CN110602120B

CN110602120B - 一种面向网络的入侵数据检测方法

Info

Publication number: CN110602120B
Application number: CN201910890756.0A
Authority: CN
Inventors: 赵然; 张明明; 赵俊峰; 夏飞; 李萌; 夏元轶; 冒佳明
Original assignee: Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Current assignee: Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2019-09-19
Filing date: 2019-09-19
Publication date: 2022-04-05
Anticipated expiration: 2039-09-19
Also published as: CN110602120A

Abstract

本发明公开了一种面向网络的入侵数据检测方法，所述方法包括如下步骤：首先将网络流量数据进行属性降维，然后把数据输入至数据检测模型；所述检测模型根据决策规则对所述网络流量数据进行处理，检测入侵数据。本发明有助于实现高效、高精度、低误警的入侵检测，提高检测效率。

Description

一种面向网络的入侵数据检测方法

技术领域

本发明涉及网络入侵检测和特征降维技术领域，特别是涉及一种面向网络的入侵数据检测方法。

背景技术

防火墙、恶意软件预防、数据加密和用户身份验证，对当代网络攻击仍然无法提供完全的保护，构成了一套必要但不完整的系统工具来保护计算机和网络免受今天的攻击。入侵检测系统与其它安全系统可以相互补充。一般来说，入侵检测系统是一种主动系统，它不断地监视和分析网络流量，以确定是否偏离了预期行为。入侵检测系统的第一种方法是基于签名的入侵检测，它通过分析网络数据包来对预先定义的攻击签名进行分类。因此，这种方法不能识别新的攻击。

相反，基于异常的检测可以通过网络流量来检测任何偏离正常活动的行为以识别未知攻击。该方法利用数据挖掘技术等方法，预先定义了一个可信系统行为模型。观察到的事件和行为可分为正常或异常。该领域的研究主要集中在提高入侵检测系统的精度和效率。基于异常的入侵检测方法已具有良好的应用前景，本方法已被广泛采用，并且成为入侵检测领域的研究热点。此背景下，各种机器学习技术被用来构建一个有效的入侵检测系统，包括贝叶斯网络、马尔可夫模型和支持向量机等。

尽管取得了一些进展，但庞大的数据量对入侵检测系统构成了一个根本性的挑战，不断增长的计算和存储复杂性导致分类结果不满意。对这样的数据集进行分类可能会遇到许多困难，这些困难可能会降低分类器的性能，或者由于内存不足导致完全失败。此外，预处理大容量数据集在处理冗余数据、噪声数据等方面也面临着严重的挑战，影响了分类的效率。

发明内容

针对现有技术的不足，本发明的目的在于提供一种面向网络的入侵数据检测方法，以解决现有技术中存在的数据集分类困难、分类效率低的问题。

为解决上述技术问题，本发明所采用的技术方案是：

一种面向网络的入侵数据检测方法，所述方法包括如下步骤：

将网络流量数据输入至数据检测模型；

所述检测模型根据决策规则对所述网络流量数据进行处理，获取攻击数据。

进一步的，所述检测模型的建立方法包括：

对训练数据集进行降维处理，获取最优输入子集；

通过所述最优输入子集对组合分类器进行训练，获取数据检测模型。

进一步的，所述最优输入子集的获取方法包括：

获取训练数据中每个属性的信息增益；

选取所述信息增益大于0.5的属性作为输入子集；

获取所述输入子集中属性的特征值；

选取所述输入子集中特征值大于0.5的属性作为最优输入子集。

进一步的，所述信息增益的获取方法包括：

所述信息增益通过如下公式获取：

Gain(T)＝I(d₁，...，dm)-E(T) (1)，

式中，Gain(T)为信息增益，I(d1,d2,...dm)为数据属性的信息熵，E(T)为属性T的条件熵；

其中，

式中，m是类的数量，d_i为训练数据集包含类i的实例，D是训练数据集中实例的总数，v为网络流量数据的个数，j为每个数据，d_1j为第j数据的第j个属性，d_mj为第j个数据的第m个属性，dm为训练数据集包含类m的实例。

进一步的，所述特征值的获取方法包括：

计算所述输入子集中属性的协方差矩阵；

所述协方差矩阵通过如下公式计算得到：

其中，R为输入子集中属性的协方差矩阵，x(t)为输入子集中的数据，n为输入子集数据的个数，t为自然数；

根据所述协方差矩阵获取属性的特征值：

λ_iq_i＝Rq_i， (5)，

其中，λ_i为特征值，q_i为特征值相应的特征向量。

进一步的，所述数据检测模型包括：IBK、SVM和MLP组成的混合分类器。

进一步的，所述决策规则包括：将得票数超过50％的结果作为类标。

一种面向网络的入侵数据检测的系统，所述系统包括：

数据输入模块：用于将网络流量数据输入至数据检测模型；

数据获取模块：用于将所述检测模型根据决策规则对所述网络流量数据进行处理，获取攻击数据。

一种面向网络的入侵数据检测的系统，所述系统包括处理器和存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行上述所述方法的步骤。

计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述所述方法的步骤。

与现有技术相比，本发明所达到的有益效果是：

(1)本方法剔除不相关的特征，保留最优的属性子集，并利用支持向量机、实例学习和多层感知器的集成分类器构建分类模型，有助于实现高效、高精度、低误警的入侵检测；(2)本方法可以有效降低输入数据集的维数，消除不相关的特征，提高分类效率。

附图说明

图1本发明的方法流程图。

具体实施方式

下面结合说明书附图和具体实施对本发明工作原理和技术方案作进一步详细的描述。

降维技术作为提高计算性能的一种手段，可以作为机器学习算法的预处理步骤，消除不相关的特征，保留最相关特征。在实际应用中，有两种方法可以重新确定数据集中属性的数量。第一种方法是特征选择，它可以不修改数据属性而检索原始特征的子集。特征选择按类型可分为三类：过滤器、包装器和嵌入方法。过滤器方法根据特征的内在性质选择特征，即不考虑分类器的性能。在第二种特征提取方法通过生成原始特征的新组合来创建新特征。

如图1所示，一种面向网络入侵检测的混合降维方法，所述方法包括如下步骤：

将网络流量数据输入至数据检测模型；

所述数据检测模型包括：IBK、SVM和MLP组成的混合分类器。

所述检测模型的建立方法包括：

对训练数据集进行降维处理，获取最优输入子集；

通过所述最优输入子集对分类器进行训练，获取数据检测模型。

获取每个训练数据中属性的信息增益熵；

通过使用信息增益作为过滤方法来降低所使用训练数据集的维数，通过计算每个训练数据中属性的信息增益按递减顺序对属性子集进行排序。每个属性的得分从1(最相关)到0(最不相关)。选取得分最高的属性作为下一个降维步骤的输入子集。

所述信息增益通过如下公式获取：

Gain(T)＝I(d₁，...，d_m)-E(T) (1)

式中，Gain(T)为信息增益，I(d1，d2，...dm)为数据属性的信息熵，E(T)为属性T的条件熵；

其中，

通过计算所有流量数据属性的信息增益，最后，考虑选取少数具有高信息增益的属性作为下一步。

获取所述输入子集中属性的特征值；

选取每个输入子集中特征值最大的属性作为最优输入子集。

所述特征值的获取方法包括：

特征的真实排名可能不会反映它们与训练数据集的相关性。为了减少这种限制，本方法进一步选择最优的属性子集，从而进一步减少特征选择阶段的属性。这有助于主成分分析缩小搜索范围，从整个原始特征空间到预先选择的有限元模型。主成分分析在特征提取和数据压缩方面得到了广泛的统一，降低了计算复杂度、干扰噪声、过拟合风险以及计算的灵活性和可逆性。方法使用正交变换将一组特征转换为一组线性无关变量的值，而不会丢失太多信息。方法将方差由大到小排序，第一个分量(主成分分析1)包含最大方差，后面的每个分量包含较小的方差值。

更具体地说，用{x(t)}表示t＝1，...，n的随机数据集，包括其对应的实例和特征，均值为零。x(t)的协方差矩阵如式(4)所示：

根据所述协方差矩阵获取属性的特征值：

λ_iq_i＝Rq_i， (5)

其中，λ_i为特征值，q_i为特征值相应的特征向量。

主成分分析中x(t)到y(t)的线性变换的计算表达式为：

y(t)＝M^Tx(t) (6)

其中M表示一个n×n正交矩阵，其第i列等于第i个特征向量。y(t)为经过降维后的流量数据。

集成分类器

本方法创建多个独立的模型并将它们组合起来，以获得整体精度更高的结果，从而提高最终模型的预测性能。

为了提高入侵检测的精度，本方法提出了一种基于支持向量机、实例学习和多层感知器的集成分类器。这些分类器用于投票算法中，并基于平均概率组合规则。

假设有1个分类器C＝{c₁，...，c_l}和c个类Ω＝{ω₁，...，ω_c}。对于数据集，c＝2(代表：攻击/非攻击)，以及根据上面列出的分类器1＝3。将大多数分类器预测的结果作为最终的预测类标，也就是说，将得票数超过50％的结果作为类标。

本发明优选的支持向量机(SVM)是一种在高维特征空间中寻找最优分离超平面，使类间边界最大化的学习技术。支持向量可以由表示超平面的向量定义。支持向量机的一个可取的特性是，它可以使用支持向量而不是整个数据集进行分类，因此，它对异常值具有极强的鲁棒性，可以非常有效地进行预判。

设N为训练数据点(向量){(x₁,y₁)，(x₂,y₂)，…，(x_N,y_N)}，其中x_i∈R^d，y_i∈{+1，-1}。每个数据点都有一个关联的拉格朗日乘数α_i分配一个相对权重/重要性。如果超平面由(w,b)定义，则点x的预测类计算为：

sgn是符号函数，k(·,·)是径向基函数(RBF)内核，w是权重向量，输入空间中的x是一个点和一个未知的分类、σ_i为标准差，b是偏值。一旦定义了超平面，位于它附近所有的点都有α_i>0，换句话说可以被称为支持向量。另一方面，其余点α_i＝0。

本发明优选的实例学习分类器(IBK)，模型不需要学习，并且可以从原始训练实例执行预测。方法在新的实例和k个最相似的实例之间使用多数投票，其中距离是确定两个数据点之间同类的关键因素。假设有一对{(x₁,y₁)，…，(x_n,y_n)}，其中x_i∈R^d，y_i∈{0,1}；对于新的i，kNN使用多数票来标识最近的k。方法经常使用欧氏距离来识别两点(向量)之间的相似性：

其中(x_i,x_j)∈R^d，x_i＝(x_i1,x_i2,...,x_id)。

本发明优选的多层感知器(MLP)是一个在输入层和输出层之间有一个或多个层的前馈全人工神经网络模型，通过调整内部节点(神经元)之间的权重，将多个实值输入映射到一组适当的输出。多层感知器使用反向传播学习技术，通过学习函数f(x)：Rⁱ→R^o对数据集进行训练。其中i，o∈Z⁺分别为输入维数和输出维数。计算可以表示为：

其中φ是激活函数，w表示向量的权重，X表示向量的输入，b是偏值。

本发明通过减少特征并提取一组新的不相关特征，还使用集成方法将多个分类器的决策组合到一个分类器中，从而提高预测性能。

一种面向网络的入侵数据检测的系统，所述系统包括：

数据输入模块：用于将网络流量数据输入至数据检测模型；

所述存储介质用于存储指令；

在高维数据集中处理冗余和无关的特征对网络入侵检测来说是一个长期的挑战。对特征进行降维不仅加快了分类过程，而且有助于分类器在攻击识别过程中做出准确的决策，尤其是在处理大规模混合数据时效果更好。本发明公开了一种面向网络入侵检测的混合降维方法，减少特征并提取一组新的不相关特征，实现混合降维，从而提取出更关键的特征，显著优于单一降维方法，使用集成方法将多个分类器的决策组合到一个分类器中，使网络入侵检测达到了较高的分类精度、检出率和较低的虚警率。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种面向网络的入侵数据检测方法，其特征在于，所述方法包括如下步骤：

将网络流量数据输入至数据检测模型；

所述检测模型根据决策规则对所述网络流量数据进行处理，获取攻击数据；

所述检测模型的建立方法包括：

对训练数据集进行降维处理，获取最优输入子集；

通过所述最优输入子集对组合分类器进行训练，获取数据检测模型；

所述最优输入子集的获取方法包括：

获取训练数据中每个属性的信息增益；

选取所述信息增益大于0.5的属性作为输入子集；

获取所述输入子集中属性的特征值；

选取所述输入子集中特征值大于0.5的属性作为最优输入子集；

所述数据检测模型包括：IBK、SVM和MLP组成的混合分类器；

所述信息增益的获取方法包括：

所述信息增益通过如下公式获取：

（1），

式中，Gain（T）为信息增益，I(d1,d2,...dm)为数据属性的信息熵，E(T)为属性T的条件熵；

其中，

（2），

（3），

式中，m是类的数量，d _i为训练数据集包含类i的实例，D是训练数据集中实例的总数，v为网络流量数据的个数，j为每个数据，d _1j为第j数据的第j个属性，d _mj为第j个数据的第m个属性，dm为训练数据集包含类m的实例；

所述特征值的获取方法包括：

计算所述输入子集中属性的协方差矩阵；

所述协方差矩阵通过如下公式计算得到：

（4），

其中，R为输入子集中属性的协方差矩阵，x (t)为输入子集中的数据，n为输入子集数据的个数，t为自然数；

根据所述协方差矩阵获取属性的特征值：

（5），

其中，λ_i为特征值， q _i为特征值相应的特征向量。

2.根据权利要求1所述的一种面向网络的入侵数据检测方法，其特征在于，所述决策规则包括：将得票数超过50%的结果作为类标。

3.一种面向网络的入侵数据检测的系统，其特征在于，所述系统包括处理器和存储介质；

所述存储介质用于存储指令；

所述处理器用于根据所述指令进行操作以执行根据权利要求1-2任一项所述方法的步骤。

4.计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-2任一项所述方法的步骤。