CN111343165B - 基于birch和smote的网络入侵检测方法及系统 - Google Patents

Abstract

本发明涉及网络入侵检测技术，特别涉及基于BIRCH和SMOTE的网络入侵检测方法及系统，方法包括将网络入侵历史数据集中的符号属性转换为数字属性；将网络入侵历史数据集归一化至区间[0,1]；利用平衡采样算法对网络入侵历史数据集进行采样，得到每个类别平衡的训练集；利用获得的训练集训练机器学习分类器；将实时的网络入侵数据输入训练好的分类器，分类器输出该实时的网络入侵数据的类别；本发明比单纯使用欠采样的网络入侵检测方法减少了有潜在价值的多数类样本的丢弃，比单纯使用SMOTE过采样的网络入侵检测方法减少了生成少数类新样本时引入的噪音，因此本发明具有更高的少数类召回率和更高的整体分类性能G‑means值。

Description

基于BIRCH和SMOTE的网络入侵检测方法及系统

技术领域

本发明涉及网络入侵检测技术，特别涉及一种基于BIRCH和SMOTE的网络入侵检测方法及系统。

背景技术

近年来机器学习方法被越来越多地应用于网络入侵检测中，将网络入侵检测作为分类问题处理。在网络攻击中，有些攻击类型频繁发生，有些攻击类型发生频率低，因此，入侵检测是一个典型的数据不平衡的应用场景，机器学习在处理不平衡数据时，对多数类的入侵样本的分类效果较好，但是对少数类的入侵样本的分类效果却较差，然而，对少数类的入侵样本的检测也很重要。现有的网络入侵检测系统处理不平衡数据的方法包括基于过采样的网络入侵检测技术和基于欠采样的网络入侵检测技术，SMOTE算法是常用的过采样方法算法，随机欠采样是常用的欠采样方法。现有文献1，燕昺昊,韩国栋.基于深度循环神经网络和改进SMOTE算法的组合式入侵检测模型[J].网络与信息安全学报,2018,v.4；No.32(07):52-63，使用改进的SMOTE算法生成少数类的新样本，增加少数类样本数量，在生成的平衡数据集上训练深度循环神经网络分类器，用于进行网络入侵检测。现有文献2，陈虹,肖越,肖成龙等.融合最大相异系数密度的SMOTE算法的入侵检测方法[J].信息网络安全,2019,提出一种基于最大相异系数密度的SMOTE算法与深度信念网络和梯度提升决策树的网络入侵检测方法，使用最大相异系数密度的SMOTE算法对少数类样本进行过采样，然后在预处理后的平衡数据集上训练梯度提升决策树分类器。现有文献3，沈学利,覃淑娟.基于SMOTE和深度信念网络的异常检测[J].计算机应用,2018,v.38；No.335(07):117-121，提出一种基于SMOTE和深度信念网络的入侵检测系统，使用SMOTE算法增加少数类的样本，然后在生成的平衡数据集上训练深度信念网络分类器。现有文献4，Miah M O,Khan S S,Shatabda S,et al.Improving Detection Accuracy for Imbalanced NetworkIntrusion Classification using Cluster-based Under-sampling with RandomForests[C]，2019 1st International Conference on Advances in Science,Engineering and Robotics Technology(ICASERT).IEEE,2019:1-5，使用基于聚类的欠采样方法减少多数类的样本，然后用随机森林分类器进行网络入侵检测。现有文献5，HeZ.Undersampling GA-SVM for network intrusion detection[J].2017，使用随机欠采样减少多数类的样本数量，然后使用SVM分类器进行网络入侵检测。

然而，在网络入侵检测的攻击类别发生频率相差很大时，即数据极度不平衡的情况下，此时，样本数量最多的类与样本数量最少的类的样本数量比值很大，为使得数据均衡，基于欠采样的网络入侵检测方法需要减少大量多数类样本而损失大量对构建分类器有重要价值的潜在信息，而基于SMOTE算法的网络入侵检测方法需要生成大量少数类的新样本，从而带来严重的噪音问题。这些都会降低入侵检测的效果。

发明内容

针对现有的基于机器学习的网络入侵检测技术，在处理极度不平衡的入侵数据时，要使得数据平衡，单纯的欠采样方法需要减少大量多数类样本而损失大量对构建分类器有重要价值的潜在信息，单纯的SMOTE算法需要生成大量少数类的新样本，从而带来严重的噪音问题,本发明提出一种基于BIRCH和SMOTE的网络入侵检测方法及系统，如图1，所述方法具体包括以下步骤：

S1、将网络入侵历史数据集中的符号属性转换为数字属性；

S2、将网络入侵历史数据集归一化至区间[0,1]；

S3、利用平衡采样算法对网络入侵历史数据集进行采样，得到每个类别平衡的训练集；

S4、利用获得的训练集训练机器学习分类器；

S5、将实时的网络入侵数据输入训练好的分类器，分类器输出该实时的网络入侵数据的类别。

进一步的，利用平衡采样算法对网络入侵历史数据集进行采样包括：

若一个类别的样本数量等于r，则直接将该r个样本添加到平衡数据集D'中；

若一个类别的样本数量小于r，则对该类数据使用SMOTE过采样，使该类数据样本数量为r，并将该r个数据添加到数据集D'中；

若一个类别的样本数量大于r，则使用基于BIRCH的聚类采样算法得到r个数据，并将该r个数据添加到数据集D'中。

进一步的，基于BIRCH的聚类采样算法包括：

对输入的数据集使用BIRCH算法得到k个簇，如果采样的样本数r小于簇中心数k，则对簇中心集合使用K-means聚类算法得到r个簇，并采集簇中心；

如果r等于k，则采集所有的簇中心；

如果r大于k，则首先采集簇中心，并进行多轮采样，得到每轮采样对各个簇采样的样本数，使得在各个簇中采集的样本数量尽可能相近。

进一步的，每轮采样对各个簇采样的样本数获取过程表示为：

其中，S_i表示数据集D中属于第i类的样本集合；S'表示对每个簇平均采样的样本容量；C_i表示第i个簇；|D'|表示当前已采集的样本个数；q表示欠采样可用的簇的个数。

进一步的，每个类别重采样的样本数量r表示为：

r＝max(n₁,n₂,...,n_i,...,n_N,m)；

其中，n_i表示对数据集中第i类入侵数据聚类生成的簇个数，N为总的入侵类型的数量；m为输入数据集中最少的类的样本数。

本发明提出的一种基于BIRCH和SMOTE的网络入侵检测方法系统，包括历史数据存储模块、属性转换模块、归一化模块、采样模块、机器学习分类器训练模块以及实时预测模块，其中：

历史数据存储模块，用于存储已经进行了分类的网络入侵数据；

属性转换模块，用于将网络入侵数据中的符号属性转换为数字属性；

归一化模块，用于对经过属性转换后的网络入侵数据归一化到区间；

采样模块，对网络历史数据进行采样，保证训练数据的数据量平衡；

机器学习分类器训练模块，用于根据训练数据进行训练，获得机器学习分类器；

实时预测模块，将实时的网络入侵数据输入机器学习分类器，获得该网络入侵的类型。

进一步的，采样模块包括采样样本数量确定单元、样本数量判断单元、SMOTE过采样单元以及基于BIRCH的聚类采样单元，其中：

采样样本数量确定单元，用于确认采样样本的数量；

样本数量判断单元，用于判断当前类别的样本数量与样本数量r的关系，若当前样本数量等于r，则直接输入该r个样本，若小于r则将数据输入SMOTE过采样单元；否则输入基于BIRCH的聚类采样；

SMOTE过采样单元，对输入的数据进行过采样，使样本数目达到r，并输出该r个样本；

基于BIRCH的聚类采样单元，对输入的数据进行聚类，并以簇为基础进行欠采样，输出r个样本。

本文提出一种结合BIRCH和SMOTE的网络入侵检测算法，在使极度不平衡的数据集转化为平衡的数据集的基础上，该算法对入侵数据的重采样数量介于基于单纯的欠采样和基于单纯的过采样的入侵检测方法之间，因此，该方法比单纯使用欠采样的网络入侵检测方法减少了有潜在价值的多数类样本的丢弃，比单纯使用SMOTE过采样的网络入侵检测方法减少了生成少数类新样本时引入的噪音。因此，本文提出的BS算法具有更高的少数类召回率和更高的整体分类性能G-means值。

附图说明

图1为本发明一种基于BIRCH和SMOTE的网络入侵检测方法流程图；

图2为本发明一种基于BIRCH和SMOTE的网络入侵检测系统功能模块示意图；

图3为本发明一种基于BIRCH和SMOTE的网络入侵检测系统采样单元功能模块示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种基于BIRCH和SMOTE的网络入侵检测方法及系统，所述方法如图1，具体包括以下步骤：

S1、将网络入侵历史数据集中的符号属性转换为数字属性；

S2、将网络入侵历史数据集归一化至区间[0,1]；

S3、利用平衡采样算法对网络入侵历史数据集进行采样，得到每个类别平衡的训练集；

S4、利用获得的训练集训练机器学习分类器；

S5、将实时的网络入侵数据输入训练好的分类器，分类器输出该实时的网络入侵数据的类别。

在本实施例中，使用网络入侵检测应用中的公共数据集KDD99，包含5种类别:Normal和4种攻击:Dos、Probe、U2R和R2L，数据集的样本数量和最大不平衡度如表1所示，最大不平衡度定义为样本数量最多的类与样本数量最少的类的样本数量比值，代表了数据集的不平衡程度，KDD99数据集中样本数量最多的类是Dos，样本数量最少的类是U2R，这个数据集的最大不平衡度非常大，属于极度不平衡的数据集。

表1 KDD99数据集

本专利提出的结合BIRCH和SMOTE的网络入侵检测算法中的参数设置以及对各类别重采样的样本数量r如表2所示，参数T和B使用网格搜索法调优，其中参数r介于最小类和最大类的样本数之间。

表2 BS算法参数设置及采样数量

在本实施例中，将KDD99中的训练集中的符号属性转换为数字属性，借着需要确定采样数量，然后对数据进行采样，采样过程为表3所示，其中每个类别重采样的样本数量r表示为：

r＝max(n₁,n₂,...,n_i,...,n_N,m)；

其中，n_i表示对数据集中第i类入侵数据聚类生成的簇个数，N为总的入侵类型的数量；m为输入数据集中最少的类的样本数。

表3平衡采样算法

对数据集S_i使用本文提出的基于BIRCH的聚类采样算法，如表4，包括对输入数据集使用BIRCH算法得到k个簇，如果采样的样本数r小于簇中心数k，则对簇中心集合使用K-means聚类算法得到r个簇，并采集簇中心；如果r等于k，则采集所有的簇中心；如果r大于k，则首先采集簇中心，然后进行多轮采样，每轮采样对各个簇采样的样本数，使得在各个簇中采集的样本数量尽可能相近。

表4基于BIRCH的聚类采样算法

其中表4过程的第14行，随机采集S_i个样本的过程，即每轮采样对各个簇采样的样本数获取过程，表示为：

本发明还提出一种基于BIRCH和SMOTE的网络入侵检测系统，如图2，包括历史数据存储模块、属性转换模块、归一化模块、采样模块、机器学习分类器训练模块以及实时预测模块，如图2，其中：

历史数据存储模块，用于存储已经进行了分类的网络入侵数据；

属性转换模块，用于将网络入侵数据中的符号属性转换为数字属性；

归一化模块，用于对经过属性转换后的网络入侵数据归一化到区间；

采样模块，对网络历史数据进行采样，保证训练数据的数据量平衡；

机器学习分类器训练模块，用于根据训练数据进行训练，获得机器学习分类器；

实时预测模块，将实时的网络入侵数据输入机器学习分类器，获得该网络入侵的类型。

进一步的，如图3，采样模块包括采样样本数量确定单元、样本数量判断单元、SMOTE过采样单元以及基于BIRCH的聚类采样单元，其中：

采样样本数量确定单元，用于确认采样样本的数量；

样本数量判断单元，用于判断当前类别的样本数量与样本数量r的关系，若当前样本数量等于r，则直接输入该r个样本，若小于r则将数据输入SMOTE过采样单元；否则输入基于BIRCH的聚类采样；

SMOTE过采样单元，对输入的数据进行过采样，使样本数目达到r，并输出该r个样本；

基于BIRCH的聚类采样单元，对输入的数据进行聚类，并以簇为基础进行欠采样，输出r个样本。

进一步的，基于BIRCH的聚类采样单元获得采样样本的过程包括：

对输入的数据集使用BIRCH算法得到k个簇，如果采样的样本数r小于簇中心数k，则对簇中心集合使用K-means聚类算法得到r个簇，并采集簇中心；

如果r等于k，则采集所有的簇中心；

如果r大于k，则首先采集簇中心，并进行多轮采样，得到每轮采样对各个簇采样的样本数，使得在各个簇中采集的样本数量尽可能相近。

进一步的，每轮采样对各个簇采样的样本数获取过程表示为：

其中，Si表示数据集D中属于第i类的样本集合；S'表示对每个簇平均采样的样本容量；Ci表示；|D'|表示由簇中心构成的集合包含的簇中心的个数；q表示欠采样可用的簇的个数。

进一步的，采样样本数量确定单元确认样本采样数量的过程为：

r＝max(n₁,n₂,...,n_i,...,n_N,m)；

其中，n_i表示对数据集中第i类入侵数据聚类生成的簇个数，N为总的入侵类型；m为输入数据集中最少的类的样本数。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (8)

1.基于BIRCH和SMOTE的网络入侵检测方法，其特征在于，具体包括以下步骤：

S1、将网络入侵历史数据集中的符号属性转换为数字属性；

S2、将网络入侵历史数据集归一化至区间[0,1]；

S3、利用平衡采样算法对网络入侵历史数据集进行采样，得到每个类别平衡的训练集，采样过程包括：

对每个类别的网络入侵历史数据使用BIRCH聚类形成一个包含n_i个簇的集合，并设置每个类别重采样的样本数量r为各类的簇数量和最少的类的实例数量中的最大值；

若一个类别的样本数量等于r，则直接将该r个样本添加到平衡数据集D'中；

若一个类别的样本数量小于r，则对该类数据使用SMOTE过采样，使该类数据样本数量为r，并将该r个数据添加到数据集D'中；

若一个类别的样本数量大于r，则使用基于BIRCH的聚类采样算法得到r个数据，并将该r个数据添加到数据集D'中；

其中，基于BIRCH的聚类采样算法包括：

对输入的数据集使用BIRCH算法得到k个簇，如果采样的样本数r小于簇中心数k，则对簇中心集合使用K-means聚类算法得到r个簇，并采集簇中心；

如果r等于k，则采集所有的簇中心；

如果r大于k，则首先采集簇中心，并进行多轮采样，得到每轮采样对各个簇采样的样本数，使得在各个簇中采集的样本数量尽可能相近；

S4、利用获得的训练集训练机器学习分类器；

S5、将实时的网络入侵数据输入训练好的分类器，分类器输出该实时的网络入侵数据的类别。

2.根据权利要求1所述的基于BIRCH和SMOTE的网络入侵检测方法，其特征在于，对于多数类，即当r大于k时，每轮采样对各个簇采样的样本数获取过程表示为：

其中，S_i表示数据集D中属于第i类的样本集合；S'表示对每个簇平均采样的样本容量；C_i表示第i个簇；|D'|表示当前已采集的样本个数；q表示欠采样可用的簇的个数。

3.根据权利要求1所述的基于BIRCH和SMOTE的网络入侵检测方法，其特征在于，每个类别重采样的样本数量r表示为：

r＝max(n₁,n₂,...,n_i,...,n_N,m)；

其中，n_i表示对数据集中第i类入侵数据聚类生成的簇个数，N为总的入侵类型的数量；m为输入数据集中最少的类的样本数。

4.基于BIRCH和SMOTE的网络入侵检测系统，其特征在于，包括历史数据存储模块、属性转换模块、归一化模块、采样模块、机器学习分类器训练模块以及实时预测模块，其中：

历史数据存储模块，用于存储已经进行了分类的网络入侵数据；

属性转换模块，用于将网络入侵数据中的符号属性转换为数字属性；

归一化模块，用于对经过属性转换后的网络入侵数据归一化到区间；

采样模块，对网络历史数据进行采样，保证训练数据的数据量平衡；

机器学习分类器训练模块，用于根据训练数据进行训练，获得机器学习分类器；

实时预测模块，将实时的网络入侵数据输入机器学习分类器，获得该网络入侵的类型。

5.根据权利要求4所述的一种基于BIRCH和SMOTE的网络入侵检测系统，其特征在于，采样模块包括采样样本数量确定单元、样本数量判断单元、SMOTE过采样单元以及基于BIRCH的聚类采样单元，其中：

采样样本数量确定单元，用于确认采样样本的数量；

样本数量判断单元，用于判断当前类别的样本数量与样本数量r的关系，若当前样本数量等于r，则直接输入该r个样本，若小于r则将数据输入SMOTE过采样单元；否则输入基于BIRCH的聚类采样；

SMOTE过采样单元，对输入的数据进行过采样，使样本数目达到r，并输出该r个样本；

基于BIRCH的聚类采样单元，对输入的数据进行聚类，并以簇为基础进行欠采样，输出r个样本。

6.根据权利要求5所述的一种基于BIRCH和SMOTE的网络入侵检测系统，其特征在于，基于BIRCH的聚类采样单元获得采样样本的过程包括：

对输入的数据集使用BIRCH算法得到k个簇，如果采样的样本数r小于簇中心数k，则对簇中心集合使用K-means聚类算法得到r个簇，并采集簇中心；

如果r等于k，则采集所有的簇中心；

如果r大于k，则首先采集簇中心，并进行多轮采样，得到每轮采样对各个簇采样的样本数，使得在各个簇中采集的样本数量尽可能相近。

7.根据权利要求6所述的一种基于BIRCH和SMOTE的网络入侵检测系统，其特征在于，如果r大于k，每轮采样对各个簇采样的样本数获取过程表示为：

其中，S_i表示数据集D中属于第i类的样本集合；S'表示对每个簇平均采样的样本容量；C_i表示第i个簇；|D'|表示当前已采集的样本个数；q表示欠采样可用的簇的个数。

8.根据权利要求5所述的一种基于BIRCH和SMOTE的网络入侵检测系统，其特征在于，采样样本数量确定单元确认样本采样数量的过程为：

r＝max(n₁,n₂,...,n_i,...,n_N,m)；

其中，n_i表示对数据集中第i类入侵数据聚类生成的簇个数，N为总的入侵类型；m为输入数据集中最少的类的样本数。

Images