CN110138784A

CN110138784A - 一种基于特征选择的网络入侵检测系统

Info

Publication number: CN110138784A
Application number: CN201910408043.6A
Authority: CN
Inventors: 蒋卫恒; 谢智玮; 谭佳宝; 魏鑫全; 张瑜; 赖琴; 喻莞芯; 邬小刚
Original assignee: Chongqing University
Current assignee: Chongqing University
Priority date: 2019-05-15
Filing date: 2019-05-15
Publication date: 2019-08-16

Abstract

本发明公开了一种基于特征选择的网络入侵检测系统，包括测试数据抓取模块、特征提取模块、分类器模块以及数据类型输出模块；测试数据抓取模块抓取网络中的数据；训练样本经过混合采样模块和特征选择模块后对分类器模块进行训练，同时利用训练好的分类器模块对所述测试数据进行分类识别；混合采样模块用于实现各类训练数据量的均衡；特征选择模块采用递归特征消除法，根据相对重要性对各个特征进行排序，基于排序结果进行特征选择，同时控制所述特征提取模块按照最终选择的特征进行提取。其效果是：系统能够实现对入侵数据特征的选择，可以提高对小样本入侵数据的预测分类准确率，收敛速度快、所用数据少，易实现。

Description

一种基于特征选择的网络入侵检测系统

技术领域

本发明涉及大数据领域中的数据预测技术，更具体地说，是一种基于特征选择的网络入侵检测系统。

背景技术

网络入侵检测技术是建设网络强国的重中之重，是网络安全的第一道防线，对网络中的入侵数据进行准确预测，可以有效提升网络安全，保护国家、社会和家庭的财产安全。然而，随着移动互联网和信息通信产业近二十年的飞速发展，网络数据量呈现出指数级增长趋势，传统的网络入侵检测技术在庞大数据量面前捉襟见肘，存在虚警率高、难以检测未知入侵、检测速度慢等问题，难以实现高效高精度的检测。

针对网络入侵检测的难题，学术界和工业界已有深入研究。现有的预测方法包括传统方法，如简单模式匹配、专家系统等方法，和现代的机器学习方法，如支持向量机、决策树等。传统方法结构简单，但在精度上比较欠缺。机器学习方法总体精度较高，但在对小样本进行预测时无法达到理想预测精度。

发明内容

针对目前研究中存在的问题，本发明提出了一种基于特征选择的入侵检测系统，该系统能够对数据集中决定入侵类型的特征维度基于重要性进行选择，对小样本的预测精度有较大提升，能够满足网络入侵检测系统对数据流预测。

为实现上述目的，本发明所采用的具体技术方案如下：

一种基于特征选择的入侵检测系统，其关键在于，包括测试数据抓取模块、特征提取模块、分类器模块以及数据类型输出模块；

所述测试数据抓取模块用于抓取网络中的数据，并将抓取的测试数据传输到所述特征提取模块中提取相应的数据特征；

所述分类器模块从样本数据库中获取训练样本，该训练样本经过混合采样模块和特征选择模块后对所述分类器模块进行训练，使其达到预先设定的检测精度，同时利用训练好的分类器模块对所述测试数据进行分类识别；

所述混合采样模块用于实现各类训练数据量的均衡；

所述特征选择模块采用递归特征消除法，根据相对重要性对各个特征进行排序，基于排序结果进行特征选择，同时控制所述特征提取模块按照最终选择的特征进行提取。

可选地，所述样本数据库采用KDD CUP 99数据集，将其字符型数据进行数字化处理，而后对其归一化，并按Dos、U2R、R2L、Probe or Scan和Normal五个类别分成五个子数据集。

可选地，所述混合采样模块将多数类数据集进行下采样，将所得数据与少数类的子数据集合并，接着基于SMOTE算法对样本数量较少的数据类别进行过采样，使得各类数据量相对平衡，然后再对多数类每个样本使用KNN方法进行检测并剔除不良样本，最后将所得数据集进行洗牌。

可选地，所述SMOTE算法将T个少数类样本合成NT个新样本，样本数量增加N倍，N为正整数。

可选地，所述SMOTE算法按照x_i1＝x_i+ζ₁·(x_i(nn)-x_i)合成新样本，其中x_i为原始样本，x_i(nn)为原始样本x_i的邻近样本，ζ₁为0到1之间的随机数，每个原始样本重复N次，即可将T个少数类样本合成NT个新样本。

可选地，所述KNN方法是基于距离度量的方式将多数类数据集中的每个样本寻找k个最近的邻近点，如果其k个邻近点有超过一半不属于该多数类，则这个样本会被删除，直至各个类型的样本数量相同。

可选地，所述递归特征消除法采用SVM-RFE算法，基于SVM最大间隔原理进行序列后向选择，对每个特征进行评分，剔除最小得分特征，然后用剩余的特征再次训练模型，进行下一次迭代，根据迭代中特征被剔除的顺序，得到排序结果。

可选地，所述分类器模块采用LightGBM分类器。

可选地，所述分类器模块从样本数据库中获取测试样本，并按照所述特征选择模块最终选择的特征进行特征选择，进行分类准确率的验证。

本发明的显著效果是：

系统能够实现对入侵数据特征的选择，可以提高对小样本入侵数据的预测分类准确率，收敛速度快、所用数据少，易实现。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明的系统原理框图；

图2是本发明进行数据处理以及预测分类的控制流程图；

图3是本发明对于KDD CUP 99中小样本(U2R、R2L)的预测分类效果图；

图4为本发明对KDD CUP 99数据集网络不同数量的特征入侵进行预测分类的效果图；

图5为本发明与其余分类器分别对KDD CUP 99数据集进行预测分类的效果图。

具体实施方式

为了使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述，应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，本实施例提供的一种基于特征选择的入侵检测系统，包括测试数据抓取模块、特征提取模块、分类器模块以及数据类型输出模块；

所述分类器模块采用LightGBM分类器，从样本数据库中获取训练样本，该训练样本经过混合采样模块和特征选择模块后对所述分类器模块进行训练，使其达到预先设定的检测精度，同时利用训练好的分类器模块对所述测试数据进行分类识别；

所述混合采样模块用于实现各类训练数据量的均衡；

在具体实施时，所述样本数据库采用KDD CUP 99数据集，将其字符型数据进行数字化处理，而后对其归一化，并按Dos、U2R、R2L、Probe or Scan和Normal五个类别分成五个子数据集。

所述KDD CUP 99数据集来自1998年美国国防部高级规划署(DARPA)在MIT林肯实验室进行的入侵检测评估项目，并被哥伦比亚大学Sal Stolfo教授等利用数据挖掘技术进行特征分析和数据预处理形成，来源真实有效。

该数据集可细分为22个攻击类型小类，包含489万组数据。数据集中每个样本具备41项特征，包括9项TCP连接基本特征，13项TCP连接的内容特征，9项基于时间的网络流量统计特征以及10项基于主机的网络流量统计特征。为了进一步体现本系统的效果，我们将原始KDD CUP 99数据集按照所述数据方法进行处理，分别得到训练集与测试集，其中训练集包含50万组数据，测试集包含10万组数据。按照图2所示的控制流程，将得到训练集作为LightGBM分类器输入，得到训练模型，并用训练模型对测试集进行预测分类。

通过图1和图2可以看出，由于五个子数据集中Dos、Normal、Probe or Scan数据集属于多数类数据集，因此，模型训练过程中，通过所述混合采样模块将多数类数据集进行下采样，将所得数据与少数类的子数据集合并，接着基于SMOTE算法对样本数量较少的数据类别进行过采样，使得各类数据量相对平衡，然后再对多数类每个样本使用KNN方法进行检测并剔除不良样本，最后将所得数据集进行洗牌。

具体实施时，所述SMOTE算法可以将T个少数类样本合成NT个新样本，样本数量增加N倍，N为正整数。具体按照x_i1＝x_i+ζ₁·(x_i(nn)-x_i)合成新样本，其中x_i为原始样本，x_i(nn)为原始样本x_i的邻近样本，ζ₁为0到1之间的随机数，每个原始样本重复N次，即可将T个少数类样本合成NT个新样本。

所述KNN方法是基于距离度量的方式将多数类数据集中的每个样本寻找k个最近的邻近点，如果其k个邻近点有超过一半不属于该多数类，则这个样本会被删除，直至各个类型的样本数量相同。

通过上述过程后，各个类型的训练样本数量可以保持均衡，从而有效提高对小样本入侵数据的预测分类准确率。

为了减少特征数量，加快收敛速度，所述递归特征消除法采用SVM-RFE算法，基于SVM最大间隔原理进行序列后向选择，对每个特征进行评分，剔除最小得分特征，然后用剩余的特征再次训练模型，进行下一次迭代，根据迭代中特征被剔除的顺序，得到排序结果。

SVM-RFE算法和LightGBM分类器的具体过程可以参考现有技术实现，SVM-RFE是基于支持向量机的递归特征消除法，递归特征消除法(RFE)是一种贪心算法，它的搜索起点是全集，评价标准是分类器的预测精度。经过循环迭代，每次迭代消除一个最不相关的特征。最相关的特征会留在最后消除，所以会排在最前面，以此来进行特征排序。SVM-RFE从特征全集出发，以SVM的分类性能作为评价函数进行特征消除，每次消除一个使SVM分类性能最差的特征，循环迭代，直到最后只剩下一个最相关的特征，从而对特征按照特征的重要性从大到小进行排序，上述方法的具体过程申请人不在此赘述。

通过上述过程对本实施例提供的数据集进行处理，图3可以看出利用本发明所提出的系统对测试集上小样本类数据(R2L、U2R)进行预测时，相较基于未进行混合采样的训练集训练的模型有更高的准确率。

通过图4可以看出，利用本发明所提出的系统在使用不同数量特征的数据集进行训练时，所得准确率不同，同时在使用36个特征时，训练得到的准确率最高。相较于现有方法，本发明减少了数据维度与运算量，且提高了准确率。

通过图5可以看出本发明所使用分类器相较于其余分类器真实值与预测值之间准确率的关系。本发明所用分类器准确度明显优于其余分类器，显著提高了检测准确度。

综上所述，本发明提出的系统，通过对分类器模型训练过程进行改进，以及对数据特征的有效选择，大大降低了实际测试时所需的特征数量，有效提升了系统的处理速度，同时通过对训练样本的数量进行均衡，解决了小样本数据类型分类准确度低的问题。

最后需要说明的是，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。

Claims

1.一种基于特征选择的网络入侵检测系统，其特征在于，包括测试数据抓取模块、特征提取模块、分类器模块以及数据类型输出模块；

所述混合采样模块用于实现各类训练数据量的均衡；

2.根据权利要求1所述的基于特征选择的网络入侵检测系统，其特征在于，所述样本数据库采用KDD CUP99数据集，将其字符型数据进行数字化处理，而后对其归一化，并按Dos、U2R、R2L、Probe or Scan和Normal五个类别分成五个子数据集。

3.根据权利要求1或2所述的基于特征选择的网络入侵检测系统，其特征在于，所述混合采样模块将多数类数据集进行下采样，将所得数据与少数类的子数据集合并，接着基于SMOTE算法对样本数量较少的数据类别进行过采样，使得各类数据量相对平衡，然后再对多数类每个样本使用KNN方法进行检测并剔除不良样本，最后将所得数据集进行洗牌。

4.根据权利要求3所述的基于特征选择的网络入侵检测系统，其特征在于，所述SMOTE算法将T个少数类样本合成NT个新样本，样本数量增加N倍，N为正整数。

5.根据权利要求4所述的基于特征选择的网络入侵检测系统，其特征在于，所述SMOTE算法按照x_i1＝x_i+ζ₁·(x_i(nn)-x_i)合成新样本，其中x_i为原始样本，x_i(nn)为原始样本x_i的邻近样本，ζ₁为0到1之间的随机数，每个原始样本重复N次，即可将T个少数类样本合成NT个新样本。

6.根据权利要求3所述的基于特征选择的网络入侵检测系统，其特征在于，所述KNN方法是基于距离度量的方式将多数类数据集中的每个样本寻找k个最近的邻近点，如果其k个邻近点有超过一半不属于该多数类，则这个样本会被删除，直至各个类型的样本数量相同。

7.根据权利要求3所述的基于特征选择的网络入侵检测系统，其特征在于，所述递归特征消除法采用SVM-RFE算法，基于SVM最大间隔原理进行序列后向选择，对每个特征进行评分，剔除最小得分特征，然后用剩余的特征再次训练模型，进行下一次迭代，根据迭代中特征被剔除的顺序，得到排序结果。

8.根据权利要求3所述的基于特征选择的网络入侵检测系统，其特征在于，所述分类器模块采用LightGBM分类器。

9.根据权利要求1所述的基于特征选择的网络入侵检测系统，其特征在于，所述分类器模块从样本数据库中获取测试样本，并按照所述特征选择模块最终选择的特征进行特征选择，进行分类准确率的验证。