摘要： 提出了一个面向主干网入侵检测，以内存瓶颈消耗量为测度的动态自适应抽样方法IDSampling。通过分析攻击流量的流长和熵聚类信息特征指导抽样,过滤掉攻击可疑性低的报文，采取“节流”方法解决万兆网络入侵检测存在的性能和精度不平衡问题。在大规模异常发生时采用基于单报文属性熵的单一抽样策略，其他情况下采用带反馈指导的混合抽样策略，试图用尽可能小的检测代价来取得同样的检测效果。实验结果表明①IDSampling可以大幅减低IDS处理输入，同时保证对主干网大规模攻击趋势性信息的检测精度；②相较于随机报文抽样和随机流抽样方法，IDSampling凭借流长、熵聚类信息和后期检测结果等启发式信息的指导，其抽取攻击报文的准确性高于前2种方法，尤其是在大规模、高强度攻击情况下IDSampling抽中攻击报文的数目甚至高于其他2种方法一个数量级。