機(OCSVM)入手，結合工控網絡入侵檢測的背景，提出了一種基于具有噪聲的密度聚類(Density-Based Spatial Clustering of Applications with Noise，DBSCAN)和K-means聚類與OCSVM算法的組合入侵檢測方法(DBSCAN K-means One-Class-Support-Vector-Machine，DKOCSVM)來滿足工控網絡中異常檢測的需求。

1 單分類支持向量機在入侵檢測中的應用

單分類支持向量機(OCSVM)算法是SVM在單類分類方面的一種改進［12－13］。它在小樣本下存在最好的分類效果和泛化能力;同樣利用了核函數的方法解決數據線性不可分的問題，避免了直接計算高維空間映射的難題［14－15］。

OCSVM最大化樣本點和原點之間的距離，以此構建超平面［15］。在原點至超平面一側的數據被劃分為一類，超平面外層的被劃分為另一類，圖1給出了OCSVM二維空間中的一個示例。在圖中，OCSVM為單類別數據構建模型，來區分出原點和數據樣本。

OCSVM算法通過單類數據集D={x1，x2，…，xn}構建決策函數f(x)=ωTφ(x)－ρ，其中ω為f(x)的法向量，ρ為偏移項，φ(x)是樣本在高維空間中的映射。為了將樣本點與原點盡可能分離，OCSVM被簡化為求解如式(1)的二次規劃問題。

其中，εi變量是為了避免函數過擬合，在目標函數中加入的懲罰項，也可以稱作松弛變量;n是訓練數據集的大小;v則是正則化參數，通常取值范圍為［0，1］。顯然，式(1)是一個凸二次規劃問題。為解決式(1)中模型，利用拉格朗日乘數法，構造出的拉格朗日函數具有如下形式:

αi和 γi均為拉格朗日乘數。令式(2)對 ρ、εi、ω 的偏導數均為0，將這些關系代入式(2)中，最終可以得到式(1)的對偶問題(3)。其中，k(xi，xj)表示核函數，引入該函數是為了解決低維數據線性不可分的問題。

利用OCSVM方法進行新樣本的檢測時，決策函數通過核函數可以轉化為如下形式:

當f(x)≥0時，該樣本被認為是正常樣本，即位于訓練數據集一側;當f(x)＜0時，樣本被判定為超平面和原點之間的異常值。

圖1 OCSVM在二維空間中的分類原理Fig．1 Classification principle of OCSVM in two-dimensional space

2 K-means聚類

K-means算法對需要進行聚類的數據有一個基本假設:在每一個聚類簇中存在類中心點，使得該類簇中的所有樣本點到該中心點的距離最小(https://en．wikipedia．org/wiki/K-means_clustering)。K-means聚類方法本質上解決的是一個最小化聚類誤差的優化問題。該聚類誤差如式(5)表示:

當滿足聚類誤差最小時，此時的聚類被認為具有最高的類內樣本相似度并具有最優的聚類結果。通過以下的迭代步驟可以尋找滿足聚類誤差最小條件下的聚類結果:1)生成初始聚類中心;2)計算樣本點到這些中心的距離，距離相近的歸為一類;3)重復上述過程，直到終止約束。

K-means聚類算法通過最小化類內誤差確定類別，因此可以保證類內高聚合性;當數據分布密集時聚類效果很好;但是，K-means聚類算法效果與聚類初始中心相關，而且孤立點和噪聲點會干擾聚類的過程，導致聚類不準確。

3 基于密度的聚類(DBSCAN聚類)

DBSCAN是一種基于密度的空間聚類算法(https://en．wikipedia．org/wiki/DBSCAN)。通常，密度聚類算法從樣本密度的角度來考慮樣本之間的關系，并且基于密度連通性，樣本不斷擴展聚類簇以獲得最終的聚類結果。

對于數據集D={x1，x2，…，xn}，DBSCAN的目標是將上述數據集D分成k個類別以及噪聲點的集合。該算法有2個重要參數:考察密度時的鄰域半徑Eps和定義核心點時候的閾值MinPts。DBSCAN算法將所有分成3種點:核心點(在半徑Eps大小內含有超過MinPts數目的點)、邊界點(在半徑Eps內點的數量小于MinPts，但是落在核心點的鄰域內)和噪聲點(既不是核心點也不是邊界點)。

直觀上講，核心點對應著數據稠密區域的點集，邊界點是核心點區域邊界上的點，而噪聲點則為數據中稀疏區域中的點，如圖2所示。對于DBSCAN算法，還有以下3個重要的概念:1)Eps鄰域。與一個點的距離小于等于Eps距離的所有點的集合。2)直接密度可達。如果一個點在核心點的Eps鄰域內，則稱該點到核心點是直接密度可達的。3)密度可達。對于多個點p1，p2，…，pn，pi+1是從pi關于Eps和MinPts直接密度可達的，則點pn是p1密度可達的。

圖2 噪聲點、邊界點和核心點示意圖Fig．2 Schematic diagram of outlier，boundary and core points

DBSCAN的基本執行步驟為:1)所有點標記為核心點、邊界點以及噪聲點;2)刪除噪聲點;3)為距離在Eps之內的所有核心點之間賦予一條邊;4)每組連通的核心點形成一個簇;5)每個邊界點指派到一個與之關聯的核心點簇中。

由于DBSCAN算法是一種基于密度聚類的方法，因此該算法可以根據數據的空間特點選擇出聚類中心和聚類個數。雖然不像K-means受限于起始點的選擇，但是鄰域半徑Eps值的確定能夠影響DBSCAN聚類的效果。

4 改進的工業控制網絡入侵檢測方法

在大部分研究中，研究人員將工業控制網絡入侵檢測作為分類任務處理。得益于機器學習算法在分類任務的優良效果，能夠分類出正常和異常的數據。但是由于機器學習需要正負樣本共同學習，而工業控制網絡中負樣本很難獲得，因此實際該網絡的入侵檢測都是基于大量正常樣本構建異常入侵檢測模型，而OCSVM算法能夠完成這種工作。但是在工控網絡環境下，利用OCSVM算法構建異常入侵檢測模型卻存在很多缺陷。

4．1 OCSVM 的缺陷

雖然OCSVM同SVM一樣，具有比較好的分類效果和泛化能力，但是OCSVM算法在某些數據上存在一些分類上的缺陷。

1)離群點影響決策函數的生成。

在OCSVM訓練過程中，訓練數據的一些離群點會對決策面的構建造成影響。以圖3為例，在圖中，虛線方框中的幾個樣本點距離絕大部分樣本點較遠，屬于遠離樣本空間的離群點;當計算決策面時，這幾個點作為支持向量(圖中虛線圓框標識)來確定決策面;由于這幾個支持向量更加靠近原點，導致決策面向原點偏移。顯然，決策面如果向樣本點集中的方向偏移(如加粗實線所示)，更加符合OCSVM分類的目的。

圖3 二維空間下離群點對于OCSVM算法的影響Fig．3 Influence of outliers on OCSVM algorithm in two-dimensional space

在文獻［15］中提到了兩種改進OCSVM的方法:一種是改變懲罰函數，將懲罰函數構造成與樣本點與樣本分布相關的函數，這樣可以促使決策平面向密度集中的方向偏移;第二種是通過某種方法剔除離群樣本點，直接排除離群點對決策面構造的影響。

2)內部存在的異常數據無法檢測到。

一般來說，異常點大多數處于正常點集合的邊界上。但是OCSVM構造的是包含絕大部分正常樣本的決策面，如果異常點處于正常數據點的內部，則通過OCSVM是無法判斷出的，這些點被叫作內部(局部)異常點。

在圖4中由于異常點包含在正常數據集內部，因而直接使用OCSVM算法無法對此類點進行判斷。

圖4 正常數據集中異常點分布情況示意Fig．4 Distribution of abnormal points in normal data sets

4．2 本文對OCSVM的改進

為了實現在工業控制網絡中的異常入侵檢測，同時也為了解決上述OCSVM算法存在的問題。本文結合了DBSCAN、K-means和OCSVM方法，旨在提高工業控制網絡入侵檢測中基于OCSVM檢測方法［5］的檢測性能。

1)K-means聚類算法是基于原型聚類的算法之一，是最簡單也是最常用的聚類算法，而且K-means方法也被廣泛使用在入侵檢測中［16－17］。利用K-means算法將正常數據集進行聚類，獲得多個正常數據類簇。在這些類簇的基礎上分別建立OCSVM分類器，可以判斷出一些在類簇之間存在的異常數據，進行樣本檢測時，K-means通過計算聚類中心點與檢測樣本點的距離來判斷屬于哪一個類簇，方便進行算法擴展。

2)利用具有噪聲的基于密度的聚類方法(DBSCAN算法)，剔除離群點，避免離群點對K-means和OCSVM算法的影響;而且該算法可以為K-means獲取最好的聚類個數，解決了K-means聚類數目難以確定以及對離群點敏感的問題。但是DBSCAN從整個樣本進行模型更新，難以進行擴展，因此組合K-means算法對OCSVM算法進行改進。

圖5 DKOCSVM構建流程Fig．5 Construction process of DKOCSVM

組合算法首先使用DBSCAN算法進行處理，處理后可以獲得合適的聚類個數并且消除訓練數據集中的離群點，減少了離群點對于OCSVM和K-means的影響，而且為K-means指定了合適的聚類數。然后，K-means算法將正常樣本數據劃分為多個類簇，利用OCSVM算法為每個類簇建立單類分類器;當利用該模型進行數據檢測時，首先判斷新數據屬于哪個類簇，然后利用該類簇對應的單分類器進行檢測，這樣可以檢測出部分內部異常點。同樣，K-means和OCSVM都會受到離群點的影響。

如圖6所示，在DKOCSVM的工作過程中，算法首先利用DBSCAN算法進行訓練數據集的處理，目的是選取剔除孤立點或離群點的訓練數據，并且獲得合適的聚類個數K;然后使用K-means聚類為訓練數據進行聚類，尋找到訓練數據中的K個類簇;利用OCSVM算法為每個類簇建立單分類器。在數據測試中首先判斷該樣本屬于哪個類簇，然后使用該類簇的分類器進行判別。因此，該方法屬于聚類方法和分類方法的組合入侵檢測方法，滿足實用性要求。

實驗結果表明，利用DBSCAN和K-means組合的方式進行工業控制網絡數據的去離群點和分類，然后構造多個OCSVM入侵檢測器的方式，可以提高異常檢測中分類的精度。在組合算法中，DBSCAN算法時間復雜度為O(nt)，其中n代表著需要聚類樣本的個數，而t指代尋找到鄰域內所有點的時間消耗，最壞情況下，可以達到O(n2)，但是平均情況下，時間復雜度為O(n log n);對于K-mean算法而言，其時間復雜度為O(tnkm)，其中t代表算法迭代次數，k代表選擇的聚類個數，m代表每個元素的特征數目;而OCSVM算法求解的是一個二次規劃問題，其時間復雜度與算法計算出的支持向量的個數相關，也就是說與樣本個數存在相關性。

圖6 DKOCSVM的入侵檢測模型Fig．6 Intrusion detection model of DKOCSVM

5 實驗過程

5．1 實驗數據集概述

實驗所用工業控制網絡數據集是密西西比州立大學公開的工業控制網絡安全數據集［18］:氣體管道數據集(gas pipeline)和儲水罐數據集(water)。數據集包括網絡流量，過程控制和過程測量數據特征，這些功能來自使用Modbus應用層協議的兩個工業控制系統的一組28次攻擊。這個數據集可以方便和有效地比較SCADA的入侵檢測解決方案(該數據集出自 https://sites．google．com/a/uah．edu/tommy-morrisuah/ics-data-sets)。

本文使用的數據集的組織形式都有兩個部分:網絡流量特性和有效內容特性;網絡流量特性與SCADA網絡通信有關，而有效內容特性與具體的工業控制過程有關。在有效內容特性中，包含著系統的測量值、關鍵系統工作狀態參數、系統模式等關鍵信息。

1)氣體管道數據集。氣體管道數據集包含了天然氣氣體傳輸管道控制過程的關鍵數據，包含有26個特征。在氣體管道數據集中，核心屬性是氣體管道中的壓強。氣體管道數據存在三種模式，入侵攻擊大多數基于三種正常模式構建。

2)儲水罐數據集。儲水罐數據集模擬了液體在儲水罐中的狀態:當液體位于儲水罐高低警戒位置之間時，系統正常;當超過最高警戒或低于最低警戒位，系統給出相應警報。該數據集包含23個屬性值，核心屬性是當前水位測量值、最高警戒水位和最低警戒水位。表1羅列出數據集中每類攻擊的數目。

表1 兩類數據集中各種攻擊數據數目Tab．1 Numbers of various attacks in two data sets

5．2 實驗仿真與參數調整

實驗環境:Intel Pentium CPU G630 2．70 GHz，2 GB 內存，500 GB硬盤，Windows7操作系統。在仿真中，主要采用Python編程語言，實現SVM和OCSVM算法主要來自機器學習庫sklearn中的SVM模塊，而兩種聚類:DBSCAN和K-means則來自機器學習庫中的cluster模塊。實驗中涉及到的核函數均采用徑向基函數(Radical Basis Function，RBF)。

組合方法DKOCSVM中，需要調整的參數為鄰域半徑Eps、核心點閾值MinPts和學習率nu;在gas pipline數據集中，鄰域半徑設置為0．2，MinPts為10，學習率為0．1;在water數據集中，鄰域半徑設置為0．2，MinPts為25，學習率為0．07。

5．3 實驗方案設計

數據集驗證 為了比較DKOCSVM算法是否能夠提高工業控制網絡入侵檢測的效率，本文使用工控網絡數據集gas pipeline和water數據集進行算法的驗證。

對比實驗 為了進行實驗的對比，本文從二分類SVM(CSVM)、K-means和OCSVM分類器組合、基于K-means的入侵檢測方法、單分類器OCSVM方法作為對比算法，來討論DKOCSVM算法在工控入侵檢測中的整體效果。另外，本文還引入了基于核函數的單分類方法和基于核主成分分析(Kernel Principal Component Analysis，KPCA)的單分類方法［6］作為對比實驗(表2、表3中帶*)，目的是為了觀察這兩種計算機網絡異常檢測方法是否適合本文背景下的入侵檢測模型。

評價標準 在測試集評判時，本文通過以下幾種指標來進行度量:檢測過程花費CPU時間、整體檢測率(accuracy)、算法查準率(precision)、算法誤報率(False Positive Rate，FPR)、算法漏報率(False Negative Rate，FNR)。其中accuracy為正確檢測出的樣本個數與樣本總數的百分比;precision是檢測出的正常樣本數占正常樣本總數的百分比;而FPR為誤報為異常的正常樣本數與正常樣本總數的比值;FNR與FPR類似，是漏報的異常樣本數和異常樣本總數的比值。

實驗具體方案 1)分別獲得gas pipeline和water數據集中的測試集與訓練集;2)為測試集和訓練集重新構建標簽，當數據條目為正常時標記為1，反之則為－1;3)選擇訓練集中所有正常數據，作為單分類方法的訓練數據;4)利用單分類方法為該訓練數據構造單分類器，建立單分類模型;5)利用測試集檢測單分類器的效果，給出各種評價指標;6)實驗探究特征個數對算法的影響。

5．4 實驗結果分析

實驗結果(表2和表3所示)表明:二分類C-SVM算法(有監督分類)中，由于C-SVM帶有數據標簽，因而其分類效果要比其他算法總體上要好，但是C-SVM算法要求需要數據均衡的正反樣本進行模型學習，實際網絡環境中難以辦到。C-SVM的結果可以作為衡量其他入侵檢測方法的尺度。

傳統基于核的單分類法(Simple One Class)和基于KPCA的單分類法(KPCA One Class)在上述兩類數據集上的分類效果都不是很好，從誤報率和漏報率來看，它們明顯是將大部分數據判斷為正例;而且二者的整體花費時間要遠遠高于其他算法的花費時間。結果說明，這兩種計算機網絡異常入侵檢測并不適合工業控制網絡異常入侵檢測的背景;無法針對工業網絡的特點構造分類模型。而這兩種算法都是通過計算整個數據空間中每兩個樣本的距離來描述樣本的分布，但是從結果表現看來，并沒有太高的泛化能力。

基于K-means方法的入侵檢測方法通過對正樣本數據空間進行聚類，然后計算負樣本到這些類別中心點的距離來調整分類邊界，因此該算法的結果依賴于閾值的選擇。本文就是通過不斷選擇閾值來得到K-means入侵方法最優的檢測效果;K-means和OCSVM組合方法類似于本文提到的DKOCSVM方法，但是沒有考慮到離群點對組合方法的影響。該組合方法，在gas pipeline數據集中的分類效果比原始OCSVM和基于K-means入侵檢測方法的總體檢測率要更優，在water數據集中檢測效果三者大致相同。利用K-means算法可以降低OCSVM訓練樣本的數量，提高了OCSVM分類器的訓練速度，但是隨著K-means算法的加入，整體花費的時間比之前要多。

表2 不同算法在數據集gas pipeline上的訓練效果Tab．2 Training effect of different algorithms on gas pipline

表3 不同算法在數據集water上的訓練效果Tab．3 Training effect of different algorithms on water dataset

在DKOCSVM算法的實驗效果中，gas數據集的檢測效果得到了明顯的提升，而water數據集各個指標基本保持不變。由于gas數據中存在明顯的工作模式分布，異常點大多分布在這些模式邊界或邊界與邊界之間，利用DKOCSVM算法可以剔除這些點;而water數據集中沒有類似的工作模式，因此利用DKOCSVM算法剔除的異常點和孤立點不多，檢測效果提升幅度不大。

針對入侵檢測算法平衡誤報率和漏報率比例的目的，DKOCSVM算法在gas數據集中比其他算法更好地平衡二者的比例，盡管與C-SVM相比犧牲了漏報率;在water數據集中，DKOCSVM的性能沒有太大上升，但是也沒有下降?？傮w來看，DKOCSVM算法提升了工業控制網絡數據的總體檢測率，能夠為工業控制網絡建立泛化能力好的正常樣本模型，從而構建出異常檢測模型。

在兩種實驗數據集中，兩種數據集的特征數目較少，便于處理，如果其他類別的工控網絡具有大量特征數目，就需要進行特征選擇。圖7(a)顯示了主成分分析(Principal Component Analysis，PCA)個數對DKOCSVM算法的影響;而圖7(b)中顯示了各種特征選擇方法對DKOCSVM方法檢測率的改變。

圖7(a)展示了主成分分析方法對算法檢測率的影響。在gas數據集中，利用主成分分析方法進行降維處理可以提高算法的檢測效率，當主成分個數為11～14時，此時算法的檢測率(accuracy)可以分別達到 91．54%，91．95%，91．86%和91．81%;對比不使用降維方法的檢測率91．81%而言，主成分分析降維可以達到減少特征數目，并不降低算法效率的目的。對于water數據集，特征降維后其總體檢測率沒有太大變化。

圖7(b)是四種特征選擇算法對DKOCSVM算法的檢測率比較。VarianceThreshold(VATH)可以剔除數據集中特征值全部相同的一列;univariateSelect(UVS)方法利用互信息方法計算每個特征與結果的互信息值，根據值大小進行特征選擇;DTrecursiveSelect(DTS)和ExtralTreesModels(ETM)都采用決策樹的方式來尋找最優的特征子集組合。從檢測結果來看，前兩種快速的特征選擇方法降低了算法的準確性，而后兩種樹結構的特征選擇方法最終選擇了數據集中的全部特征，因此檢測率沒有改變。從PCA方法和特征選擇方法的處理結果來看，采用合適的主成分分析方法和特征選擇方法可以提高DKOCSVM的檢測效率。

圖7 主成分分析和特征選擇方法對DKOCSVM的影響Fig．7 Influence of PCA and feature selection on DKOCSVM

gas和water數據集中相同算法產生的不同結果表明:不同工業控制生產過程不同，異常產生的側重點也有所不同。選擇合適的算法需要人工進行測試、比較和篩選，但是應用DKOCSVM算法在兩種數據集上都能夠產生理想的檢測結果。

6 結語

本文基于工控網絡入侵檢測背景，在傳統單分類支持向量機(OCSVM)方法基礎上，提出一種基于OCSVM的組合分類器DBSCAN_K-means_OCSVM(DKOCSVM)進行入侵檢測。算法首先使用DBSCAN方法處理訓練數據集，剔除其中的離群點和孤立點，其次利用K-means聚類方法將用于訓練的正常數據集劃分為多個類簇，最后利用OCSVM算法為每一個類簇建立一個單分類器;在進行檢測時，首先判斷檢測數據屬于哪一個類簇，然后使用該類簇對應的異常檢測模型進行判別。在兩種工控網絡數據集上的實驗表明，在gas pipeline數據集上，DKOCSVM算法能夠提高總體檢測率和查準率，比傳統OCSVM算法具有更低的誤報率和漏報率;在water數據集上，數據的入侵檢測效率有略微提升，但是提升沒有gas數據集明顯。算法在OCSVM的基礎上，利用DBSCAN和K-means方法減少了孤立點和內部異常點對分類器的影響?？傮w上來說，DKOCSVM對OCSVM進行了改善，提升了OCSVM的檢測能力。同時，在數據維度更高的情況下，可以采用主成分分析的方法提升DKOCSVM的檢測效果。