(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113922985A(43)申请公布日2022.01.11(21)申请号202111034218.5(22)申请日2021.09.03(71)申请人西南科技大学地址621000四川省绵阳市涪城区青龙大道中段59号(72)发明人张志予谭顺华陈淼李星志任越(74)专利代理机构成都正华专利代理事务所(普通合伙)51229代理人代维凡(51)Int.Cl.H04L9/40(2022.01)G06K9/62(2022.01)权利要求书3页说明书10页附图4页(54)发明名称一种基于集成学习的网络入侵检测方法及系统(57)摘要本发明公开了一种基于集成学习的网络入侵检测方法及系统，首先在数据预处理阶段，采用基于WGAN的网络攻击流量数据增强方法，生成攻击类样本提高其样本数量，解决少数攻击类型被学习器算法忽略的问题；其次采用集成学习中的Stacking算法生成多个学习器，配合五折交叉验证算法解决集成学习中的过拟合问题，大幅提高少数类分类准确率，小幅提高整体类别准确率。本发明系统主要包括四个模块：数据获取模块，数据预处理模块、数据生成模块和基于Stacking的入侵检测模块。本方案通过WGAN对少数类数据进行过采样，实现数据再平衡的目的，采用集成学习解决现有入侵检测技术存在的对非平衡数据集分类性能较差的问题，提升网络入侵检测中少数类和整体的检测准确率。CN113922985ACN113922985A权利要求书1/3页1.一种基于集成学习的网络入侵检测方法，其特征在于，包括如下步骤：S1、获取不平衡的网络攻击流量数据并通过数据筛选划分为第一数据类型数据集和第二数据类型数据集，并对第一数据类型数据集中的数据进行预处理提取其特征值；S2、利用WGAN模型对预处理后的第一数据类型数据集中的数据进行数据增强，得到分布平衡的新生成数据；S3、将步骤S2得到的新生成数据加入步骤S1获取的不平衡的网络攻击流量数据进行数据扩充，得到扩充后的平衡数据集；S4、对步骤S3得到的平衡数据集采用基于Stacking算法模型的融合算法构建入侵检测模型并进行训练；S5、利用步骤S4训练好的入侵检测模型进行网络入侵检测。2.根据权利要求1所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S1中第一数据类型数据集为包含攻击流量的数据集，第二数据类型数据集为包含正常流量的数据集，其中，第一数据类型数据集中的数据量小于第二类型数据集中的数据量。3.根据权利要求2所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S1中预处理的具体方法为：S11、分离所述第一数据类型数据集中包括特定攻击类别的数据集，将其中的字符型属性进行特征转换成二进制特征；S12、将步骤S11中得到的二进制特征重组为矩阵向量，并在矩阵末位进行补位；S13、对步骤S12得到的矩阵向量中的数据进行归一化。4.根据权利要求3所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S13中归一化的方式为：其中，y表示矩阵向量中的值，MIN为矩阵向量中的最小值，MAX为矩阵向量中的最大值。5.根据权利要求4所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S2具体为：S21、利用给定模型生成多维假数据，并与步骤S11分离出的数据进行混合并训练判别器；S22、对判别器进行多次迭代，判断判别结果是否达到最优，若是则固定此时的给定模型参数，并将判别结果反馈至步骤S21的给定模型；S23、对步骤S21的给定模型进行多次迭代，判断判别结果是否最差，若是则固定此时的给定模型参数，并重复步骤S22‑S23直至给定模型平衡；S24、将给定模型生成的攻击流量数据作为扩充样本与步骤S1得到的不平衡的网络攻击流量数据进行扩充，并取位置靠前的多维数据作为扩充样本，得到分布平衡的新生成数据。6.根据权利要求4所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S21中给定模型的目标函数表示为：2CN113922985A权利要求书2/3页其中，V(D，G)是损失函数；Pdata是真实数据分布；Pz是生成数据分布；表示x为真实数据的期望；表示z为生成数据的期望；G(z)表示G从输入噪声z生成的伪造样本；D(x)表示D判断x为真实数据的概率。7.根据权利要求6所述的一种基于集成学习的网络入侵检测方法，其特征在于，所述S21中给定模型的损失函数表示为：其中，Pr表示真实分布；Pg表示生成分布；∏(Pr，Pg)则表示Pr和Pg组合起来的所有可能的联合分布的集合；γ表示在该集合下的任意可能的联合分布；对于任意可能的联合分布γ而言，可以从中采样(x，y)～γ得到一个真实样本x和一个生成样本y；||x‑y||表示这对样本的距离；E(x，y)～γ[||x‑y|