摘要: 随着互联网的普及，它已经成为我们日常生活中不可或缺的一部分，因此，保护信息安全变得越来越重要。通过将机器学习技术应用于入侵检测，可以有效地监测网络中的数据和主机的运行情况，及时发现异常行为并采取有效措施，从而保障信息安全。此外，通... 展开 随着互联网的普及，它已经成为我们日常生活中不可或缺的一部分，因此，保护信息安全变得越来越重要。通过将机器学习技术应用于入侵检测，可以有效地监测网络中的数据和主机的运行情况，及时发现异常行为并采取有效措施，从而保障信息安全。此外，通过训练数据集，构建分类检测模型，可以有效提高检测的准确性和效率。在构建模型时，由于数据集中冗余数据较多，特征维度较高，这会影响模型的检测效果，而且由于数据类别不均衡，多数样本和少数样本之间的分类性能也存在差异。针对以上问题，本文提出了一个基于随机森林的树模型集成学习算法。 本文首先针对在分类模型构建中传统机器学习检测精度不高的问题，提出基于树模型的集成学习算法，并从不平衡数据集入手评估传统学习与本算法的比较结果。通过基于树模型具有高鲁棒性，可解释能力强等特点将其应用于Stacking集成学习方法中综合提高各个树模型的性能，增强入侵检测的鲁棒性以及各个算法的检测性能。结果表明Tree-Stacking的F1-Score的得分95.9%，AUC得分97.29%为，同时耗时只有33.41s，相比于其他算法得分最高，耗时最低，具备良好的性能以及较高的实时性。 其次，针对原始数据中存在大量冗余特征以及传统入侵检测模型的各个分类类别检测性能不足的问题，本文提出了一种基于随机森林的树集成学习的入侵检测模型，并且给出了相应的RF-Tree-Stacking算法。使用Kmeans聚类算法聚类相似簇类数据以用于降低冗余，并通过随机森林根据oob得分情况获得特征重要性得分并排序后，实现数据最优压缩，同时使用Smote算法平衡少量样本的数据集，提升少样本检测能力并获得较优的特征子集。并利用公开对CICIDS2017数据集评估该模型的检测性能。具体从三个方面验证：（1）使用提出的RF-Kmeans-Smote方法对比传统机器学习方法，在Accuracy、Precision、Recall、F1-Score以及AUC中分别提升13.79%、25.49%、16.57%、29.5%和7.16%。耗时显著降低，验证该方法在机器学习的可行性。（2）RF-Tree-Stacking对比Tree-Stacking。从整体评价看，虽然在Accuracy降低了0.08%，但F1-Score提升3.27%；从分类类别看，虽然在Normal中的F1-Score下降了0.16%，但是在少数类别中F1-Score提升0.17%~19.71%，验证改进的可行性。（3）提出的RF-Keamns-Smote算法对比传统机器学习方法在检测性能表现中Accuracy、Precision、Recall、F1-Score、AUC分别提升25.83%、46.66%、30.76%和7.73%，验证所提出的RF-Tree-Stacking算法的可行性。因此，所提出的RF-Tree-Stacking在入侵检测方面能够取得较好的效果。 收起