[发明专利]一种基于多周期模型stacking的入侵检测系统

说明书

本发明公开了一种基于多周期模型stacking的入侵检测系统，随着系统的不断运行，逐渐积累更多的训练数据，本系统通过将历史周期训练得到的模型和当前数据训练得到的模型通过改进的stacking方法集成，能够更为有效地利用多个周期的历史数据，克服因为设备存储空间不足无法缓存所有训练数据所带来的信息损失的问题，使得即使历史的数据已经丢弃，其中的信息也能通过历史训练的模型而在最新的训练中得到体现，从而能够提升入侵检测系统的检测性能。

技术领域

本发明属于网络安全技术领域，涉及入侵检测系统(Intrusion DetectionSystem，IDS)，尤其涉及一种基于多周期模型stacking的入侵检测系统。

背景技术

在人们的日常生活中网络已经成为了生活中不可或缺的一部分，而安全的问题也越来越得到人们的关注。在网络环境中部署入侵检测系统目前已经成为一个非常重要的防范网络安全隐患的手段。通过从待检测的流量中提取特征进行检测从而识别异常流量，是进行入侵检测的第一步，同时针对异常流量类型进行分类有助于后续对于异常流量的处理。

现有方法中通常有两种相应的技术，一种是基于攻击特征进行匹配，通过已知的网络攻击的特征，对待检测流量进行匹配，来识别异常流量。然而这种方法只能检测已知的入侵攻击类型，不能检测未知的攻击类型。还有一种是机器学习的技术，从网络流量中的会话中提取特征，确定好选择的特征后，通过这些提取后的数据对机器学习模型进行训练，得到相应的预测模型，再让模型对流量中的网络会话是否是异常还是正常做出判断。对于判定为异常的会话可以进一步做判断，对其异常的类别进行分类。这种方法可以检测未知类型的攻击类型，但是常规的机器学习在入侵检测技术上的应用往往只考虑了当前拥有的训练数据的信息。而在随着入侵检测系统的运行，所拥有的训练数据会逐渐增多，由于存储空间的限制，新得到的数据不能无限缓存，所以必须要抛弃一部分较旧的数据，用新的数据重新训练模型并部署，从而旧有的数据集的信息就无法再得以利用。

发明内容

本发明的目的是针对现有技术的不足，提供一种基于多周期模型stacking的入侵检测系统以解决网络入侵的检测与识别问题，该系统可以有效的利用多个周期的历史数据，避免传统方法中旧有信息易损失无法得以利用的问题。

本发明采用的技术方案如下：

一种基于多周期模型stacking的入侵检测系统，该系统包括如下：

对原始流量数据进行特征提取，首先需要利用wireshark等抓包工具抓取网络上原始流量的pcap格式数据包，然后再利用切包工具可以将其切分为许多会话。以此为基础收集待检测数据。特征的提取主要是收集会话的头部信息和时间，流量和报文数等的统计特征。从切分生成的会话中提取相关的统计特征，最终针对每个会话生成一个特征向量用于检测。

利用改进的多周期stacking模型将历史训练的模型进行改进stacking集成，方法如下：

选择基学习器(base learner)和元学习器(meta learner)，首先设定总共要集成的基学习器个数N，其中历史模型个数为N-1，在系统初开始被部署的时候，并没有那么多历史模型供使用，此时只需要按照当前拥有的模型进行改进的stacking集成即可，这不影响整个系统的流程。同时为了防止过拟合还需要设定stacking的交叉验证分割训练数据集的个数cv，当入侵检测系统从当前周期进入到下一个周期时，进行改进的stacking集成对系统更新，具体如下：

步骤1.首先检查当前系统的所有的基分类器个数T；如果T＝0，此时为系统初开始部署时所处的周期，只需要用当前所有的训练数据训练基学习器，然后进行部署即可，随着当前周期的不断进行，新的训练数据也不断地累积；当前周期结束时，则删除一部分较旧的数据，进入下一个周期，回到步骤1；如果T＞0，在这种情况下，如果T＝N，则进入步骤3，否则进入步骤2；