CN106485188A - 一种工业用交换机用户异常行为检测方法 - Google Patents

Abstract

本发明公开了一种工业用交换机用户异常行为检测方法，基于多数类分布的处理算法，随机从中选特征指标，重复N次，构造Ｎ个指标子集，训练样本进行投影，得对应的样本，对所有对应元素进行投票，构成少数类样本集合，根据每个对少数类样本集合进行投影，得对应特征指标子空间上的少数类样本和多数类样本，设共有多个类别，对应的参照点集合为，对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于Ｔ的所有数据，若其与参照点同属一类，则将标记，设多数类分布的分析结果，每个类别包含数据数量，返回训练样本子集和特征指标子集合，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为，时间需求减少，同时在准确性评价指标上表现更好。

Description

一种工业用交换机用户异常行为检测方法

技术领域

本发明属于图像目标提取领域，特别涉及一种工业用交换机用户异常行为检测方法。

背景技术

工业用交换机用户异常行为是网络面临的一大威胁，所谓异常行为，顾名思义，是指与正常行为相对应，由网络用户实施的对网络正常运行造成影响的行为，例如传播蠕虫、DDOS攻击等。这些行为会造成网络服务质量急剧下降，网络负载加重甚至瘫痪等后果。随着网络快速发展，网络用户异常行为的新变种以及新行为层出不穷，其威胁也日益严重。因此无论是加强对用户行为的管控，还是保障网络的正常运行，都要求能够对网络用户的异常行为实施快速、准确的检测。早期人们通常采用端口扫描、报文特征字段匹配等方法对异常行为进行深入分析以获取特征，从而实现网络用户异常行为的检测。然而，随着用户异常行为不断变化，依靠人工对异常行为进行分析以获取特征的代价越来越高昂甚至不可行。随着人工智能技术的发展，机器学习技术更多地被用于从网络数据中自动计算异常行为模式、提取其特征，从而自动产生检测规则，大大降低了开发代价。虽然协同学习方法能够因只需部分标记的训练样本数据而降低系统开销，但其通常假设训练样本是均匀和平衡的，而实际的网络环境中，包含网络用户异常行为的网络数据中存在着明显的非平衡性和分布复杂性，若将协同学习方法直接用于网络用户异常行为的检测，则其生成的成员分类器会产生过拟合现象，从而影响协同学习的效果、降低检测的准确性。

发明内容

针对现有技术的不足本发明提供一种工业用交换机用户异常行为检测方法，该方法对训练样本中标记数据的时间需求减少，同时在准确性评价指标上表现更好，能更快速准确地检测出网络用户的异常行为。

一种工业用交换机用户异常行为检测方法，包括如下步骤：

1)基于多数类分布的改进EasyEnssemble样本处理算法。

输入：训练样本

检测特征指标集F_object＝{C₁,C₂,…,C_n}，检测特征指标子空间的特征数量s，特征指标子空间数量N，其中s＜n，N为奇数

输出：训练样本子集{X₁,X₂,…,X_M}，检测特征指标子集{F₁,F₂,…,F_N}

2)随机从F_object中选取s项特征指标，重复N次，构造N个特征指标子集{F₁,F₂,…,F_N}，对每一个F_i(i∈[1,N])，有F_i＝{C₁,C₂,…,C_s}，其中C₁,C₂,…,C_s∈F_object且各特征指标子集互不相同。

3)根据每个F_i(i∈[1,N])对训练样本X进行投影，得对应特征指标子空间上的样本

使用CUR方法对{a′₁,a'₂,…,a'_m}进行二分类聚类(取聚类数目K＝2，收缩因子a＝0。3，从两种已标记数据中抽取约10％作为代表点)，计算结果两个类别中对应t＝1的元素数量，令数量多者为少数类结果Minor(F_i)。

4)对所有Minor(F_i)(i∈[1,N])中对应t＝0元素进行投票，按简单多数确定其是否为少数类元素，投票结果与训练样本X中t＝1元素合并，构成少数类样本集合设其s₁项数据，则Minor＝{a₁,a₂,…,a_s1}，其中或a_j对应的t＝1，或者t＝0但其出现在过半数的Minor(F_i)中，其余元素构成多数类样本集合设其有s₂项数据，则有s₁+s₂＝m。

5)根据每个F_i对少数类样本集合Mayor进行投影，得对应特征指标子空间上的少数类样本

计算其中心位置，公式为其中

6)根据每个F_i对多数类样本集合Mayor进行投影，得对应特征指标子空间上的多数类样本

对其使用CLIQUE方法进行多类别聚类，设结果中类别数量最多的子空间为Mayor'(F_max)，计算其中每一类别的中心位置，公式为其中搜索距中心距离最近的数据为投票参照点，距离公式为

7)设共有t'个类别，对应的参照点集合为T＝{a₁,a₂,…,a_t'}

8)对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于T的所有数据，若其与参照点x_t,(x_t∈T)同属一类，则将x_t标记加入该数据(若与多个x_t同属一类则加入多个标记)。完毕后对多数类Mayor所有数据的标记投票，选择支持数最多(若相同则选择T中排列靠前的类别)的标记作为该数据类别，检查结果并去除仅含少数点的类别。

9)设多数类分布的分析结果为D₁,D₂,…,D_t，每个类别包含数据数量为Count(D₁),Count(D₂),…,Count(D_t)，确定D₁,D₂,…,D_t的抽样权重

于是类别Di的抽样数量为

10)计算子样本空间数量构造M个多数类样本子集{X′₁,X'₂,…,X'_M}，每个子集初值为空，依次对多数类元素每个类别D_i进行无放回抽样，取样数量计算为Size(D_i)，若取样过程D_i中数据已被取完，则将该类数据重置为初始状态再继续抽取，共取M次，分别加入每个X'_j(j∈[1,M])中。

11)构造M个训练样本子集{X₁,X₂,…,X_M}，其中X_i＝X_i'∪Minor(i∈[1,M])。

12)返回训练样本子集{X₁,X₂,…,X_M}和特征指标子集合{F₁,F₂,…,F_N}，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为。

本发明的有益效果

一种工业用交换机用户异常行为检测方法，该方法对训练样本中标记数据的时间需求减少，同时在准确性评价指标上表现更好，能更快速准确地检测出网络用户的异常行为，针对训练样本存在非平衡性、多数类分布复杂以及部分标记的特点，在分析多数类分布基础上将非平衡训练样本划分为多个均衡且保留原分布信息的训练样本子集，分别供成员分类器训练；在成员分类器生成环节，结合训练样本处理方法，使用样本子空间、样本子空间特征和分类器参数互相组合的混合扰动方法生成足够数量且具备差异性的成员分类器，然后在成员分类器的训练过程中使用选择性集成结果计算置信度及更新数据以降低开销，最后在集成环节则根据所有成员分类器在训练过程中积累的准确性进行选择和组合，构造最终的集成分类器用于网络用户异常行为的检测。

具体实施例

下面对本发明做进一步的阐述，但不是对本发明的限定。

一种工业用交换机用户异常行为检测方法，包括如下步骤：

1)基于多数类分布的改进EasyEnssemble样本处理算法。

输入：训练样本

检测特征指标集F_object＝{C₁,C₂,…,C_n}，检测特征指标子空间的特征数量s，特征指标子空间数量N，其中s＜n，N为奇数

输出：训练样本子集{X₁,X₂,…,X_M}，检测特征指标子集{F₁,F₂,…,F_N}

2)随机从F_object中选取s项特征指标，重复N次，构造N个特征指标子集{F₁,F₂,…,F_N}，对每一个F_i(i∈[1,N])，有F_i＝{C₁,C₂,…,C_s}，其中C₁,C₂,…,C_s∈F_object且各特征指标子集互不相同。

3)根据每个F_i(i∈[1,N])对训练样本X进行投影，得对应特征指标子空间上的样本

使用CUR方法对{a′₁,a'₂,…,a'_m}进行二分类聚类(取聚类数目K＝2，收缩因子a＝0。3，从两种已标记数据中抽取约10％作为代表点)，计算结果两个类别中对应t＝1的元素数量，令数量多者为少数类结果Minor(F_i)。

4)对所有Minor(F_i)(i∈[1,N])中对应t＝0元素进行投票，按简单多数确定其是否为少数类元素，投票结果与训练样本X中t＝1元素合并，构成少数类样本集合设其s₁项数据，则Minor＝{a₁,a₂,…,a_s1}，其中或a_j对应的t＝1，或者t＝0但其出现在过半数的Minor(F_i)中，其余元素构成多数类样本集合设其有s₂项数据，则有s₁+s₂＝m。

5)根据每个F_i对少数类样本集合Mayor进行投影，得对应特征指标子空间上的少数类样本

计算其中心位置，公式为其中

6)根据每个F_i对多数类样本集合Mayor进行投影，得对应特征指标子空间上的多数类样本

对其使用CLIQUE方法进行多类别聚类，设结果中类别数量最多的子空间为Mayor'(F_max)，计算其中每一类别的中心位置，公式为其中搜索距中心距离最近的数据为投票参照点，距离公式为

7)设共有t'个类别，对应的参照点集合为T＝{a₁,a₂,…,a_t'}

8)对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于T的所有数据，若其与参照点x_t,(x_t∈T)同属一类，则将x_t标记加入该数据(若与多个x_t同属一类则加入多个标记)。完毕后对多数类Mayor所有数据的标记投票，选择支持数最多(若相同则选择T中排列靠前的类别)的标记作为该数据类别，检查结果并去除仅含少数点的类别。

9)设多数类分布的分析结果为D₁,D₂,…,D_t，每个类别包含数据数量为Count(D₁),Count(D₂),…,Count(D_t)，确定D₁,D₂,…,D_t的抽样权重

于是类别Di的抽样数量为

10)计算子样本空间数量构造M个多数类样本子集{X′₁,X'₂,…,X'_M}，每个子集初值为空，依次对多数类元素每个类别D_i进行无放回抽样，取样数量计算为Size(D_i)，若取样过程D_i中数据已被取完，则将该类数据重置为初始状态再继续抽取，共取M次，分别加入每个X'_j(j∈[1,M])中。

11)构造M个训练样本子集{X₁,X₂,…,X_M}，其中X_i＝X_i'∪Minor(i∈[1,M])。

12)返回训练样本子集{X₁,X₂,…,X_M}和特征指标子集合{F₁,F₂,…,F_N}，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为。

Claims (1)

1.一种工业用交换机用户异常行为检测方法，其特征在于，包括如下步骤：

1)基于多数类分布的改进EasyEnssemble样本处理算法。

输入：训练样本

检测特征指标集F_object＝{C₁,C₂,…,C_n}，检测特征指标子空间的特征数量s，特征指标子空间数量N，其中s＜n，N为奇数

输出：训练样本子集{X₁,X₂,…,X_M}，检测特征指标子集{F₁,F₂,…,F_N}

2)随机从F_object中选取s项特征指标，重复N次，构造N个特征指标子集{F₁,F₂,…,F_N}，对每一个F_i(i∈[1,N])，有F_i＝{C₁,C₂,…,C_s}，其中C₁,C₂,…,C_s∈F_object且各特征指标子集互不相同。

3)根据每个F_i(i∈[1,N])对训练样本X进行投影，得对应特征指标子空间上的样本

使用CUR方法对{a′₁,a'₂,…,a'_m}进行二分类聚类(取聚类数目K＝2，收缩因子a＝0。3，从两种已标记数据中抽取约10％作为代表点)，计算结果两个类别中对应t＝1的元素数量，令数量多者为少数类结果Minor(F_i)。

4)对所有Minor(F_i)(i∈[1,N])中对应t＝0元素进行投票，按简单多数确定其是否为少数类元素，投票结果与训练样本X中t＝1元素合并，构成少数类样本集合设其s₁项数据，则其中或a_j对应的t＝1，或者t＝0但其出现在过半数的Minor(F_i)中，其余元素构成多数类样本集合设其有s₂项数据，则有s₁+s₂＝m。

5)根据每个F_i对少数类样本集合Mayor进行投影，得对应特征指标子空间上的少数类样本

${\mathrm{Minor}}^{\′}\left(F_i\right)=\left[\begin{array}{c}{a}_1^{\′}\\ .\\ .\\ .\\ a_{s1}^{\′}\end{array}\right]={\left[\begin{array}{cccc}{x}_{1,1}& ...& x_{1,s}& t_1\\ x_{2,1}& ...& x_{2,s}& t_2\\ .& .& .& .\\ .& .& .& .\\ .& .& .& .\\ x_{s1,1}& ...& x_{s1,s}& tm\end{array}\right]}_{m\×(s+1)}---\left(3\right)$

计算其中心位置，公式为 $\stackrel{\‾}{{\mathrm{Minor}}^{\′}\left(F_i\right)}=(\stackrel{\‾}{x_1},\stackrel{\‾}{x_2},...,\stackrel{\‾}{x_s}),$ 其中 $\stackrel{\‾}{x_i}=\frac{\underset{j=1}{\overset{s_1}{\Σ}}{x}_{j,x}}{s_1}.$

6)根据每个F_i对多数类样本集合Mayor进行投影，得对应特征指标子空间上的多数类样本

${\mathrm{Mayor}}^{\′}\left(F_i\right)=\left[\begin{array}{c}{a}_1^{\′}\\ .\\ .\\ .\\ a_{s1}^{\′}\end{array}\right]={\left[\begin{array}{cccc}{x}_{1,1}& ...& x_{1,s}& t_1\\ x_{2,1}& ...& x_{2,s}& t_2\\ .& .& .& .\\ .& .& .& .\\ .& .& .& .\\ x_{s1,1}& ...& x_{s1,s}& tm\end{array}\right]}_{m\×(s+1)}---\left(4\right)$

对其使用CLIQUE方法进行多类别聚类，设结果中类别数量最多的子空间为Mayor'(F_max)，计算其中每一类别的中心位置，公式为 $\stackrel{\‾}{{\mathrm{Mayor}}^{\′}\left(F_{max}\right)}=(\stackrel{\‾}{x_1},\stackrel{\‾}{x_2},...,\stackrel{\‾}{x_s}),$ 其中 $\stackrel{\‾}{x_i}=\frac{\underset{j=1}{\overset{s_1}{\Σ}}{x}_{j,i}}{s_1},$ 搜索距中心距离最近的数据为投票参照点，距离公式为

$d_{a_j^{\′}}=Dist(\stackrel{\‾}{{\mathrm{Minor}}^{\′}\left(F_i\right)},a_i^{\′})=\sqrt{{(\stackrel{\‾}{x_1}-x_{i,1})}^2+{(\stackrel{\‾}{x_2}-x_{i,2})}^2+...+{(\stackrel{\‾}{x_{n^{\′}}}-x_{i,s})}^2}---\left(5\right)$

7)设共有t'个类别，对应的参照点集合为T＝{a₁,a₂,…,a_t'}

8)对其余子空间的分类结果进行集成：在每个子空间的分类结果中查看不属于T的所有数据，若其与参照点x_t,(x_t∈T)同属一类，则将x_t标记加入该数据(若与多个x_t同属一类则加入多个标记)。完毕后对多数类Mayor所有数据的标记投票，选择支持数最多(若相同则选择T中排列靠前的类别)的标记作为该数据类别，检查结果并去除仅含少数点的类别。

9)设多数类分布的分析结果为D₁,D₂,…,D_t，每个类别包含数据数量为Count(D₁),Count(D₂),…,Count(D_t)，确定D₁,D₂,…,D_t的抽样权重

$Ration=1-\frac{Count\left(D_i\right)}{\underset{i=1}{\overset{t}{\Σ}}Ration\left(D_i\right)}---\left(6\right)$

于是类别Di的抽样数量为

10)计算子样本空间数量构造M个多数类样本子集{X′₁,X'₂,…,X'_M}，每个子集初值为空，依次对多数类元素每个类别D_i进行无放回抽样，取样数量计算为Size(D_i)，若取样过程D_i中数据已被取完，则将该类数据重置为初始状态再继续抽取，共取M次，分别加入每个X'_j(j∈[1,M])中。

11)构造M个训练样本子集{X₁,X₂,…,X_M}，其中X_i＝X′_i∪Minor(i∈[1,M])。

12)返回训练样本子集{X₁,X₂,…,X_M}和特征指标子集合{F₁,F₂,…,F_N}，最后，通过特征指标子集合，分析出工业用交换机用户的异常行为。