(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115987689A(43)申请公布日2023.04.18(21)申请号202310267053.9(22)申请日2023.03.20(71)申请人北京邮电大学地址100876北京市海淀区西土城路10号(72)发明人高源辰(74)专利代理机构北京风雅颂专利代理有限公司11403专利代理师徐雅琴(51)Int.Cl.H04L9/40(2022.01)G06N3/0464(2023.01)G06N3/0442(2023.01)G06N3/08(2023.01)权利要求书2页说明书11页附图2页(54)发明名称一种网络入侵检测方法及装置(57)摘要本申请实施例提供一种网络入侵检测方法及装置，包括：获取网络流量，从所述网络流量中提取会话统计特征和数据包特征，将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果，将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果，基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。通过选取最优的多个模型及相关参数，并融合各模型的预测结果，能够提高预测结果的准确性，避免单模型对预测结果的偏差。CN115987689ACN115987689A权利要求书1/2页1.一种网络入侵检测方法，其特征在于，包括：获取网络流量；从所述网络流量中提取会话统计特征和数据包特征；将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果；将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果；基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。2.根据权利要求1所述的方法，其特征在于，从所述网络流量中提取会话统计特征，包括：按照五元组将所述网络流量划分为多组会话；从每组会话中提取会话统计特征，得到各组会话对应的会话统计特征；按照预设的降维方法对各组会话对应的会话统计特征进行降维处理，得到降维后的会话统计特征。3.根据权利要求2所述的方法，其特征在于，所述从每组会话中提取会话统计特征，包括：利用预设的特征提取工具从该组会话中提取多维会话特征；从提取的多维会话特征中删除源地址、目的地址和方差为0的特征，得到该组会话的会话统计特征。4.根据权利要求1所述的方法，其特征在于，从所述网络流量中提取数据包特征，包括：对所述网络流量进行解析，得到各数据包的时间戳；根据各数据包的时间戳，按照时间先后顺序对所有数据包进行排序；基于排序后的所有数据包，从前向后选取预定数量的数据包；统计选取出的各数据包的字节数；将选取出的各数据包的字节数和包方向作为所述数据包特征；其中，所述包方向包括从源地址到目的地址的第一方向，和从目的地址到源地址的第二方向。5.根据权利要求1所述的方法，其特征在于，所述获取网络流量之前，包括：利用预设的参数调优方法选取待选模型的最优参数；利用分层交叉验证方法迭代训练并验证配置所述最优参数的待选模型，得到所述待选模型的预测误差；当迭代过程中的预测误差小于预设的误差均值时，将所述待选模型作为候选检测模型；按照预设的评估方法计算所述候选检测模型的性能指标；如果所述性能指标达到预设的性能阈值，将所述候选检测模型作为所述第一类检测模型或者第二类检测模型。6.根据权利要求5所述的方法，其特征在于，计算所述性能指标的方法为：（5）2CN115987689A权利要求书2/2页其中，F1为模型的F1分数，AUC（f）为ROC曲线下的面积。7.根据权利要求5所述的方法，其特征在于，将所述候选检测模型作为第一类检测模型或者第二类检测模型之后，还包括：利用预设的输入样本和对应的输出类别对所述第一类检测模型和第二类检测模型进行训练，得到具有最优预测效果的第一类检测模型的权重和第二类检测模型的权重。8.根据权利要求1或7所述的方法，其特征在于，通过加权投票得到最终的预测结果的方法为：（8）其中，C（x）为当输入为x时对应的最终预测结果，Ncc为第一类检测模型和第二类检测模型的总数，为第n个模型的权重，为当模型cn的输入为x时对应的预测结果属于类别Sj。9.根据权利要求1所述的方法，其特征在于，所述第一类检测模型基于SVM模型、决策树模型和K近邻模型训练得到；所述第二类检测模型基于CNN模型和LSTM模型训练得到。10.一种网络入侵检测装置，其特征在于，包括：获取模块，用于获取网络流量；提取模块，用于从所述网络流量中提取会话统计特征和数据包特征；第一检测模块，用于将所述会话统计特征输入预先构建的至少一个第一类检测模型中