[发明专利]一种用机器学习技术对网络攻击行为进行分类检测的方法

说明书

本发明涉及一种用机器学习技术对网络攻击行为进行分类检测的方法，属于信息安全技术领域。具体为：①采集网络数据并进行预处理，得到训练数据。②构建并训练多级分类器。③用训练好的多级分类器对测试数据进行分类检测。本发明提出的方法与已有技术相比较，优点是：①通过对采集数据的预处理方法能够缩减数据规模，同时去除部分无关数据，提高了整体效率。②利用多级分类器和集成学习的思想，解决了单一分类器拟合精度不高的问题，大大提高了系统的检测精度。③基于改进的随机森林算法的数据分块方法的设计能够将不同类型的攻击行为检测实现为并行算法，提高系统的总体的检测速度。

技术领域

本发明涉及一种用机器学习技术对网络攻击行为进行分类检测的方法，属于信息安全技术领域。

背景技术

随着网络和计算机技术的发展为人们的生活带来便利的同时，网络系统的安全问题也带来了新的困扰。由于网络攻击的数量和种类呈指数增长，网络和信息系统面临着严重的安全威胁。在此背景下研究网络的安全的保护方法具有重要的理论和实践价值。

为了保护网络系统的安全，鉴别并且阻止系统内外的攻击行为和用户的越权行为，研究者们提出了网络系统的主动监控技术。该技术通过监控节点主动的向被监控网络产生负载并对采集的数据进行分析，进而得到被监控网络的状态信息并产生相应的决策。主动监控系统的主要研究内容是构建合适的模型对数监控信息进行分类检测，分类检测技术的评估指标包括检测时间、检测准确率、检测误报率等。当监控节点的数目增大时对网络的主动监控也更加复杂，因此需要提出在检测精度和检测时间更加优秀的分析方法。

机器学习是通过计算机模拟人类的学习活动，通过从已有的经验中构建学习机，通过学习机进一步对未知的数据进行预测，并在这一过程中不断完善所构建的学习机。将机器学习技术引入主动监控技术提高了数据分析的精确程度，目前在主动监控系统中常用的机器学习模型包括SVM、神经网络、逻辑回归、贝叶斯网等。

发明内容

本发明的目的是针对大规模网络中主动监控技术存在的对攻击行为的检测准确率低、响应时间长、检测误报率高的问题，提出一种用机器学习技术对网络攻击行为进行分类检测的方法。本发明方法通过完整的特征工程方法提高待检测数据的质量和缩减数据规模，在此基础上构建基于随机森林算法和支持向量机算法的集成机器学习模型，对处理后的数据进行分类检测从而预测网络系统中的攻击行为。

本发明的目的是通过以下技术方案实现的。

本发明提出的一种用机器学习技术对网络攻击行为进行分类检测的方法，其具体操作为：

步骤一、采集网络数据并进行预处理，得到训练数据。所述训练数据分为正常数据和攻击数据；所述攻击数据按照不同攻击类型又分为多种类别,攻击类型的数量用符号N表示；N为正整数。每种类型训练数据的数量均不少于3000条。

所述得到训练数据具体操作为：

步骤1.1：从网络系统中采集网络数据。所述网络数据包括网络内容相关特征、网络流量相关特征和网路连接相关特征。

步骤1.2：对所述网络数据进行预处理，具体为：

步骤1.2.1：对所述网络数据进行数据清洗，去除特征项有缺失的数据以及特征项取值为非正常取值范围内的数据。

步骤1.2.2：对清洗后的网络数据进行标准化处理。具体为：对字符类型的数据进行数值化映射或者进行二元化的数值变换。经过标准化处理后的网络数据表示为特征向量形式。

步骤1.2.3：通过公式(1)对标准化处理后的网络数据进行归一化处理，使网络数据的每个特征项的取值在[0,1]范围内。