[发明专利]一种网络入侵检测方法及装置

权利要求书

1.一种网络入侵检测方法，其特征在于，包括：

利用预设的参数调优方法选取待选模型的最优参数；

利用分层交叉验证方法迭代训练并验证配置所述最优参数的待选模型，得到所述待选模型的预测误差；

当迭代过程中的预测误差小于预设的误差均值时，将所述待选模型作为候选检测模型；

计算所述候选检测模型的性能指标，方法为：

（5）

其中，F₁为模型的F1分数，AUC（f）为ROC曲线下的面积；

如果所述性能指标达到预设的性能阈值，将所述候选检测模型作为第一类检测模型或者第二类检测模型；其中，所述第一类检测模型基于SVM模型、决策树模型和K近邻模型训练得到；所述第二类检测模型基于CNN模型和LSTM模型训练得到；

获取网络流量；

从所述网络流量中提取会话统计特征和数据包特征；

将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果；

将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果；

基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。

2.根据权利要求1所述的方法，其特征在于，从所述网络流量中提取会话统计特征，包括：

按照五元组将所述网络流量划分为多组会话；

从每组会话中提取会话统计特征，得到各组会话对应的会话统计特征；

按照预设的降维方法对各组会话对应的会话统计特征进行降维处理，得到降维后的会话统计特征。

3.根据权利要求2所述的方法，其特征在于，所述从每组会话中提取会话统计特征，包括：

利用预设的特征提取工具从该组会话中提取多维会话特征；

从提取的多维会话特征中删除源地址、目的地址和方差为0的特征，得到该组会话的会话统计特征。

4.根据权利要求1所述的方法，其特征在于，从所述网络流量中提取数据包特征，包括：

对所述网络流量进行解析，得到各数据包的时间戳；

根据各数据包的时间戳，按照时间先后顺序对所有数据包进行排序；

基于排序后的所有数据包，从前向后选取预定数量的数据包；

统计选取出的各数据包的字节数；

将选取出的各数据包的字节数和包方向作为所述数据包特征；其中，所述包方向包括从源地址到目的地址的第一方向，和从目的地址到源地址的第二方向。

5.根据权利要求1所述的方法，其特征在于，将所述候选检测模型作为第一类检测模型或者第二类检测模型之后，还包括：

利用预设的输入样本和对应的输出类别对所述第一类检测模型和第二类检测模型进行训练，得到具有最优预测效果的第一类检测模型的权重和第二类检测模型的权重。

6. 根据权利要求1或5所述的方法，其特征在于，通过加权投票得到最终的预测结果的方法为：

（8）

其中，C（x）为当输入为x时对应的最终预测结果，Ncc为第一类检测模型和第二类检测模型的总数，为第n个模型的权重，为当模型c_n的输入为x时对应的预测结果属于类别S_j。

7.一种网络入侵检测装置，其特征在于，包括：

模型构建模块，用于利用预设的参数调优方法选取待选模型的最优参数；利用分层交叉验证方法迭代训练并验证配置所述最优参数的待选模型，得到所述待选模型的预测误差；当迭代过程中的预测误差小于预设的误差均值时，将所述待选模型作为候选检测模型；计算所述候选检测模型的性能指标；如果所述性能指标达到预设的性能阈值，将所述候选检测模型作为第一类检测模型或者第二类检测模型；所述第一类检测模型基于SVM模型、决策树模型和K近邻模型训练得到；所述第二类检测模型基于CNN模型和LSTM模型训练得到；

其中，计算所述性能指标的方法为：

（5）

其中，F₁为模型的F1分数，AUC（f）为ROC曲线下的面积；

获取模块，用于获取网络流量；

提取模块，用于从所述网络流量中提取会话统计特征和数据包特征；

第一检测模块，用于将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果；

第二检测模块，用于将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果；

融合模块，用于基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。