CN104980442B - 一种基于元样本稀疏表示的网络入侵检测方法 - Google Patents

Abstract

本发明涉及网络安全领域，其公开了一种基于元样本稀疏表示的网络入侵检测方法，解决传统常用的入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的问题。该方法包括以下步骤：a.使用网络数据采集工具采集网络实例，构建训练样本集；b.从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集；c.采用稀疏表示分类方法对待识别网络数据进行检测，以识别待测网络数据所属类别。本发明适用于网络入侵检测。

Description

一种基于元样本稀疏表示的网络入侵检测方法

技术领域

本发明涉及网络安全领域，具体涉及一种基于元样本稀疏表示的网络入侵检测方法。

背景技术

随着网络技术的飞速发展和网络规模的不断扩大，网络安全问题日趋严重。入侵检测作为维护网络安全的一项重要技术，俨然已成为信息安全领域一个重要的研究内容，获得了众多专家学者的广泛关注。入侵检测技术主要是通过分析相关的网络数据来判断系统中是否存在违背系统安全或安全策略的行为。

入侵检测本质上可以看成是一个分类问题，可以把网络中的所有行为分为两类即正常行为和异常行为，这样入侵检测可以被划分到模式识别和分类的范畴。根据分析方法和检测原理的不同，可以将入侵检测技术分为异常检测和误用检测两类，异常检测通常漏报率较低，但往往存在误报率过高的问题。误用检测准确度高，但对于未知攻击的效果并不明显。因此，两种检测方式都面临着训练时间、噪声数据和实时检测的挑战。

迄今为止，入侵检测技术的发展主要经历了三个阶段：行为规则匹配、可靠性检测和机器学习检测。相对于其他方法，基于机器学习的入侵检测方法一般具有更好的自适应性、学习性和抗毁性，能有效对抗网络中已知和未知的攻击方式。将机器学习方法用于入侵检测的一般做法是首先收集网络中的入侵数据和正常数据，从中提取数据的特征，构建特征数据库，然后进行模式匹配，检测出攻击行为。各种机器学习方法如神经网络、遗传算法、隐马尔科夫模型等已被引入到入侵检测系统中，但是网络入侵检测的数据往往具有高维、高噪、小样本的特点，传统的机器学习算法多是建立在样本数量趋于无穷大的假设上的，这就导致基于这些机器学习算法的入侵检测系统不能得到非常理想的效果。

近年来，受到基于l₁范数最小化方法如基追踪、压缩感知等算法的启发，稀疏表示作为一种新颖有效的数据处理方法应运而生，相关理论也受到了越来越多专家学者的关注，并已在人脸识别、图像处理等领域得到了广泛应用。理想情况下，稀疏表示分类中待测样本可以仅由同类的训练样本很好的表示。此时，稀疏表示稀疏向量中只有少量非零系数，l₁正则化最小二乘方法可以用来求解稀疏表示系数。与传统的监督学习方法不同，稀疏表示不需要构建分类模型，不包括训练和测试阶段，这就避免了过学习的问题。稀疏表示方法已被成功应用于人脸识别和肿瘤分类等领域。稀疏表示分类方法能够大大地提升高噪、高维数据的识别与分类的性能。

然而，由于同一类型的网络数据中存在大量的冗余信息，直接使用原始的训练样本有时并不能有效地表示新的待测样本，同时，训练样本过多会导致算法速度变慢。

发明内容

本发明所要解决的技术问题是：提出一种基于元样本稀疏表示的网络入侵检测方法，解决传统常用的入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的问题。

本发明解决上述技术问题所采用的方案是：一种基于元样本稀疏表示的网络入侵检测方法，包括以下步骤：

a.使用网络数据采集工具采集网络实例，构建训练样本集；

b.从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集；

c.采用稀疏表示分类方法对待识别网络数据进行检测，以识别待测网络数据所属类别。

进一步的，步骤b中，采用矩阵分解法从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集，具体方法是：

b1.对训练样本集中的每一类训练样本进行归一化处理；

b2.采用奇异值分解(SVD)方法对每类训练样本进行分解，得到每类训练样本的元样本；

b3.将得到的每类训练样本的元样本进行合并处理，得到元样本集，并替代训练样本集。

具体的，步骤b1中，所述对训练样本集中的每一类训练样本进行归一化处理，具体包括：

其中，x_i是训练样本特征向量x中第i个分量，x_max为特征向量x中最大的分量，x_min是特征向量x中最小的分量,x_i′为归一化以后的向量。

具体的，步骤b2中，所述采用奇异值分解方法对每类训练样本进行分解的方法如下：

A_i～W_iH_i

其中A_i表示第i类训练样本集，每一列表示一个网络数据，每一行表示一个数据特征，W_i表示一个m_i×p_i的矩阵，其中每一列就是所需要的元样本；H_i是一个p_i×n_i的矩阵；p_i是第i类元样本的数目。

具体的，步骤b3中，所述将得到的每类训练样本的元样本进行合并处理的方法是：

将所求每一类元样本W_i组合成一个字典集合：

W＝[W₁,W₂,...,W_k]。

进一步的，步骤c中，所述采用稀疏表示分类方法对待识别网络数据进行检测，识别待测网络数据所属类别，具体包括：

c1.求解稀疏表示系数；

c2.使用每个类的元样本集与对应稀疏表示系数重构待测数据(这里所述的待测数据即指待识别网络数据)；

c3.计算经过重构的待测数据与真实待测样本数据(即待识别网络数据)之间的误差，误差最小者即为该待测样本所属类别。

具体的，步骤c1中，求解稀疏表示系数的方法是：将每个待测样本表示为字典集的线性组合，从而计算得到每类字典对应的稀疏表示系数，将任意位置类别的待测样本表示为所述字典集合的线性组合：

y＝Wx；

其中，x＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T∈Rⁿ

稀疏表示系数x可以通过求解如下最优化问题得到：

其中，λ是一个用来平衡重构误差和稀疏度的标量正则化参数。

具体的，步骤c2和c3中，采用Wx_i来重构测试样本y，然后通过计算二者之间的近似误差来确定y的类别，Wx_i与的误差计算公式如下：

r_i(y)＝||y-Wx_i||₂,(i＝1,2...,k)

其中x_i＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T，重构误差r_i(y)越小，则第i个类在表示测试样本y的过程中所做的贡献就越大，根据重构误差值的大小来分类y,即如果

则将测试样本归入到第l(y)类中去。

本发明的有益效果是：一方面，通过提取同类训练样本的元样本，剔除了原始训练样本中的冗余信息，大大减少了计算量，提高了检测性能；另一方面，在元样本的基础上使用稀疏表示分类方法，避免了传统机器学习方法训练模型的构建，同时，稀疏表示方法的表示力强、对不平衡数据集的鲁棒性好、去噪性能良好、检测速度快，这些特点可有效地解决入侵检测数据维数高和先验知识缺乏的问题，能够获得较高的检测率和较低的误报率。

附图说明

图1为本发明网络入侵检测方法流程图；

图2为元样本模型；

图3为实施例中网络入侵检测方法流程图。

具体实施方式

本发明旨在提出一种基于元样本稀疏表示的网络入侵检测方法，解决传统常用的入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的问题。

如图1所示，本发明中的基于元样本稀疏表示的网络入侵检测方法包括以下步骤：

A.使用网络数据采集工具采集网络实例，构建训练样本集；

B.从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集；

C.采用稀疏表示分类方法对待识别网络数据进行检测，以识别待测网络数据所属类别。

下面结合实施例对本发明的方案作更进一步的描述：

本例所使用的数据来自数据集KDD CUP99，数据集包含五种攻击类型，分别是Normal、DoS、PROBE、R2L和U2L。其中每一条记录都包含来自于一条连接的41个特征。其数据结构如下表所示：

表一.数据结构表

如图3所示，本例中的网络入侵检测方法包括以下步骤：

1、数据集输入：使用网络数据采集工具采集网络实例，构建训练样本集。

2、对训练样本集进行预处理：

其中，x_i是训练样本特征向量x中第i个分量，x_max为特征向量x中最大的分量，x_min是特征向量x中最小的分量,x_i′为归一化以后的向量。

3、元样本提取：针对每类训练样本使用奇异值分解算法分别提取其本质特征—元样本，以元样本代替原始训练样本，将所有类的元样本组合在一起作为字典即新的训练样本集，SVD提取元样本的数学表达如下：

A_i～W_iH_i

其中A_i表示第i类训练样本集，每一列表示一个网络数据，每一行表示一个数据特征，W_i表示一个m_i×p_i的矩阵，其中每一列就是所需要的元样本；H_i是一个p_i×n_i的矩阵；p_i是第i类元样本的数目，这个参数在实验部分确定。元样本提取模型参见图2，对原训练样本集中的每一类训练样本进行SVD处理，获得对应种类的元样本，再将所有类型元样本合并就可以获得新的训练样本集。

4、获取新的训练样本集(即元样本集)：将所求每一类元样本W_i组合成一个字典集合：

W＝[W₁,W₂,...,W_k]。

5、稀疏表示系数求解：

将每个待测样本表示为字典集的线性组合，从而计算得到每类字典对应的稀疏表示系数，将任意位置类别的待测样本表示为所述字典集合的线性组合，如下所示：

y＝Wx

其中，x＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T∈Rⁿ是一个非常稀疏的系数向量，理想情况下，只有与测试样本y属于同类的的训练样本对应的系数为非零系数，其他与y不同类的训练样本对应的系数都应该等于零。换句话说，如果x中的非零项都集中在同一类别i中，那么就可以将待测样本y划分到第i类中。

考虑到数据中存在一定程度的噪声，求解稀疏表示系数x可以通过求解如下最优化问题得到：

其中，λ是一个用来平衡重构误差和稀疏度的标量正则化参数。可以通过实验来确定。

6、识别待测样本所属类别：

分别使用每个类对应的稀疏表示系数重构待测样本，计算每个类的重构残差，将待测样本划分到具有最小重构残差的类中，完成检测。

理想情况下，只有与测试样本y有同样类标签的训练样本对应的系数是不等于零的，但是噪声和模型构建的误差可能会导致其他与测试样本y不同类的部分训练样本对应的系数也非零，因此不能简单地根据非零系数来决策y的所属类别。为了解决这个问题，正确对y进行归类，本发明使用Wx_i来重构测试样本y，然后通过计算二者之间的近似误差来确定y的类别，Wx_i与y的误差计算公式如下：

r_i(y)＝||y-Wx_i||₂,(i＝1,2...,k)其中x_i＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T，重构误差r_i(y)越小，则第i个类在表示测试样本y的过程中所做的贡献就越大，因此可以根据重构误差值的大小来分类y,即如果

则将测试样本归入到第l(y)类中去。

Claims (5)

1.一种基于元样本稀疏表示的网络入侵检测方法，其特征在于，包括以下步骤：

a.使用网络数据采集工具采集网络实例，构建训练样本集；

b.从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集；

c.采用稀疏表示分类方法对待识别网络数据进行检测，以识别待测网络数据所属类别，具体包括步骤c1-c3:

c1.求解稀疏表示系数；

c2.使用每个类的元样本集与对应稀疏表示系数重构待测数据；

c3.计算经过重构的待测数据与真实待测样本数据之间的误差，误差最小者即为该待测样本所属类别；

步骤c1中，求解稀疏表示系数的方法是：将每个待测样本表示为字典集的线性组合，从而计算得到每类字典对应的稀疏表示系数，将任意位置类别的待测样本表示为字典集合的线性组合：

y＝Wx；

其中，W表示字典集合，x＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T∈Rⁿ

稀疏表示系数x可以通过求解如下最优化问题得到：

<mrow> <mi>J</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <mi>&amp;lambda;</mi> <mo>)</mo> </mrow> <mo>=</mo> <munder> <mi>min</mi> <mi>x</mi> </munder> <mo>{</mo> <msub> <mrow> <mo>|</mo> <mo>|</mo> <mi>Ax</mi> <mo>-</mo> <mi>y</mi> <mo>|</mo> <mo>|</mo> </mrow> <mn>2</mn> </msub> <mo>+</mo> <mi>&amp;lambda;</mi> <msub> <mrow> <mo>|</mo> <mo>|</mo> <mi>x</mi> <mo>|</mo> <mo>|</mo> </mrow> <mn>1</mn> </msub> <mo>}</mo> </mrow>

其中，A表示训练样本集，λ是一个用来平衡重构误差和稀疏度的标量正则化参数；

步骤c2和c3中，采用Wx_i来重构测试样本y，然后通过计算二者之间的近似误差来确定y的类别，Wx_i与y的误差计算公式如下：

r_i(y)＝||y-Wx_i||₂,(i＝1,2...,k)

其中，x_i是训练样本特征向量x中第i个分量，x_i＝[0,...0,a_i,1,a_i,2,...,a_i,ni,0...,0]^T，重构误差r_i(y)越小，则第i个类在表示测试样本y的过程中所做的贡献就越大，根据重构误差值的大小来分类y,即如果

<mrow> <mi>l</mi> <mrow> <mo>(</mo> <mi>y</mi> <mo>)</mo> </mrow> <mo>=</mo> <mi>arg</mi> <munder> <mrow> <mi>m</mi> <mi>i</mi> <mi>n</mi> </mrow> <mi>i</mi> </munder> <msub> <mi>r</mi> <mrow> <mi>i</mi> <mrow> <mo>(</mo> <mi>y</mi> <mo>)</mo> </mrow> </mrow> </msub> </mrow>

则将测试样本归入到第l(y)类中去。

2.如权利要求1所述的一种基于元样本稀疏表示的网络入侵检测方法，其特征在于，步骤b中，采用矩阵分解法从构建的网络训练样本集中提取元样本，形成元样本集并替代训练样本集，具体方法是：

b1.对训练样本集中的每一类训练样本进行归一化处理；

b2.采用奇异值分解方法对每类训练样本进行分解，得到每类训练样本的元样本；

b3.将得到的每类训练样本的元样本进行合并处理，得到元样本集，并替代训练样本集。

3.如权利要求2所述的一种基于元样本稀疏表示的网络入侵检测方法，其特征在于，步骤b1中，所述对训练样本集中的每一类训练样本进行归一化处理，具体包括：

<mrow> <msubsup> <mi>x</mi> <mi>i</mi> <mo>&amp;prime;</mo> </msubsup> <mo>=</mo> <mfrac> <mrow> <msub> <mi>x</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mi>x</mi> <mrow> <mi>m</mi> <mi>i</mi> <mi>n</mi> </mrow> </msub> </mrow> <mrow> <msub> <mi>x</mi> <mi>max</mi> </msub> <mo>-</mo> <msub> <mi>x</mi> <mrow> <mi>m</mi> <mi>i</mi> <mi>n</mi> </mrow> </msub> </mrow> </mfrac> </mrow>

其中，x_i是训练样本特征向量x中第i个分量，x_max为特征向量x中最大的分量，x_min是特征向量x中最小的分量,x_i′为归一化以后的向量。

4.如权利要求2所述的一种基于元样本稀疏表示的网络入侵检测方法，其特征在于，步骤b2中，所述采用奇异值分解方法对每类训练样本进行分解的方法如下：

A_i～W_iH_i

其中A_i表示第i类训练样本集，每一列表示一个网络数据，每一行表示一个数据特征，W_i表示一个m_i×p_i的矩阵，其中每一列就是所需要的元样本；H_i是一个p_i×n_i的矩阵；p_i是第i类元样本的数目。

5.如权利要求2所述的一种基于元样本稀疏表示的网络入侵检测方法，其特征在于，步骤b3中，所述将得到的每类训练样本的元样本进行合并处理的方法是：

将所求每一类元样本W_i组合成一个字典集合：

W＝[W₁,W₂,...,W_k]。