本發明涉及一種基于集成學習的無監督的網絡數據入侵檢測方法，包括以下步驟：步驟S1：將采集的網絡流數據處理為時間序列數據；步驟S2：將時間序列數據重構為單點型格式數據、上下文型格式數據和時間段型格式數據；步驟S3：訓練入侵檢測模型集合，入侵檢測模型集合包括基于單點型格式數據的變分自編碼器集合CNN?VAE模型和/或基于上下文型格式數據的循環神經網絡預測器TCN?LSTM模型和/或基于時間段型格式數據的變分自編碼器BILSTM?VAE模型；步驟S4：獲取誤差數據；步驟S5：比較步驟S4獲得的誤差數據與預期誤差之間的差距。本發明可以減少由于人工報文標記導致的昂貴成本，實現對網絡數據進行入侵檢測。

技術領域

本發明涉及網絡數據入侵檢測及異常識別技術領域，尤其是涉及基于集成學習的無監督的網絡數據入侵檢測方法。

背景技術

目前網絡安全性變成了一個廣泛的研究領域，對網絡上惡意活動的檢測是比較常見的問題之一，入侵檢測系統（IDS）是作為各種網絡威脅檢測的最佳解決方案，可以用來檢查特定環境下的活動，典型的入侵檢測系統包括但不限于防火墻，訪問控制列表，身份驗證機制等等，早已經被廣泛用于提高計算機系統的安全性。

根據檢測技術上來說，一般而言，傳統的IDS包括基于標志\簽名（signature-based),基于異常情況（anomaly-based）和基于規范（Specification-based）的三種入侵檢測系統。然而，這些傳統的檢測技術已無法處理現代化網絡攻擊日益動態和復雜的特性所產生的多變量數據流。因此，研究人員已經超越了規范或基于標志的技術，開始利用機器學習技術來利用系統生成的大量數據。隨著對于智能化和自主性的需求提高，神經網絡已經成為入侵檢測系統的一種日益流行的解決方案。它們學習復雜模式和行為的能力使它們成為區分正常流量和網絡攻擊的合適解決方案。

主流的神經網絡解決方案更傾向于有監督的方式訓練，而這種方式已經能在入侵檢測這一問題中展現出良好的異常識別能力。然而，除了自主性之外，IDS?的另一個重要屬性是其檢測零日攻擊的能力，攻擊隨著時間的推移而變化，而新的攻擊不斷被發現，因此惡意攻擊流量存儲庫的持續可維護性可能是不切實際的，這意味著專家必須對網絡流量進行標注，并不時手動更新模型，這將需要專業的專家知識庫進行支撐，且貼標簽的過程既費時又昂貴，這對人工成本的要求過于巨大。此外，分類本身是一種識別概念的封閉方法，一個分類器被訓練來識別訓練集中提供的類，然而，假設所有可能的惡意流量都可以被收集并放置在訓練數據中是不合理的。

發明內容

本發明要解決的技術問題是：提供基于集成學習的無監督的網絡數據入侵檢測方法，減少由于人工報文標記導致的昂貴成本，實現對網絡數據進行入侵檢測。

本發明解決上述技術問題所采用的技術方案是：一種基于集成學習的無監督的網絡數據入侵檢測方法，包括以下步驟：

步驟S1：數據預處理，將采集的網絡流數據處理為時間序列數據；

步驟S2：時間序列數據分流，將步驟S1中的時間序列數據重構為三個不同的數據形式：單點型格式數據、上下文型格式數據和時間段型格式數據；

步驟S3：訓練入侵檢測模型集合，入侵檢測模型集合包括基于單點型格式數據的變分自編碼器集合CNN-VAE模型和/或基于上下文型格式數據的循環神經網絡預測器TCN-LSTM模型和/或基于時間段型格式數據的變分自編碼器BILSTM-VAE模型；

步驟S4：獲取誤差數據，對于新進入的性質未知的網絡流數據通過步驟S1以及步驟S2進行時間序列數據分流后輸入步驟S3訓練形成的入侵檢測模型集合使其形成誤差數據；

步驟S5：新進入的網絡流數據的特性判定，對于新進入的性質未知的網絡流數據，比較步驟S4獲得的誤差數據與網絡管理員給定的預期誤差之間的差距，獲得該網絡流數據的特性判定結果。