CN109086603A

CN109086603A - 一种基于机器学习的入侵检测系统及方法

Info

Publication number: CN109086603A
Application number: CN201810751136.4A
Authority: CN
Inventors: 刘涛
Original assignee: Fuyang Institute Of Technology
Current assignee: Fuyang Institute Of Technology
Priority date: 2018-07-10
Filing date: 2018-07-10
Publication date: 2018-12-25

Abstract

本发明属于人工智能领域，公开了一种基于机器学习的入侵检测系统及方法，参考已有的网络安全模型和入侵检测模型，针对实际应用中的需求，构建一种基于机器学习的入侵检测系统框架；首先，采用特征选择方法降低入侵检测中安全数据高维度的特征维度；其次，采用粒子群优化人工神经网络的算法，用以提高检测准确率；第三，采用两种典型的聚类分析算法实现入侵检测中误报的消除。本发明构建的基于机器学习的入侵检测系统框架采用模块化的设计，具有一定的通用性，提出了一种新的入侵检测方法，将协议分析技术和聚类支持向量机相结合，提高聚类支持向量机的检测效率，通过计算机软件有效地改进算法，进一步提高检测率，降低了误报率。

Description

一种基于机器学习的入侵检测系统及方法

技术领域

本发明属于人工智能技术领域，尤其涉及一种基于机器学习的入侵检测系统及方法。

背景技术

目前，业内常用的现有技术是这样的：随着互联网的快速发展，通信网络和信息系统成为一个脆弱的容易受到多种网络类型攻击的对象，网络安全变得越来越受关注，网络安全的威胁日益增加，基于智能网络建立一个高效的网络入侵检测系统非常必要，构筑安全系统存在多种困难：(1)系统软件、操作系统正变得越来越复杂，使得软件设计者在设计时无法预料程序运行时的系统状态，更无法精确地预测在不同系统状态下会发生什么结果，系统往往存在漏洞； (2)随着联网需求的日益增长，要将来自系统外部的服务请求完全隔离是不可能的；(3)组成计算机网络的某些关键技术也并非安全，如广泛应用的TCP/IP协议本身就有许多不完善之处。从根本上讲，绝对安全的计算机是根本不存在的，绝对安全的网络也是不存在的。即使再安全的系统，也可能有各种各样的漏洞。而校园网作为高校教育资源组建的基础平台，对网络安全和信息安全的要求也是极高的。随着校园网在不同领域的广泛应用，信息安全问题也就愈发突出。当前校园网的安全隐患包括有网络部件和环境的不安全因素，软件的不安全造成系统入侵和病毒泛滥。面对校园网络安全的现状，目前主要采取访问控制、数据加密、身份认证、防火墙、和入侵检测技术等措施，保障网络和信息系统的安全。入侵检测技术通过收集操作系统、系统程序、应用程序、以及网络流量包等信息，发现被监控系统或网络中违背安全策略，或危及系统安全的行为，是保障系统和网络安全的有效手段。虽然入侵检测系统有广泛的应用，但是仍然存在一定的问题，主要体现在产生警报的过程，即入侵检测过程，和警报的后期分析处理中。如何通过对这些警报有效并且高效的分析，最终达到对攻击行为的处理和防御，是关键的问题。具体来说，主要包含如下四点：(1) 警报数量大(2)误报率高(3)安全事件信息孤立(4)入侵检测系统通用性差。入侵检测方法大致可以分为两类，误用检测(Misuse Detection)和异常检测 (AnomalyDetection)，误用检测的优点是误报率低，运行效率较高，缺点是只能检测已知模式的攻击行为，对现有攻击的简单变形都可能被忽略，误报率高；异常检测的优点是通用性强，可以检测出未知模式的攻击，缺点是误报和漏报率都较高。基于机器学习的入侵检测是网络安全领域研究的热点，它通过对带有入侵数据的大量训练样本的学习，构建一个用于区分正常状态和入侵状态的入侵检测模型。但目前仍然存在着许多有待解决的问题，如建立分类器模型所需要的训练样本过多、训练样本标注耗费大量时间且过分依赖于领域专业知识等问题。

综上所述，现有技术存在的问题是：

(1)现有的入侵检测系统和检测方法存在检测时间较长，检测精度低，误报、漏报率高。

(2)现有的基于机器学习的入侵检测所需要的训练样本过多、训练样本标注耗费大量时间且过分依赖于领域专业知识。

解决上述技术问题的难度和意义：由入侵检测系统和其它安全设备产生的警报数量通常较为庞大，过多的警报会影响系统的正常运行，依靠人工处理及其困难；在实际的入侵检测中，通常产生的警报中有百分之九十以上都是误报，这使得识别真正的报警更为困难；现有的入侵检测系统报警信息通常是由单一攻击行为触发的单一报警，同一次攻击可能会产生大量的警报，但是无法构建出真实的攻击场景，这难以实现对多步攻击、或复杂网络攻击的分析，同时对于网络威胁和网络态势分析，也难以提供有效的信息。研究警报的通用表示形式，促进不同入侵检测系统之间的协同，提高通用性，具有重要的意义。入侵检测核心在于检测方法，将真正的入侵或威胁数据与正常数据分离开，形成警报。因此，提高入侵检测的准确率、降低误报率和漏报率，一直是入侵检测的研究的关键问题之一。

发明内容

针对现有技术存在的问题，本发明提供了一种基于机器学习的入侵检测系统及方法。

本发明是这样实现的，一种基于机器学习的入侵检测方法包括：

首先，采用特征选择方法降低入侵检测中安全数据高维度的特征维度；其次，采用粒子群优化人工神经网络的算法，用以提高检测准确率；第三，采用两种典型的聚类分析算法实现入侵检测中误报的消除。

进一步，基于机器学习的入侵检测方法具体包括以下步骤：

步骤一：参考已有的网络安全模型和入侵检测模型，针对实际应用中的需求，构建一种基于机器学习的入侵检测系统框架；

步骤二：按照特征的重要性进行排序，给出安全数据的特征序列，引入K 近邻算法与支持向量机算法作为分类器，构建包裹式特征选择方法，按照分类器的效果选择特征子集，所选择的特征子集作为入侵检测方法的实验数据特征；

步骤三：采用粒子群优化算法对径向基函数神经网络进行优化的方法，并实现相应的算法；

步骤四：采用聚类分析对误报进行消除的方法，将入侵检测系统的警报结果中真实的警报和误报分离开；

步骤五：基于历史数据和对应BMU最佳匹配神经元的距离，采用t分布原理，构建置信区间；

步骤六：将协议分析技术和聚类支持向量机相结合，利用分类支持向量机 (C-SVM)和单类支持向量机(OC-SVM)对网络入侵检测和网络异常检测；

步骤七：采用基于特征压缩和分支剪裁的直推式网络异常检测方法，并采用VC++和matlab能将其实现。

进一步，Fisher线性判别的方法是通过找一个投影方利用给定的训练数据，确定投影方向W和阈值y0，即确定线性判别函数，然后根据这个线性判别函数，对测试数据进行测试，得到测试数据的类别。

进一步，ReliefF多分类回归算法从训练集D中随机选择一个样本R，然后从和R同的样本中寻找最近邻样本H，从和R不同类的样本中寻找最近邻样本 M，根据规则更新每个特征的权重。

进一步，mRMR最大相关最小冗余算法即最小冗余最大关联算法是把测试用数据输入matlab后选择MRMR算法进行分析，从而可以得到高预测精度数据，然后输出选好的特征，再利用SVM(支持向量机算法)进行分类。

进一步，信息增益(InfoGain)是特征选择的一个重要指标，它定义为一个特征能够为分类系统带来多少信息，带来的信息越多，说明该特征越重要，相应的信息增益也就越大。

进一步，K近邻(K-NearestNeighbor，KNN)算法与支持向量机(SupportVectorMachine，SVM)算法都是新兴的基于统计学理论的学习机，相对于神经网络的启发式学习方式和实现中带有很大的经验成分相比，SVM具有更严格的理论和数学基础，可以克服数据局部最小问题，解决小样本数据学习的泛化能力，不过分依赖样本数据的数量和质量。

进一步，粒子群优化算法(PSO)是一种进化计算技术(evolutionarycomputation)，源于对鸟群捕食的行为研究，粒子群优化算法是通过群体中个体之间的协作和信息共享来寻找最优解，在于简单容易实现并且没有许多参数的调节。

进一步，采用聚类分析的基本算法步骤为：1、从D中随机取k个元素，作为k个簇的各自的中心；2、分别计算剩下的元素到k个簇中心的相异度，将这些元素分别划归到相异度最低的簇；3、根据聚类结果，重新计算k个簇各自的中心，计算方法是取簇中所有元素各自维度的算术平均数；4、将D中全部元素按照新的中心重新聚类；5、重复第4步，直到聚类结果不再变化；6、将结果输出。

本发明的另一目的在于提供一种基于机器学习的入侵检测系统包括：

网络数据包捕获模块，用于实现监视和验证网络实时工作状态和流量的软件程序；

数据预处理模块，用于对原始数据包进行解码，过滤掉其中的错误数据和重复数据，并产生相应的特征值做为对机器学习模块的输入值；

误用规则处理模块，用于实现基于规则的误用检测，将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为；

机器学习模块，用于对学习机进行训练，使学习机能够检测入侵。

进一步，机器学习模块是用计算机模拟人类的学习活动，通过计算机学习现有的知识，发现新的知识，并通过不断完善，提升学习的效果，机器学习中包含大量的数据预处理和分类方法，基本过程是通过从已有的经验中学习并构建学习机，进一步对未知的校园网数据进行分类或预测。

综上所述，本发明的优点及积极效果为：

本发明构建的基于机器学习的入侵检测系统框架具有完整的事件处理流程，同时采用模块化的设计，具有一定的通用性，提出了一种新的入侵检测方法，通过降低特征的维度，降低后期处理分析的复杂度，将协议分析技术和聚类支持向量机相结合，通过协议分析不但可以快速地检测出入侵行为，而且可以有效减少SVM的训练时间，同时结合聚类算法进一步减少SVM的训练时间和预测时间，从而提高聚类支持向量机的检测效率，通过计算机软件模拟诸如Matlab、VC++等有效地改进算法进一步提高检测率，降低了误报率。

表1校园网传统入侵检测和基于机器学习的校园网入侵检测结果对比

附图说明

图1是本发明实施例提供的基于机器学习的入侵检测系统结构示意图；

图2是本发明实施例提供的特征选择实验方案流程图；

图3是本发明实施例提供的基于机器学习的入侵检测方法流程图。

图4是本发明实施例提供的支持向量机示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明实施例提供的特征选择实验方案流程图，特征选择是机器学习、模式识别领域进行数据预处理的有效方法，通过降低特征的维度，降低后期处理分析的复杂度。

使用Sniffer等软件对校园网和因特网上收集的数据在Matlab等相关软件中进行特征选择方法的分析。首先分别采用Fisher线性判别、ReliefF多分类以及回归算法、mRMR最大相关最小冗余算法、InfoGain信息增益等四种特征选择方法对特征进行排序，验证过滤式特征选择算法的有效性和可行性；其次分别与KNN和SVM结合，验证包裹式特征选择方法在入侵检测中的性能。

为了提高分类的准确率，提出并实现采用PSO对RBF神经网络进行优化的算法PSO-RBF。通过算法分析尽可能准确的发现入侵行为，以便于采取措施，从而有效的优化入侵检测算法，并提高算法的检测率，降低算法的误报率和漏报率。实验仍然是通过前期收集的校园网数据，将优化后的算法与传统RBF神经网络、BP神经网络、ELM(极限学习机器)神经网络、以及朴素贝叶斯算法得出的统计数据进行对比，验证优化的算法在分类准确率上的提升，通过对多种算法的结果进行比较分析，具体比较参数包括准确率比较、误报率比较、漏报率比较等。

聚类分析应用于入侵检测误报消除中，目的在于将警报中的真实警报与误报有效区分，从而尽可能消除误报，减少无效警报数量以便分析和响应。

实验过程是通过校园网防火墙和IDS硬件系统中采集到的数据进行聚类分析，实验结果评价指标方面，参考入侵检测中常用的准确率、误报率和漏报率三个指标，定义消除率、误消除率、漏消除率。其中消除率表示正确检测出来的误报数量占实际误报的比例，用来描述算法能够将误报区分开来的程度，消除率越高，表明算法的性能越好；误消除率表示将正常警报数据检测为误报的数量，与实际正常警报数量的比值，是描述算法的出错程度的指标。误消除率越低，算法效果越好；漏消除率表示未检测出来的误报数量，即将误报识别成正常警报的数量，与实际误报数量的比值，漏消除率越低，算法性能越好。

Fisher线性判别的基本思想是通过找一个投影方向(线性变换，线性组合高维问题降低到一维问题来解决，并且要求变换后的一维数据具有性质：同类样本尽可能聚集在一起，不同类样本尽可能地远。所以在数据采集上，是通过给定的训练数据，确定投影方向W和阈值y0，即确定线性判别函数，然后根据这个线性判别函数，对测试数据进行测试，得到测试数据的类别。

ReliefF多分类回归算法从训练集D中随机选择一个样本R，然后从和R同类的样本中寻找最近邻样本H，称为Near Hit，从和R不同类的样本中寻找最近邻样本M，称为NearMiss，然后根据以下规则更新每个特征的权重：如果R和 Near Hit在某个特征上的距离小于R和NearMiss上的距离，则说明该特征对区分同类和不同类的最近邻是有益的，则增加该特征的权重；反之，如果R和Near Hit在某个特征的距离大于R和NearMiss上的距离，说明该特征对区分同类和不同类的最近邻起负面作用，则降低该特征的权重。以上过程重复m次，最后得到各特征的平均权重。特征的权重越大，表示该特征的分类能力越强，反之，表示该特征分类能力越弱。Relief算法的测试数据随着样本的抽样次数m和原始特征个数N的增加线性增加。

mRMR最大相关最小冗余算法即最小冗余最大关联算法，在预处理数据时非常有用，可提高预测精度，效果很好，把测试用数据输入matlab后选择MRMR 算法进行分析可以得到高预测精度数据。可以定义如下代码：

library(mRMRe)

data(cgps)

data<-mRMR.data(data＝data.frame(target＝cgps.ic50,cgps.ge))

mRMR.ensemble(data＝data,target_indices＝1,feature_count＝30,solution_count ＝1)

输出选好的特征以及选好特征后，再利用SVM(支持向量机算法)进行分类。

在决策树算法的学习过程中，信息增益(InfoGain)是特征选择的一个重要指标，它定义为一个特征能够为分类系统带来多少信息，带来的信息越多，说明该特征越重要，相应的信息增益也就越大。在决策树算法中，关键就是每次选择一个特征，特征有多个，按照什么标准来选择哪一个特征，通过这种算法使用测试用数据的采集更加精准和细致，使细微的变化反映在数据的变化上。

K近邻(K-Nearest Neighbor，KNN)算法与支持向量机(Support Vector Machine，SVM)算法都是新兴的基于统计学理论的学习机，相对于神经网络的启发式学习方式和实现中带有很大的经验成分相比，SVM具有更严格的理论和数学基础，可以克服数据局部最小问题，解决小样本数据学习的泛化能力，不过分依赖样本数据的数量和质量。而K近邻法是指如果一个样本测试数据在特征空间中的k个最相邻的样本中的大多数属于某一个类别，则该样本也属于这个类别，并具有这个类别上样本数据的特性，采用该算法也可以选择邻近样本数据，减少测试数据的数量和偶然性的发生。

粒子群优化算法(PSO)是一种进化计算技术(evolutionary computation)，源于对鸟群捕食的行为研究。粒子群优化算法的基本思想：是通过群体中个体之间的协作和信息共享来寻找最优解，在于简单容易实现并且没有许多参数的调节。PSO初始化为一群随机粒子(随机测试用数据)。然后通过迭代找到最优解。在每一次的迭代中，粒子通过跟踪两个“极值”(pbest，gbest)来更新自己。在找到这两个最优值后，粒子通过下面的公式来更新自己的速度和位置。

公式(1)：

v_i＝v_i+c₁×rand()×(pbest_i-x_i)+c₂×rand()×(gbest_i-x_i)

公式(2)：

x_i＝x_i+v_i

在公式(1)、(2)中，i＝1，2，...，N，N是此群中粒子的总数。

v_i：是粒子的速度

rand()：介于(0，1)之间的随机数

x_i：粒子的当前位置

c₁和c₂：是学习因子，通常c₁＝c₂＝2

v_i的最大值为V_max(大于0)，如果v_i大于V_max，则v_i＝V_max

公式(1)、(2)为PSO的标准形式。

(4)；所谓聚类，就是比如给定一些元素或者对象，分散存储在数据库中，然后根据我们感兴趣的对象属性，对其进行聚集，同类的对象之间相似度高，不同类之间差异较大。最大特点就是事先不确定类别。假设对象集合为D(测试用数据集)，准备划分为k个簇。

基本算法步骤如下：

1、从D中随机取k个元素，作为k个簇的各自的中心。

2、分别计算剩下的元素到k个簇中心的相异度，将这些元素分别划归到相异度最低的簇。

3、根据聚类结果，重新计算k个簇各自的中心，计算方法是取簇中所有元素各自维度的算术平均数。

4、将D中全部元素按照新的中心重新聚类。

5、重复第4步，直到聚类结果不再变化。

6、将结果输出。

在matlab中该算法的核心代码如下(以Java为例)：

(5)基于历史数据和对应BMU(Best matching Unit)最佳匹配神经元的距离，采用t分布原理，构建置信区间；检测时根据检测数据是否在该置信区间进行网络异常的判断；

(6)将协议分析技术和聚类支持向量机相结合，利用分类支持向量机 (C-SVM)和单类支持向量机(OC-SVM)对网络入侵检测和网络异常检测；这两种算法都属于前面测试用数据分析算法SVM(支持向量机算法)的子算法，它们的主要原理如图4所示：

显然，上面的方法在保证训练样本全部被正确分类，即经验风险为0的前提下，通过最大化分类间隔来获得最好的推广性能。如果希望在经验风险和推广性能之间求得某种均衡，可以通过引入正的松弛因子ξ_i≥0来允许错分样本的存在。这时，约束变为

y_i[(ω·x_i)+b]≥1-ξ_ii＝1，…l；

当分类出现错误时，ξ_i大于零。而在目标中加入惩罚项，这样，上述对偶问题则变为：

其中C＞0是一个指定的常数，它控制对错分样本的惩罚力度，C越大表示对错误的惩罚值越大。这就是SVM方法的最一般的表述。

使用该算法可以针对有限测试用样本数据情况，算法的目标是得到现有信息下的测试结果的最优解而不仅仅是样本数趋于无穷大时的测试数据最优值。

(7)采用基于特征压缩和分支剪裁的直推式网络异常检测方法。该方法的训练和检测阶段需要基于欧氏距离度量搜索k近邻，这个过程消耗了大量的系统资源，但该方法是基于欧氏距离度量值算法提出的，判断被检测样本数据相对于训练(模拟)样本集的差异程度，并以此作为网络异常与否的依据。由于欧氏距离的计算需要对浮点数做乘方、开方运算，相当耗费CPU计算资源，特别是当测试数据量增加时尤为明显，因此基于此引入了特征压缩和分支树剪裁对原方法进行改进，主要是降低用于计算欧氏距离的特征向量的维数和减少欧氏距离的计算次数，然后采用VC++编程和matlab将其实现。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于机器学习的入侵检测方法，其特征在于，所述基于机器学习的入侵检测方法包括：采用特征选择方法降低入侵检测中安全数据高维度的特征维度；采用粒子群优化人工神经网络的算法；采用两种典型的聚类分析算法实现入侵检测中误报的消除。

2.如权利要求1所述的基于机器学习的入侵检测方法，其特征在于，所述基于机器学习的入侵检测方法具体包括以下步骤：

步骤二：按照特征的重要性进行排序，给出安全数据的特征序列，引入K近邻算法与支持向量机算法作为分类器，构建包裹式特征选择方法，按照分类器的效果选择特征子集，所选择的特征子集作为入侵检测方法的实验数据特征；

步骤六：将协议分析技术和聚类支持向量机相结合，利用分类支持向量机和单类支持向量机对网络入侵检测和网络异常检测；

3.一种如权利要求1所述的基于机器学习的入侵检测方法的基于机器学习的入侵检测系统，其特征在于，所述基于机器学习的入侵检测系统包括：

误用规则处理模块，用于实现基于规则的误用检测，将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，发现违背安全策略的行为；

4.如权利要求3所述的基于机器学习的入侵检测方法，其特征在于，机器学习模块是用计算机模拟人类的学习活动，通过计算机学习现有的知识，发现新的知识，并通过不断完善，提升学习的效果，机器学习中包含大量的数据预处理和分类方法，基本过程是通过从已有的经验中学习并构建学习机，进一步对未知的校园网数据进行分类或预测。

5.一种实现权利要求1～2任意一项所述基于机器学习的入侵检测方法的计算机程序。

6.一种搭载有权利要求5所述计算机程序的信息数据处理终端。

7.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-2任意一项所述基于机器学习的入侵检测方法。