[发明专利]一种基于集成机器学习算法的双模式入侵检测装置

权利要求书

1.一种基于集成机器学习算法的双模式入侵检测系统，其特征在于，包括监控模块、网络入侵检测模块、智能入侵检测模块、串联检测模块及告警模块；

监控模块，用于根据监控策略从网络流量中获取流量数据，并将流量数据传递给网络入侵检测模块；

网络入侵检测模块，利用入侵检测规则对流量数据进行匹配，若匹配到“黑”规则的流量数据时，直接启动告警模块，对于未匹配到规则的流量数据，则将其转发至智能入侵检测模块；

智能入侵检测模块集成多种机器学习入侵检测算法，利用各种入侵检测算法分别对接收的流量数据进行检测，当检测结果为攻击流量时，启动告警模块；

告警模块在被启动的情况下，发出告警信号或者进行阻断；

所述入侵检测算法包括叠加决策树算法，所述叠加决策树算法通过如下训练获得：

(a)调整训练数据集Train_D中训练记录比例：攻击类型记录不变，采用折半方式减少Normal类型数量生成新的训练数据集Train_D1，使用交差验证方式找到最佳比例值，按照所述最佳比例值，重新构造训练数据集Train_D1；

(b)采用新的训练数据集Train_D1训练分类器DTree1，输出预测结果Pred1＝DTree1(Test_D)；

(c)在训练数据集Train_D中利用交差验证方式找到二分类最佳比例值，调整Normal类数据与Attack数据的比例得到训练集Train_D2，训练Normal和Attack2分类器DTree2.fit(Train_D2)，输出预测结果Pred2＝DTree2(Test_D)；

(d)统计Pred1中鉴定为Normal(0)的记录V1＝Pred1[class＝＝0]；

(e)统计Pred2中鉴定为Attack(1)的记录V2＝Pred2[class＝＝1]；

(f)计算分类不一致的记录集Ve＝V1 isin(V2)；

(g)从训练数据集Train_D提取类型为[1,2,3,4]的攻击数据记录，生成新的训练集Train_D3；

(h)使用Train_D3训练分类器DTree3；

(i)使用DTree3对Ve重新分类，输出预测结果Pred3＝DTree3(Ve)；

(j)更新Pred1中分类不一致的记录预测值：Pred1[Ve]＝Pred3

(k)输出最终决策树分类结果Pred4＝Pred1。

2.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，所述智能入侵检测模块中集成机器学习入侵算法还包括DNN深度神经网络算法及随机森林算法中的至少一种。

3.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，所述智能入侵检测模块上设置集成投票算法，用于对各入侵检测算法针对不同类型的检测效果预设了相应权重，根据多种入侵检测算法的检测结果，采用对检测结果加权计算各类型的得分，得分最高的类型既为最终的检测结果。

4.根据权利要求3所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，所述权重为：各入侵检测算法针对某个类型数据的权重表示在这种场景下得到该检测值的可信度。

5.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，使用贝叶斯概率算法对各分类器的检测结果进行概率分析，用最大似然估计得出最终的检测结果。

6.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，利用NSL-KDD公开数据集进行机器学习入侵算法的训练。

7.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，还包括反馈学习模块，用于记录已经确认的攻击，并将其反馈给智能入侵检测模块，作为新训练样本。

8.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，所述告警模块还利用主成分分析方法，可视化显示告警数据的分布情况。

9.根据权利要求1所述基于集成机器学习算法的双模式入侵检测系统，其特征在于，所述集成投票算法的具体过程为：

计算各算法对不同攻击类型的检测率，作为权重基数w_ij；

对每条测试记录，计算各分类器的预测结果，分别加权计算各类攻击类型的预测权重；

挑选投票结果最大的类型作为该记录的最终检测结果，并输出。