(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111417583.4 (22)申请日 2021.11.25 (71)申请人 云南电网有限责任公司信息中心 地址 650000 云南省昆明市拓东路73号 (72)发明人 杭菲璐　何映军　谢林江　张振红　 罗震宇　郭威　陈何雄　毛正雄　 (74)专利代理 机构 昆明正原 专利商标代理有限 公司 53100 代理人 亢能　金耀生 (51)Int.Cl. G06F 21/56(2013.01) G06N 20/00(2019.01) (54)发明名称 一种基于集成学习的网络异常入侵检测方 法和系统 (57)摘要 本发明涉及一种基于集成学习的网络异常 入侵检测方法和系统， 方法包括如下步骤： 数据 预处理、 模型构建、 模型训练和模型验证。 本发明 基于树模型的预测准确性不足的缺陷， 本发明结 合集成学习的思想， 利用基于bagging的随机森 林算法进行多棵树的集成， 给出一个较为稳定的 预测分类算法。 权利要求书2页 说明书6页 附图1页 CN 114091026 A 2022.02.25 CN 114091026 A 1.一种基于集成学习的网络异常入侵检测方法， 其特 征在于： 包括如下步骤： S1： 数据预处 理； 入侵检测流程中， 将文本进行编码， 输入最长文本串的填充， 将数据集切分为训练集和 测试集； S2： 模型构建， 建立决策树模型； S3： 模型训练， 使用贪心算法求 解参数的次优解。 2.根据权利要求1所述的方法， 其特 征在于： S1： 数据预处 理包括以下步骤： S11： 网络访问数据文本编码， 将网络访问数据中的每个字符， 按照码表， 映射为对应的 数字格式， 设置模型所需的输入长度， 对不足输入长度的进行补全， 对超过长度的进行截 断； 数据集记为D＝{(X， Y)}， 其中X＝(x1， x2， ...， xn)代表映射后 网络访问数据， Y＝(y1， y2， ...， yn)代表网络访问数据对应的类别标签， 0代 表正常访问， 1代 表恶意攻击。 S12： 数据集的切分， 为切 实检验模型效果， 按照一定比例切分为训练集， 测试集； 训练 集用于模型训练， 测试集用于模型选取。 3.根据权利要求1所述的方法， 其特 征在于： S2： 模型构建包括如下步骤： S21： 建立决策树模型， 在每一个节点i， 输入向量x的特征维度di和一个阈值ti比较， 根 据比较结果， x被划分到左、 右分支的某一个中， 所述决策树的叶节点， 即为模型的预测结 果。 4.根据权利要求3所述的方法， 其特 征在于： S21中， 具体过程如下： 判断第一个节点判断x1是否小于阈值t1； 如果小于， 继续判断x2是否小于阈值t2， 如果小于， 就进入到左边的叶节点。 叶节点对应 的空间区域 为： R1＝{x： x1≤t1， x2≤t2}； 将这个区域与 预测输出通过坐标轴切分联系起来， 用一个平均响应与这些区域联系起 来； 对于R1， 通过平均响应 yn代表第n个样本的标签； 回归树的定义如下： 其中， Rj是第j个叶节点对应的区域， wj是叶节点的预测输出， θ ＝{(Rj， wj)： j＝1： J}， J是 叶节点的个数。 5.根据权利要求1所述的方法， 其特 征在于： S3： 模型训练包括如下步骤： S31： 最小化损失函数； S32： 减少模型偏差， 利用M棵决策树的结果进行平均， 如下： fm(y|x)是第m棵树。 6.根据权利要求1所述的方法， 其特 征在于： S4： 模型验证具体为： 在S1中得到的验证集上对S3中得到的集成学习模型进行验证， 评价 集成学习的结果。 7.一种基于集成学习的网络异常入侵检测系统， 其特征在于： 包括采集器和处理器， 采权　利　要　求　书 1/2 页 2 CN 114091026 A 2集器采集相关数据， 处 理器基于采集的数据， 按权利要求1 ‑6任一项所述的方法进行处 理。 8.一种电子设备， 包括存储器、 处理器以及在存储器上， 并可在处理器上运行的计算机 程序， 其特征在于： 所述处理器执行所述计算机程序时实现上述权利要求1至6中任一所述 方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于： 该计算机程 序被处理器执行时， 实现如权利要求1至 6中任一所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114091026 A 3