本明公開了一種基于機器學習集成模型的網絡入侵檢測方法，該方法包括流量捕獲、特征提取、特征向量降維、模型訓練與融合、結果分析。本發明使用LSTM，實現對時序數據的降維，提高了模型訓練和預測的效率；其次本發明使用多個機器學習模型的融合，實現了對網絡中流量的識別與分類，該方法具有較高的檢測準確率和較快的處理速度，在網絡節點中部署，可以高效地識別并防范惡意攻擊行為，保證了實時性和應用性。

技術領域

本發明涉及計算機網絡安全技術領域，屬于入侵檢測（IDS），尤其涉及一種基于機器學習集成模型的網絡入侵檢測方法。

背景技術

互聯網應用在人們生活的各個方面，網絡交互的同時留下了大量的網絡痕跡。以往在網絡中的流量數據大多以明文形式存在，例如HTTP協議的交互過程。隨著網絡技術的更新，現在網絡中的流量數據都采用TLS/SSL加密協議進行加密。以往的一些基于字段的網絡入侵檢測方法不再有效，所以加密流量背景下的入侵檢測方法是具有研究意義的。

傳統的流量識別包括基于IP和端口、基于有效負載的方法，現在惡意攻擊者常常會偽裝自己的IP地址和端口號，并且有效負載進行了加密，大大增加了流量分類的難度。結合機器學習的應用，設計高效且準確的模型具有廣泛的前景。

模型直接針對高維數據分類時，存在訓練時間長，效率低等缺點。對于高維數據的降維，通常采用PCA、CFS等方法進行處理。傳統方法在降維時只是根據數據的密度和距離等屬性進行分析，沒有考慮時序數據的特點；同時沒有針對每種類別數據分析特征的權重。

發明內容

本發明的目的在于針對現有技術的不足，提出了一種能夠針對時序數據進行降維的方法，同時能夠針對每種類別給出特征的權重排序。同時對機器學習進行模型融合，提出了一種基于機器學習集成模型的網絡入侵檢測方法，有效提高入侵檢測的高效性和準確性。

本發明的目的是通過以下技術方案來實現的：一種基于機器學習集成模型的網絡入侵檢測方法，包括以下步驟：

步驟（1）：將網絡節點入口的流量數據進行捕獲，保存至本地文件，所述本地文件中包含不同類別的DDoS攻擊；

步驟（2）：數據預處理和特征提取：對于捕獲的流量數據中重復的流量數據進行刪除，按照五元組進行劃分，隨后進行特征提取，所述特征構成特征向量；所述特征包括：TCP標志類別相關特征、TCP標志個數相關特征、數據包大小相關特征、包間隔時間相關特征、速率相關特征；所述五元組包括：源IP、目標IP、源端口、目標端口、協議類型；

步驟（3）：特征向量降維：將步驟（2）中的特征向量轉換為包特征向量序列，根據不同類別的DDoS攻擊分別訓練LSTM_i模型，當損失函數值小于0.01時完成對LSTM_i模型的訓練；對于每一種LSTM_i模型，求得前一個包特征向量序列輸入訓練好的LSTM_i模型中的輸出結果與當前包特征向量序列的均方誤差MSE，并將均方誤差MSE由高到低排序，并按照均方誤差MSE的排列順序，保留前10維包特征向量；將所有類別的DDoS攻擊的前10維包特征向量求并集，再將并集轉化成對應的五元組特征向量；所述LSTM_i模型為長短期記憶網絡，以神經元為結構單元，i表示DDoS攻擊的類別數；

步驟（4）：模型訓練與融合：將步驟（3）中得到的五元組特征向量分別輸入隨機森林-基尼機器學習模型、隨機森林-熵機器學習模型、KNN-均勻權重機器學習模型、KNN-距離倒數機器學習模型、LGB機器學習模型、CatBoost機器學習模型、NN機器學習模型中，分別進行訓練，當每個機器學習模型的迭代次數大于1萬次或者準確率達到99.9%，完成對機器學習模型的訓練；