[发明专利]半监督异常入侵检测方法

说明书

技术领域

本发明属于网络安全技术领域，涉及入侵检测方法，具体的说是一种基于模糊聚类和支撑矢量域描述的半监督异常入侵检测方法，可用于网络环境中对数据的检测。

背景技术

随着全球信息化技术的飞速发展，网络已广泛应用于社会生活的各个领域，伴随而来的网络信息安全问题也不断增多。已被广泛应用的传统网络安全技术包括数据加密技术、认证技术、防火墙技术和入侵检测系统。其中入侵检测系统因具有检测性强、应用范围广泛、响应及时的特点而成为网络安全领域的研究热点。

按检测数据来源不同，入侵检测系统可以分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统主要以主机的审计记录作为检测数据来源，来完成对入侵行为的检测。基于网络的入侵检测系统通过分析网络数据包，检测其中隐藏的入侵行为。按检测方法不同，入侵检测方法又可以分为误用入侵检测方法和异常入侵检测方法。误用入侵检测方法通过分析各种入侵行为，提取出相应的入侵行为特征库，采用该检测方法的入侵检测系统的性能优劣完全取决于它是否具备一个及时更新的特征库。异常入侵检测方法首先为正常行为建立一个的状态模型，异于该状态模型的行为都被怀疑为攻击行为，采用该检测方法的入侵检测系统对未知入侵行为的发现能力较强，其设计难点在于如何正确构造正常行为的状态模型。

异常入侵检测可看作单值分类问题，即将检测数据中的目标类与离群类分离开来，其中目标类是检测数据中的正常数据，离群类是检测数据中的各种入侵数据。支撑矢量域描述SVDD是由支撑矢量机发展而来的一种数据域描述方法，可用于单值分类问题。基于SVDD的异常入侵检测方法的优点在于：1、它是一种无监督学习方法，不需要为训练数据标记类别；2、适用于仅由正常数据组成的或者包含噪声的训练集，使得模型的实时更新成为可能；3、通用性强，可用于实现基于网络或主机的异常入侵检测。

异常入侵检测的本质是一个模式分类问题，即将检测数据正确地分为正常类和异常类，其中正常类包含检测数据中的正常数据，异常类包含检测数据中的各种入侵数据，因此各种模式识别和机器学习技术越来越多的被应用到入侵检测领域中。传统的入侵检测方法是基于监督学习的，虽然检测率较高，且虚警率较低，但是无法有效地检测到未知入侵行为。因此，无监督学习方法被应用到入侵检测中，基于聚类的入侵检测方法不用对网络数据进行标记就可以检测到未知入侵行为，所以该检测方法的检测率较高，但是如果有入侵行为被错误标记为正常类，将导致该类入侵行为及其变种都被视作正常数据，所以虚警率也较高。

发明内容

本发明的目的在于克服上述已有技术的不足，针对训练数据中仅包含少量正常数据的情况，提出一种基于模糊聚类和支撑矢量域描述的半监督异常入侵检测方法，以实现在保证较高检测率的同时，最大程度的降低虚警率。

实现本发明目的的技术思路是：提取训练数据中的正常数据作为有标记样本集，通过模糊聚类和基于支撑矢量域描述SVDD的自训练不断标记利用无标记的检测数据样本，为检测器提供更多有效的样本分布信息，从而提高检测率。其技术方案包括以下步骤：

(1)在进行入侵检测时，将正常行为对应的检测数据定义为正常数据，将各种入侵行为对应的检测数据定义为异常数据，提取训练数据中的一部分正常数据作为初始有标记样本集{x_i}，将检测数据作为初始未标记样本集{x_j}；

(2)对当前有标记和未标记样本实施模糊C均值聚类，得到初始聚类中心M＝{m₊，m_-}，其中m₊是检测数据中正常类样本的初始聚类中心，m_-是检测数据中异常类样本的初始聚类中心，正常类包含检测数据中的正常数据，异常类包含检测数据中的异常数据；

(3)基于初始聚类中心M，对当前有标记和未标记样本再次实施模糊C均值聚类，得到聚类中心其中是正常类样本的聚类中心，是异常类样本的聚类中心，并将当前所有未标记样本到各聚类中心的隶属度集合记作U＝{u_cj|j∈(1，2，...，u)，c∈(+，-)}，其中u_cj是第j个未标记样本到标记为c的聚类中心的隶属度，u是当前未标记样本集的样本数目；