[发明专利]基于集成学习的无监督的网络数据入侵检测方法

权利要求书

1.基于集成学习的无监督的网络数据入侵检测方法，其特征在于，包括以下步骤：

步骤S1：数据预处理，将采集的网络流数据处理为时间序列数据；

步骤S2：时间序列数据分流，将步骤S1中的时间序列数据重构为三个不同的数据形式：单点型格式数据、上下文型格式数据和时间段型格式数据；

步骤S3：训练入侵检测模型集合，入侵检测模型集合包括基于单点型格式数据的变分自编码器集合CNN-VAE模型和基于上下文型格式数据的循环神经网络预测器TCN-LSTM模型和基于时间段型格式数据的变分自编码器BILSTM-VAE模型；

步骤S4：获取误差数据，对于新进入的性质未知的网络流数据通过步骤S1以及步骤S2进行时间序列数据分流后输入步骤S3训练形成的入侵检测模型集合使其形成误差数据；

对于新进入的性质未知的网络流数据通过步骤S1以及步骤S2进行时间序列数据分流后，分别由变分自编码器集合CNN-VAE模型对该网络流数据单独进行重构，由循环神经网络预测器TCN-LSTM模型通过该网络流数据之前的历史网络流数据对该网络流数据进行预测，由变分自编码器BILSTM-VAE模型对包含新的网络流数据在内的数据段进行重构；

对于变分自编码器集合CNN-VAE模型，其输入为，输出为，其误差为其重构误差或者为VAE损失函数，其重构误差采用均方误差，其VAE损失函数为该重构误差加上相应的KL散度；

对于循环神经网络预测器TCN-LSTM模型，其误差为损失函数：

 ，

其中，为下一个时间戳实际的流特征信息，为预测的流特征信息；

对于变分自编码器BILSTM-VAE模型，其误差为其重构误差，其重构误差为其均方误差或者为其均方误差加上相应的KL散度；

步骤S5：新进入的网络流数据的特性判定，对于新进入的性质未知的网络流数据，比较步骤S4获得的误差数据与网络管理员给定的预期误差之间的差距，获得该网络流数据的特性判定结果。

2.根据权利要求1所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，对于进入入侵检测模型集合的数据，每一条新的网络流数据将联合其历史网络流数据重新构建为步骤S2中的三个不同的数据形式，分别作为变分自编码器集合CNN-VAE模型、循环神经网络预测器TCN-LSTM模型、变分自编码器BILSTM-VAE模型的输入数据。

3.根据权利要求1所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，步骤S1的网络流数据包括从安全网络环境中获得的网络流数据；基于从安全网络环境中获得的网络流数据，变分自编码器集合CNN-VAE模型、循环神经网络预测器TCN-LSTM模型、变分自编码器BILSTM-VAE模型分别学习正常网络流数据的不同内在特征，包括其时序特征与非时序特征。

4.根据权利要求1所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，步骤S5中，对于新进入的性质未知的网络流数据，当步骤S4获得的误差数据与网络管理员给定的预期误差之间的差距大于预设的阈值时，认定该网络流数据为攻击数据；当步骤S4获得的误差数据与网络管理员给定的预期误差之间的差距未大于预设的阈值时，认定该网络流数据为正常数据。

5.根据权利要求1所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，步骤S1的数据预处理包括：

步骤S101：特征选择，对网络流数据提取特征；

步骤S102：特征数值化，给步骤S101中获取的网络流数据特征分配数值；

步骤S103：特征归一化，将在步骤S102中获得的特征数值归一化到[0,1]区间。

6.根据权利要求5所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，步骤S103中，利用如下公式对特征数值进行归一化：，其中为原特征值，为归一化后所得值，为同一类特征值在数据集中所展现的最小值，为同一类特征值在数据集中所展现的最大值。

7.根据权利要求1所述的基于集成学习的无监督的网络数据入侵检测方法，其特征在于，入侵检测模型集合的误差数据包括变分自编码器集合CNN-VAE模型的误差和/或循环神经网络预测器TCN-LSTM模型的误差/或变分自编码器BILSTM-VAE模型的误差。