[发明专利]一种基于多周期模型stacking的入侵检测系统

权利要求书

1.一种基于多周期模型stacking的入侵检测系统，其特征在于，该系统包括如下：

对原始流量数据进行特征提取，首先需要利用抓包工具抓取网络上原始流量的pcap格式数据包，然后再利用切包工具可以将其切分为许多会话，以此为基础收集待检测数据，最终针对每个会话生成一个特征向量用于检测；

选择基学习器和元学习器，首先设定总共要集成的基学习器个数N，其中历史模型个数为N-1，为了防止过拟合还需要设定stacking的交叉验证分割训练数据集的个数cv，当入侵检测系统从当前周期进入到下一个周期时，进行改进的stacking集成对系统更新，具体如下：

步骤1.首先检查当前系统的所有的基分类器个数T；如果T＝0，此时为系统初开始部署时所处的周期，只需要用当前所有的训练数据训练基学习器，然后进行部署即可，随着当前周期的不断进行，新的训练数据也不断地累积；当前周期结束时，则删除一部分较旧的数据，进入下一个周期，回到步骤1；如果T＞0，在这种情况下，如果T＝N，则进入步骤3，否则进入步骤2；

步骤2.此时0＜T＜N，使用改进后的stacking集成算法：假设当前所拥有的数据集D为n×m的矩阵，其中n为数据集的样本数，m为抽取的特征向量的特证数：则：

1)将当前所拥有的数据集D划分成cv个，记为

2)对于每一个分割后的数据集，如第i个数据集D_i，用剩余的数据即D-D_i训练基学习器，然后用该模型进行预测，得到未参与训练的D_i的预测结果F_i，该结果或者是预测概率或者是预测类别；

3)然后将上述结果与数据D_i按照特征进行合并拼接得到新的数据矩阵整个数据集也就变换为

4)对于历史周期的模型做类似地处理，由于历史模型是已经训练好的，它们保留了历史数据的信息，因此不需要对数据集做交叉验证分割然后合并，只需直接对数据集D进行预测得到相应的预测结果，然后合并最终得到变换后的新数据集

5)使用得到的新数据集训练元学习器，然后使用数据集D训练基学习器得到当前周期的基分类器，该基分类器将在下一周期中充作历史模型使用；

6)将所有的模型按照stacking集成框架结构组合起来，得到stacking后的模型；

等到该周期结束回到步骤1；

步骤3.此时已有基分类器个数T＝N，整体的更新步骤与步骤2类似，唯一的不同在于第4)步需要丢弃一个历史模型，以保证总的基分类器的个数为N；等到该周期结束回到步骤1。

2.根据权利要求1所述的基于多周期模型stacking的入侵检测系统，其特征在于，所述的基学习器采用lightGBM模型。

3.根据权利要求1所述的基于多周期模型stacking的入侵检测系统，其特征在于，所述的元学习器采用Logistic Regression模型。