CN103077347B - 一种基于改进核心向量机数据融合的复合式入侵检测方法 - Google Patents

Abstract

本发明公开了一种网络安全技术领域中基于改进核心向量机数据融合的复合式入侵检测方法。本发明从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据；将特征数据分别构造为黑、白名单数据样本子集；对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型；通过D-S证据理论实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；得到最终检测结果。本发明在提高入侵检测系统实时性，降低入侵检测系统漏报率和误报率方面，以及提高入侵检测系统泛化能力方面，均有较好的性能。

Description

一种基于改进核心向量机数据融合的复合式入侵检测方法

技术领域

本发明属于网络信息安全技术领域，尤其涉及一种基于改进核心向量机数据融合的复合式入侵检测方法。

背景技术

随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展，当前对安全产品技术提出更高的要求，急需一种高效的网络安全告警技术来提升安全产品的性能。

入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备（如防火墙、IDS、IPS等）的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。

从理论来源分析入侵检测技术属于模式识别中分类问题，将各种网络攻击抽象成一个已知类别，将网络安全设备的历史运行日志做为训练样本集使用人工智能算法通过训练学习得到多分类模型，即入侵检测系统。目前入侵检测的解决方案，主要是利用神经网络、支持向量机等单学习机方法，而这些单分类器方法均为不稳定分类算法，所谓不稳定分类算法就是指训练样本集发生一个微小的变化，分类器的分类结果就会产生巨大变化。虽然经多年研究，通过各种群智能优化算法已使单分类器的稳定性有所提高，但单学习机的方法误差相对较大、运算速度偏慢、入侵检测系统的泛化能力低。泛化能力是指，若某个模型只针对某类问题具有较好的效果，对于其他类别问题性能较弱，则其泛化能力有限；反之，某个模型对于多个类别问题均有较好性能，则其泛化能力较好。

当前主要有两大类入侵检测技术，分别是基于误用技术、基于异常技术。基于误用技术是指，假设所有可能出现的网络攻击类别（“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”）均已知，将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速，缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指，事先根据规则定义好“正常”网络行为的特征，将待测记录来匹配该特征，凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速，缺点是误报率偏高。“漏报”是指将本是攻击的网络行为认定为正常，“误报”是指将本是正常的网络行为认定为攻击。

由此可见，入侵检测系统的核心性能要求是准确性和实时性，目前基于单学习机的解决方案在这两方面均有不足。为了改善入侵检测系统的准确性，本发明采用D-S数据融合方式集成多个基于粒子群算法优化的核心向量机设计入侵检测系统，该算法的最大优势在于针对某待测网络行为，通过D-S数据融合方式综合判断多个初级入侵检测模型的初步判断结果推出最终推论，从而得到高精度的分类模型，并且为了降低误报率和漏报率，设计了复合式入侵检测模型，即由多个改进核心向量机并行工作来同时完成误用入侵检测和异常入侵检测。为了改善入侵检测系统的实时性，本发明选择核心向量机作为入侵检测的核心算法，从而使得在尽量不降低精度的情况下提高入侵检测系统的速度。

发明内容

针对上述背景技术中提到的目前基于单分类器的入侵检技术、仅仅依靠误用技术或异常技术的入侵检测实施方案中普遍存在的入侵检测精度低、实时型差、漏报率和误报率偏高、泛化能力差等缺陷，本发明提出了一种基于改进核心向量机数据融合的复合式入侵检测方法。

本发明的技术方案是通过如下技术方案实现的：

一种基于改进核心向量机数据融合的复合式入侵检测方法，包含如下步骤：

步骤1：从目标网络一段连续时间的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x₁,x₂,…,x_n属性的监测数据和已知入侵检测结果的已知网络行为；

步骤2：将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；

步骤3：对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；

步骤4：通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；

步骤5：先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。

进一步地，所述步骤1中特征向量集合的列数为n+2，行数为历史记录的条数。

进一步地，所述步骤2包括如下步骤：

步骤2.1：设定各样本子集中每条样本均包括n+2个特征属性，其中第一条特征属性为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的x₁,x₂,…,x_n属性的监测数据，第n+2条特征属性对应目标网络当时的已知网络行为；

步骤2.2：将步骤2.1中各属性x₁,x₂,…,x_n的监测数据按照各自的取值范围全部归一化到[0,1]区间；

步骤2.3：将误用入侵检测和异常入侵检测中所有的已知网络行为分别设定为数值型类别标号；

步骤2.4：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3误用入侵检测的类别标号作为改进核心向量机的输出量，构造成黑名单数据样本子集；

步骤2.5：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3异常入侵检测的类别标号作为改进核心向量机的输出量，构造成白名单数据样本子集。

进一步地，所述已知网络行为包括“正常”、“拒绝服务类攻击”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”和“未知种类网络攻击”，将上述六种已知网络行为的类别标号设定为-2、-1、0、+1、+2、+3。

进一步地，所述步骤3包括如下步骤：

步骤3.1：设定改进核心向量机的训练参数，所述训练参数包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模和粒子群算法的适应度函数；

步骤3.2：分别将黑、白名单数据样本子集输入到改进核心向量机中进行训练以得到初级误用入侵检测模型和初级异常入侵检测模型；

步骤3.3：在得到初级误用入侵检测模型和和初级异常入侵检测模型的同时，通过粒子群算法动态搜索出改进核心向量机的其他训练参数，所述其他训练参数包括惩罚因子C、核函数的核宽参数σ和损失函数参数ε；

步骤3.7：将所述初级误用入侵检测模型和初级异常入侵检测模型的类别标号与所述网络安全设备日志历史记录中的已知网络行为的类别标号进行比对，以得到初级误用入侵检测模型和初级异常入侵检测模型的精度；

进一步地，所述步骤3.2和步骤3.5中，分别采用最小包含球算法进行训练。

进一步地，所述步骤4包括如下步骤：

步骤4.1：构造基于D-S证据理论识别框架的复合入侵检测模型，所述识别框架为初级误用入侵检测模型和初级异常入侵检测模型的精度并集；

步骤4.2：将每个初级误用入侵检测模型和初级异常入侵检测模型的输出作为一个独立的证据体；

步骤4.3：确定各证据体的基本概率分配函数；

步骤4.4：利用基本概率分配函数计算各证据体对识别框架中所有已知网络行为的信度函数和似真函数；

步骤4.5：利用D-S证据融合法则计算上述证据体联合作用下的信度函数Bel和似真函数p；

步骤4.6：通过信度函数Bel和似真函数p，得到证据体对识别框架中所有已知网络行为的联合置信区间[Bel，pl]。

进一步地，所述步骤5包括如下步骤：

步骤5.1：通过初级误用入侵检测模型和初级异常入侵检测模型辨识出待测网络行为的类别标号；

步骤5.2：通过复合入侵检测模型得到该待测网络行为的最终检测结果。

进一步地，在步骤5.2的所述复合入侵检测模型中，

如果初级误用入侵检测模型的类别标号与初级异常入侵检测模型的类别标号相同，则直接输出最终检测结果；

如果初级误用入侵检测模型的类别标号与初级异常入侵检测模型的类别标号不同，则分别求得初级误用入侵检测模型和初级异常入侵检测模型的置信度，选取置信度高的入侵检测模型的数值型类别标号作为最终检测结果。

本发明的有益效果如下：

本发明的复合式入侵检测方法利用D-S证据融合集成了多个改进核心向量机完成对入侵检测的综合推断。采用本发明对目标网络进行入侵检测，既克服了原有基于单分类器入侵检测技术中普遍存在的检测精度低、泛化能力差等缺陷，而且通过核心向量机的使用还大大提高了入侵检测系统的实时性。此外基于误用技术和异常技术的复合式入侵检测不但对于各已知网络攻击种类具有较高的识别精度，同时对于未知种类的网络攻击也有较高的判别精度。

附图说明

图1为本发明复合式入侵检测方法的流程图；

图2为复合式入侵检测数据样本集的生成过程的流程图；

图3为改进核心向量机数据融合的工作流程图；

具体实施方式

下面结合附图，详细说明本发明方法的实施过程。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备（如防火墙、IDS、IPS等）的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。但目标网络中往往是同时使用多种品牌的网络安全设备，其功能各异，因而需要对各网络安全设备上报的日志做融合处理，即合并各类日志的不同数据字段。所以入侵检测模型需要处理、分析的原始数据具有数据量大、维数高等特点，通常合并后的日志文件都以MB，甚至GB为存储单位，并且日志中每条记录的维数都有几十维，甚至上百维。本发明采用误用入侵检测和异常入侵检测并行工作模型，分别从黑名单和白名单角度对待测网络行为进行判断，并且利用D-S数据融合技术进行推理以提高入侵检测准确度，本发明选用核心向量机作为分类器有效提高了运算速度。这样从局部到整体，使Bagging算法能适用更一般的入侵检测问题。

图1是本发明方法的流程图，可以看出，本发明方法包括如下步骤：

步骤1：数据预处理，从网络安全设备日志中提取误用入侵检测和异常入侵检测所需的特征数据及其对应的时间；

步骤2：构造数据样本集，将步骤1所统计到的数据按照时间监测点由前到后的顺序构造为黑名单数据样本子集和白名单数据样本子集，以供改进核心向量机（CVM-PSO）训练；

步骤3：训练初级入侵检测模型，改进核心向量机（CVM-PSO）通过对黑名单数据样本子集的训练得到初级误用入侵检测模型，改进核心向量机（CVM-PSO）通过对白名单数据样本子集的训练得到初级异常检测模型，初级误用入侵检测模型和初级异常入侵检测模型的序列组成初级入侵检测模型；

步骤4：得到最终入侵检测模型，利用D-S证据理论计算各种初级误用入侵检测模型和初级异常入侵检测模型的精度、信任函数、似真函数及其联合置信区间，依据D-S规则从而完成多个初级入侵检测模型的数据融合，得到最终入侵检测模型；

步骤5：利用基于改进核心向量机数据融合的复合入侵检测模型完成入侵检测，对于某条待测网络设备日志记录将其输入到各种初级入侵检测模型以得到初步推断结果，并利用各种入侵检测模型的联合置信区间对初步推断结果进行数据融合以得到最终入侵检测结果。

所述步骤1由以下步骤组成：

步骤1.1：特征选取，设定网络安全设备（如防火墙、IDS、IPS等）日志的各类属性作为本方法的数据特征。误用入侵检测和异常入侵检测的数据来源相同，唯一的区别在于前者对各类已知攻击类型的网络行为描述更为关注，后者对已知正常的网络行为描述更为关注，因此日志里的各类属性可既作为误用入侵检测特征，又作为异常入侵检测特征；

步骤1.2：数据统计，从网络安全设备（如防火墙、IDS、IPS等）日志的历史记录中统计各类特征x₁,x₂,…,x_n所对应的数据，并将所述特征数据转换为矩阵形式的特征向量集合，该特征向量集合的列数为n+2，行数为历史记录的条数；网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x₁,x₂,…,x_n属性的监测数据和已知入侵检测结果的已知网络行为。

设已知目标网络一段连续时间的安全设备日志，按照步骤1的方法进行数据预处理：记录中包含有时间监测点信息、x₁,x₂,…,x_n属性的监测数据、以及入侵检测结果“正常”、“拒绝服务类攻击（以下简称DoS）”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”、“未知种类网络攻击”，现按照图2的方法将日志记录改造成改进核心向量机可读的数据样本集。

首先，样本集中每条样本均包含n+2个特征属性，其中第一条为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的x₁,x₂,…,x_n属性的监测数据，第n+2条特征属性对应目标网络当时的入侵检测结果；

其次，执行步骤2.1：数据归一化。将数据样本集中各属性x₁,x₂,…,x_n的数值按照各自的取值范围通过公式全部归一化到[0,1]的区间。

例如：x_i的最高值为100，最低值为0.1，则按下面公式进行归一化，其中x为未归一化之前的数值，为归一化之后的数值，由此可将所有数值都约束在[0,1]的值域，

$\hat{x}=\frac{x-0.1}{100-0.1}$

再次，执行步骤2.2：数值化处理，将入侵检测所有可能出现的结果状态设定为数值型类别标号。复合式入侵检测可能出现的检测结果为“正常”、“DoS”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”、“未知种类网络攻击”，因而基于改进核心向量机数据融合的复合式入侵检测模型共有6种入侵检测结果，分别对应上述六种可能出现的监测结果，将六种运行状态设定为“-2、-1、0、+1、+2、+3”等六个数值型类别标号。

最后，执行步骤2.3和2.4：

黑名单数据样本子集构造：将网络安全设备日志构造成黑名单数据样本子集，样本子集中以步骤2.1归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机（CVM-PSO）的输入量，以步骤2.2误用入侵检测的网络行为标号作为改进核心向量机（CVM-PSO）的输出量；所述输入量和输出量构成了训练数据集的黑名单数据样本子集，将训练数据集输入到改进核心向量机，以执行后续初级入侵检测模型训练；

白名单数据样本子集构造：将网络安全设备日志构造成白名单数据样本子集，样本子集中以步骤2.1归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机（CVM-PSO）的输入量，以步骤2.2异常入侵检测的网络行为标号作为改进核心向量机（CVM-PSO）的输出量；所述输入量和输出量构成了训练数据集的白名单数据样本子集，将训练数据集输入到改进核心向量机，以执行后续初级入侵检测模型训练。

改进核心向量机数据融合的详细训练过程如图3，主要包括下列步骤：

步骤3.1：设定改进核心向量机训练参数，包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模、粒子群算法的适应度函数等；

步骤3.2：将黑名单数据样本子集输入到改进核心向量机（CVM-PSO）训练以得到初级误用入侵检测模型；

步骤3.3：步骤3.2中改进核心向量机（CVM-PSO）的其他训练参数由粒子群算法动态搜索得到，CVM的其他训练参数指惩罚因子C、核函数的核宽参数σ和损失函数参数ε；

步骤3.4：设定改进核心向量机训练参数，包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模、粒子群算法的适应度函数等；

步骤3.5：将白名单数据样本子集输入到改进核心向量机（CVM-PSO）训练以得到初级异常入侵检测模型；

步骤3.6：步骤3.5中改进核心向量机（CVM-PSO）的其他训练参数由粒子群算法动态搜索得到，CVM的其他训练参数指惩罚因子C、核函数的核宽参数σ和损失函数参数ε；

步骤3.7：将所述初级误用入侵检测模型和初级异常入侵检测模型的类别标号与所述网络安全设备日志历史记录中的已知网络行为的类别标号进行比对，以得到初级误用入侵检测模型和初级异常入侵检测模型的精度；

特别注意的是在步骤3.1中的训练过程是利用核心向量机CVM完成对样本数据的训练。核心向量机CVM改进于支持向量机SVM（Support Vector Machine）。核心向量机CVM的改进在于利用最小包含球算法MEB（Minimum Enclosing Ball）代替了支持向量机SVM中的凸二次规划，从而大大节省了运算时间。最小包含球算法MEB算法理论基础来自于“计算几何（Computational Geometry）”。核心向量机CVM利用最小包含球算法MEB算法求解原n维欧氏空间Rⁿ中目标问题Φ，其过程如下：

（1）将原n维欧氏空间Rⁿ中的目标问题Φ映射到Hilbert空间，并在Hilbert空间中构造对偶问题Φ'。

（2）根据对偶问题Φ'的样本集S构造初始球。

（3）迭代求解样本集S的核子集S_c，即完成对偶问题Φ'到最小闭包球MEB问题的转化。设c、r分别为初始球的重心和半径，使用B(c,r)表示一个重为c，半径为r的球，r∈[0,R]，r的上限为R，当r增加到R时，此时的球即为MEB球。再设误差阈值δ＞0，球B(c,(1+δ)r)视为MEB(S)的(1+δ)近似球。则核子集S_c可定义为：若真子集S_c以因子(1+δ)扩展的最小闭包球MEB包含了所有S中的样本点，即：其中B(c,R)=MEB(S_c)，则真子集S_c称为S的核子集。

（4）在中心约束条件下，求解最小闭包球MEB问题，即求解原n维欧氏空间Rⁿ的目标问题Φ。

步骤3.3和步骤3.6所提到的粒子群算法是一种具有很强全局寻优能力的群智能优化算法。其核心思想是在n维解空间初始化一个含有若干个粒子的种群，种群中每个粒子代表一个n维可行解并具备各自的速度v(v是n维向量)，并构造一个种群适应度函数F，同时设定适应度函数F的最小值θ及种群最大迭代次数T，其中θ也是适应度函数F的收敛判别条件。粒子在解空间中根据自身飞行经验和群体飞行经验调整自己的飞行轨迹，向最优点靠拢。由于粒子在飞行过程中同时受种群历史最优位置g_best和自身历史最优位置p_best共同作用，因而粒子飞行轨迹具有记忆特性，从而可以快速到达最终最优位置。采用粒子群优化算法对CVM的训练参数进行优化，可以改善CVM的精度。PSO的迭代搜索过程如下：

PSO初始化，随机构造由i个粒子组成的初始种群，并给初始种群中所有粒子赋以初始位置及初始速度并计算初始种群中每个粒子的F(i)，若初始种群粒子的min(F(i))≤θ，则取min(F(i))的粒子作为待求问题的最优解，否则按式（1）-（3）更新粒子速度和位置，即进行种群迭代。

${V_i}^{k+1}={\mathrm{\ω}}_i{V_i}^k+C_1\·r_1\·(p_{\mathrm{besti}}-X_i^k)+C_2\·r_2\·(g_{\mathrm{besti}}-X_i^k)---\left(1\right)$

$X_i^{k+1}=X_i^k+{V_i}^{k+1}---\left(2\right)$

${\mathrm{\ω}}_i={\mathrm{\ω}}_1-\frac{{\mathrm{\ω}}_1-{\mathrm{\ω}}_{i-1}}{k},{\mathrm{\ω}}_0={\mathrm{\ω}}_1,i=1,...,n---\left(3\right)$

公式（1）中：p_best为粒子经过的个体最优位置；g_best为种群经过的最优位置；k为迭代次数；i为种群规模；r₁和r₂为[0,1]之间的随机数；C₁和C₂为2个学习因子；ω为惯性权重，ω初值取0.8。在公式（1）中ω决定了粒子群优化算法的寻优收敛能力，当ω较大时全局收敛能力较强，当ω较小时局部收敛能力较强，所以ω的更新公式（3）可以保证粒子群优化算法在前期全局收敛能力强，后期局部收敛能力强。当在某次迭代中出现min(F(i))≤θ或者迭代次数达到T，则算法终止。

完成初级入侵检测模型训练后，利用D-S证据理论对多个初级入侵检测模型进行数据融合以得到最终入侵检测模型，再利用其完成待测网络行为的推断，具体包括步骤4和步骤5：

步骤4：得到最终入侵检测模型，利用D-S证据理论计算各种初级误用入侵检测模型和初级异常入侵检测模型的精度、信任函数、似真函数及其联合置信区间，依据D-S规则从而完成多个初级入侵检测模型的数据融合，得到最终入侵检测模型，所述步骤4具体包括下列步骤：

步骤4.1：构造最终入侵检测模型中基于D-S证据理论的识别框架，最终入侵检测模型的识别框架为初级误用入侵检测模型和初级异常入侵检测模型的精度并集，即该识别框架中包含了初级误用入侵检测模型能够辨识的各类网络攻击行为和正常网络行为以及初级异常入侵检测模型能够辨识的正常网络行为和网络攻击行为。需要注意的是在初级误用入侵检测模型和初级异常入侵检测模型中对于正常网络行为的描述是不同的；

步骤4.2：选择证据体，将每个初级误用入侵检测模型和初级异常入侵检测模型的输出作为一个独立的证据体；

步骤4.3：确定各证据体的基本概率分配函数，D-S证据理论中多信息数据融合的本质是在同一识别框架下，将不同的证据体合为一个新证据体的过程，核心步骤是如何根据现有的证据体构造出基本概率分配函数；

步骤4.4：利用基本概率分配函数计算各证据对识别框架中所有已知网络行为的信度函数和似真函数；

步骤4.5：证据合成，利用D-S证据融合法则计算上述证据体联合作用下的信度函数Bel和似真函数pl。对于多个信度函数情况下的合成可以依次计算。设Be1₁，Bel₂，…，Bel_n是同一识别框架下的n个信度函数，m₁，m₂，…，m_n分别是其对应的基本概率分配函数，如果存在，则n个信任函数的组合为，由D-S证据融合理论所得的最终证据与其组合次序无关；

步骤4.6：得到证据体对识别框架中所有已知网络行为的信度区间[Be1，pl]。

步骤5：利用基于改进核心向量机数据融合的复合入侵检测模型完成入侵检测，对于某条待测网络设备日志记录将其输入到各种初级入侵检测模型以得到初步推断结果，并利用各种入侵检测模型的联合置信区间对初步推断结果进行数据融合以得到最终入侵检测结果，步骤5包含下列步骤：

步骤5.1：对于待测网络行为，根据初级误用入侵检测模型和初级异常入侵检测模型辨识其类别标号归属；

步骤5.2：根据信度区间[Bel，pl]判断该待测网络行为的最终推断结果。

本发明的复合式入侵检测方法，其复合式入侵检测方法是：对于待测网络行为利用初级误用入侵检测模型和初级异常入侵检测模型进行初步判断，再结合D-S证据理论完成最终入侵检测推断，其中误用入侵检测（黑名单）和异常入侵检测（白名单）是并行完成的。

经过上述5个步骤的训练学习之后，形成基于改进核心向量机数据融合的复合式入侵检测模型，从而实现对待测记录的精确推断。

本发明在提高入侵检测系统实时性，降低入侵检测系统漏报率和误报率方面，以及提高入侵检测系统泛化能力方面，均有较好的性能。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (7)

1.一种基于改进核心向量机数据融合的复合式入侵检测方法，其特征在于，该方法包含如下步骤：

步骤1：从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x₁,x₂,…,x_n属性的监测数据和已知入侵检测结果的已知网络行为；

步骤2：将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；

步骤3：对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；

步骤4：通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；

步骤5：先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果；

所述步骤3包括如下步骤：

步骤3.1：设定改进核心向量机的训练参数，所述训练参数包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模和粒子群算法的适应度函数；

步骤3.2：分别将黑、白名单数据样本子集输入到改进核心向量机中进行训练以得到初级误用入侵检测模型和初级异常入侵检测模型；

步骤3.3：在得到初级误用入侵检测模型和和初级异常入侵检测模型的同时，通过粒子群算法动态搜索出改进核心向量机的其他训练参数，所述其他训练参数包括惩罚因子C、核函数的核宽参数σ和损失函数参数ε；

步骤3.4：将所述初级误用入侵检测模型和初级异常入侵检测模型的类别标号与所述网络安全设备日志历史记录中的已知网络行为的类别标号进行比对，以得到初级误用入侵检测模型和初级异常入侵检测模型的精度；

所述步骤4包括如下步骤：

步骤4.1：构造基于D-S证据理论识别框架的复合入侵检测模型，所述识别框架为初级误用入侵检测模型和初级异常入侵检测模型的精度并集；

步骤4.2：将每个初级误用入侵检测模型和初级异常入侵检测模型的输出作为一个独立的证据体；

步骤4.3：确定各证据体的基本概率分配函数；

步骤4.4：利用基本概率分配函数计算各证据体对识别框架中所有已知网络行为的信度函数和似真函数；

步骤4.5：利用D-S证据融合法则计算上述证据体联合作用下的信度函数Bel和似真函数p；

步骤4.6：通过信度函数Bel和似真函数p，得到证据体对识别框架中所有已知网络行为的联合置信区间[Bel，pl]。

2.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤1中特征向量集合的列数为n+2，行数为历史记录的条数。

3.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤2包括如下步骤：

步骤2.1：设定各样本子集中每条样本均包括n+2个特征属性，其中第一条特征属性为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的x₁,x₂,…,x_n属性的监测数据，第n+2条特征属性对应目标网络当时的已知网络行为；

步骤2.2：将步骤2.1中各属性x₁,x₂,…,x_n的监测数据按照各自的取值范围全部归一化到[0,1]区间；

步骤2.3：将误用入侵检测和异常入侵检测中所有的已知网络行为分别设定为数值型类别标号；

步骤2.4：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3误用入侵检测的类别标号作为改进核心向量机的输出量，构造成黑名单数据样本子集；

步骤2.5：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3异常入侵检测的类别标号作为改进核心向量机的输出量，构造成白名单数据样本子集。

4.根据权利要求3的复合式入侵检测方法，其特征在于，所述已知网络行为包括“正常”、“拒绝服务类攻击”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”和“未知种类网络攻击”，将上述六种已知网络行为的类别标号设定为-2、-1、0、+1、+2、+3。

5.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤3.2中，分别采用最小包含球算法进行训练。

6.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤5包括如下步骤：

步骤5.1：通过初级误用入侵检测模型和初级异常入侵检测模型辨识出待测网络行为的类别标号；

步骤5.2：通过复合入侵检测模型得到该待测网络行为的最终检测结果。

7.根据权利要求6所述的复合式入侵检测方法，其特征在于，在步骤5.2的所述复合入侵检测模型中，

如果初级误用入侵检测模型的类别标号与初级异常入侵检测模型的类别标号相同，则直接输出最终检测结果；

如果初级误用入侵检测模型的类别标号与初级异常入侵检测模型的类别标号不同，则分别求得初级误用入侵检测模型和初级异常入侵检测模型的置信度，选取置信度高的入侵检测模型的数值型类别标号作为最终检测结果。