网络入侵对个人隐私与财产安全,甚至是国家的安全稳定都造成了极大威胁,网络入侵取证就是通过分析网络流量数据以重现网络入侵行为,从而找出入侵痕迹并将其作为呈堂证供的过程。然而,高维度的海量数据所存在的特征冗余、类别不平衡等问题都对传统取证技术带来了巨大挑战,因此将数据挖掘技术应用于网络入侵取证具有一定的理论研究价值与积极的现实研究意义。本文基于数据清洗和特征选择等手段结合集成学习对实验数据建模分析,并以综合性能最优的模型为核心设计实现了网络入侵辅助取证系统。主要工作如下:1.对原始数据进行数据清洗,分别利用SMOTE和Easy Ensemble采样法对类别不平衡的数据进行采样,并直接利用采样后的数据建立逻辑回归模型。通过对比模型在测试集上的ROC和AUC,最终选用Easy Ensemble采样方法削弱了数据类别不平衡对模型分类效果的影响。2.采取特征排序+搜索策略的方法进行特征选择,通过Pearson相关系数法过滤掉冗余特征后,基于随机森林对特征子集进行重要性度量与排序。并结合贪心算法编码实现序列反向选择算法（Sequential Backward Selection Algorithms,SBS）,对特征集进行了有效的特征选择,从而大幅度降低了数据维度。3.利用随机森林、XGBoost和Light GBM等集成学习算法对实验数据进行了建模预测,通过模型评估选出最优模型,采取加权软投票策略对XGBoost和Light GBM模型进行了再次融合,进一步提升了模型性能。同时建立了基于L1正则化特征选择的模型′,通过对比研究,证实了本文特征选择的有效性。此外,建立了代价敏感Ada Cost模型作为备用方案,实现代价因子的改变对精确率、召回率以及F-Measure的调整,以满足不同场合对精确率和召回率的偏好需求。4.针对XGBoost模型参数很多、调整困难且具有较高过拟合风险的问题,引入遗传算法（Genetic Algorithm,GA）对模型参数进行优化。与默认参数和通过随机搜索调参的XGBoost模型相比,GA-XGBoost模型性能得到了有效提升。5.结合最佳网络入侵取证模型,基于Django框架设计实现了网络入侵辅助取证系统。作为对现有专业取证系统的探索性改进,本系统在提供用户管理和数据管理基本功能的同时,引入风险评估模型并结合集成学习模型的预测结果对样本进行风险评估与等级划分,从而给出辅助决策意见。实现取证者对海量数据的快速过滤与可疑样本的精准定位,缩短取证周期的同时提高了取证决策的可靠性。