[发明专利]一种基于特征交叉与集成学习的三级网络入侵检测方法

权利要求书

1.一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，包括以下步骤：

步骤一，采集网络访问数据，并对网络访问数据进行预处理，对预处理后的网络访问数据进行特征提取，并获取特征重要性，根据特征重要性选取网络访问数据的重要特征，并对选取的重要特征进行特征交叉处理，获取处理后的网络访问数据；

步骤二，将处理后的网络访问数据输入网络行为判断模型进行一级检测，判断网络访问数据对应网络访问行为是正常访问行为还是入侵行为，并筛选出网络行为判断模型不能识别的网络访问数据，若网络行为判断模型输出结果是入侵行为时，则执行步骤三，若网络行为判断模型输出结果是正常访问行为时，则进行正常网络访问；

步骤三，将判断为入侵行为对应的网络访问数据输入入侵行为分类模型进行二级检测，入侵行为分类模型输出网络访问数据的入侵类型，同时筛选出入侵行为分类模型不能识别的网络访问数据；

步骤四，提取一级检测和二级检测中筛选出的不能识别的网络访问数据进行三级检测，通过人工进行网络访问数据的入侵行为判定和入侵类型判定，完成网络访问数据的网络入侵检测。

2.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，步骤四中通过人工进行网络访问数据的入侵行为判定和入侵类型判定后，还将人工判定后的网络访问数据对应的入侵行为判定结果和入侵类型判定结果加入网络行为判断模型和入侵行为分类模型的训练数据集中，并根据更新后的训练数据集对网络行为判断模型和入侵行为分类模型进行重新训练。

3.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，步骤一中采用FFM算法对选取的重要特征进行特征交叉处理，所述FFM算法进行特征交叉的表达式为：

其中：y(X)为特征交叉处理后的重要特征，n为重要特征数量，x_i是第i个重要特征值，w_i为x_i对应的权重，表示特征i与特征j做特征交叉时对应的隐向量，f_j是j所属的特征域f内的第j个特征，f_i表示i所属的特征域内的第i个特征。

4.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，步骤二中所述网络行为判断模型为支持向量机算法模型，所述网络行为判断模型的训练目标表达式为：

其中：为网络行为判断模型的训练目标，即分割超平面，γ为网络访问数据中到分割超平面的最小距离，w为权向量，b为偏置标量，x_i为第i个网络访问数据，y_i为第i个网络访问数据的类标签。

5.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，步骤三中所述入侵行为分类模型为训练梯度下降树算法模型，所述入侵行为分类模型的表达式为：

其中：P(y＝1|x)为入侵法行为分类模型的输出值，M为入侵类型数量，h_m(x)是经过梯度下降树算法训练学习后获取到的决策树函数，e为自然常数。

6.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，在一级检测或三级检测后判定网络访问数据为入侵行为时，向管理人员发送报警信息，所述报警信息包括二级检测或三级检测获取的对应的入侵类型。

7.根据权利要求1所述的一种基于特征交叉与集成学习的三级网络入侵检测方法，其特征在于，步骤一中对所述网络访问数据进行的预处理包括归一化处理和标准化处理。