网络入侵检测系统（NIDS）通过检测恶意流量并交由安全运营中心调查，在保护网络中发挥关键作用。现有最先进的方法利用监督机器学习训练分类模型识别已知网络攻击，但这些模型需要大量标注数据集，且在较小数据集上训练时性能较差。为解决这一缺陷，异常检测模型学习正常流量分布并将不符合的流量标记为恶意——虽然不需要恶意样本训练，但误报率高，实用性低。因此，当特定攻击类别的标注实例不足时（例如新建立网络或出现未见过的攻击类型），网络可能特别脆弱。本文提出使用三元组网络（triplet network），结合在线三元组挖掘（online triplet mining）和K近邻（KNN）分类器，实现小样本（few-shot）分类，从而在仅用有限恶意样本训练后即可进行有效入侵检测。作者探索了多种在线三元组挖掘算法，并通过一系列消融实验比较和评估模型设计选择，如推理算法和优化的距离度量。最终模型在小样本二分类和多分类任务中与现有最先进方法进行比较，结果表明：在每类仅用10个恶意样本训练时，所提方法性能与现有方法相当。该工作为网络攻击检测中标注数据稀缺场景提供了新思路。