[发明专利]一种网络入侵检测中类别不平衡处理方法及装置

说明书

本发明提供一种网络入侵检测中类别不平衡处理方法及装置。该方法包括：步骤1、从待检测点获取网络流量数据组成数据集X_D，统计数据集X_D中各类型样本的数量，将样本个数少于目标数量的样本类型记为低频样本集X_mi；步骤2、对每个低频样本x_i∈X_mi，采用ADASYN算法计算低频样本分布密度；步骤3、根据低频样本分布密度，将低频样本集中的各低频样本划分为危险域、安全域和独立域；步骤4、根据各低频样本的所属区域，采用预设样本增量方式生成新样本。步骤5、将生成的新样本加入数据集X_D中组成新样本集X_new。本发明相比于已有过采样算法，在不降低检测性能的基础上，减少了新样本生成总数，从而降低后续计算工作量，缩短模型训练时间，并且有效解决了新样本边缘分布效应。

技术领域

本发明涉及网络安全维护中的入侵检测技术领域，尤其涉及一种网络入侵检测中类别不平衡处理方法及装置。

背景技术

伴随着网络技术的不断发展与创新，基于网络产生的各式应用已经融入日常生活的方方面面，为人们带来了极其便利的生活环境与丰厚的生产利益，满足了人们在现实生活中的各项需求。但网络遭受的各种安全威胁也在深刻地影响着正常的社会生产生活秩序，带来恶性影响的同时造成了不可估量的损失。因此，如何有效地应对网络威胁，保护网络信息的安全性与保密性，对于维护正常的生活方式、良好的网络环境乃至国家战略安全，都具有重要的价值意义。

入侵检测作为一种主动式网络防御技术，不仅能够发现主机或系统中存在的违反正常安全规则的异常行为，而且能够检测识别出正常网络流量中包含的异常攻击信息，是一种重要的网络安全保护措施。但随着互联网产业迈入大数据时代，以匹配检测和异常检测为主的传统入侵检测系统(IDS,Intrusion Detection System)已无法满足大数据量条件下的快速响应需求，性能弊端凸显。因此新型IDS的提出对维护网络良性发展至关重要。

人工智能及机器学习技术的兴起为IDS的发展带来新的机遇。基于机器学习算法的IDS将检测问题转化为分类问题，通过对大量已知网络流量数据进行训练学习，形成最优化模型并完成分类过程，避免了传统模型复杂繁琐的人工干预和领域专家知识，具有很强的自适应能力。已有研究表明，基于人工神经网络、支持向量机和决策树等机器学习算法的IDS在实时性和检测率等指标上均取得不错效果，但在实际应用中仍然面临部分难题，其中之一便是类别非平衡分布情况下的攻击检测问题。首先，入侵行为样本在数量上远远少于正常流量数据，导致其分类特征难以捕捉，造成机器学习算法无法有效对攻击样本建立检测模型；其次，机器学习算法以最大化样本整体分类准确率为目的，致使绝大部分低频攻击样本被忽视，产生错误结果。

针对类别非平衡分布检测问题的主要解决方法分为算法层面和数据层面。算法层面主要通过修改具体检测算法或模型的决策函数，使算法检测结果更偏向于低频样本集。相比之下，数据层面处理方法则具有复杂度低和不依赖具体分类检测模型的优势，通过人为的添加或删除样本数量，使样本集达到相对平衡状态。传统的过采样方式仅针对已有数据进行简单重复复制，造成新样本集缺乏特征多样性；而减采样通过对高频样本抽样来缩减其数量，易损失某些重要样本，导致分类准确度下降。