[发明专利]天牛须结合随机森林的网络入侵检测方法

说明书

本发明涉及天牛须结合随机森林的网络入侵检测方法，基于机器学习处理网络入侵监测问题，可以利用更少的时间训练出高准确率的网络入侵监测模型。当有异常流量通过时，检测系统可以通过流量分析发现问题并产生相应信号。相较于粒子群优化随机森林与果蝇优化随机森林算法，本发明可以更为高效地完成模型训练与检测。

技术领域

本发明涉及网络安全技术领域，特别是一种天牛须结合随机森林的网络入侵检测方法。

背景技术

随着网络更为广泛的普及与应用，网络入侵风险也再度上升，入侵检测研究成为网络安全领域必不可少的一部分。当下，监控网络流量并构建有效的入侵检测系统已有一定的研究成果。传统网络入侵检测技术有基于概率统计模型的入侵检测技术、基于模型推理的入侵检测技术等。基于概率统计模型的入侵检测技术是最传统也是最基础的入侵检测技术，该方法的缺点是用户行为各种各样，无法只通过一个单一数理模型进行预测，用一个模型准确地匹配和准确预测所有用户的行为是不切实际的，导致模型识别准确率很低。Fronimos等人通过对网络流量进行分析，提出了性能标准评估与可用性来对网络流量进行检测，判断流量是否为异常行为。

传统的网络入侵检测技术大多是基于数据库匹配来判断是否为网络攻击行为,但是在实际网络环境中，黑客的入侵行为是多种多样的，例如DDoS攻击，传统入侵检测技术就无能为力。同时，传统网络入侵检测在网络流量特征提取方面，大部分是通过人工完成，所以当数据量较大时，传统网络方法难以实现。Deng C等人通过对网络安全方面的研究，发现传统的网络入侵检测技术已难以满足当前多种多样的网络入侵形式，而采用机器学习技术则可以有效提高网络入侵检测的准确率。

当前针对于网络入侵检测的机器学习算法也不断迭代提高，常用机器学习算法有神经网络、支持向量机、蚁群算法等。神经网络因其自适应、自学习、高速并行计算、联想记忆等特点，契合了大多数领域的研究热点和需求，神经网络也因其上述独特优势可有效回避基于概率统计模型的缺点，加强了识别未知网络攻击行为的能力。Hongde W等人使用卷积神经网络成功做出了一套准确率较高的检测系统，但其检测效率很低。相较于神经网络而言，支持向量机的优点在于可以有效避免“维数灾难”，具有一定的智能性，但其核函数的选取则只能依靠经验选取。Nskh P等人使用高斯径向基函数核作为支持向量机的核函数，可以有效提高对于入侵流量的识别准确率，但网络环境较为复杂时，该检测方法则需要消耗较多的的存储空间。蚁群算法在求解问题上，可以与其他算法结合，具有很高的鲁棒性，Cui Y L等人将其与模糊支持向量机结合来进行入侵识别测试，虽然其提高了识别的准确率，但降低了识别效率，无法实现大规模实时检测。

相比之下，随机森林算法在分类算法中具有训练速度快、预测速度快等优点，这也是网络入侵检测所必须的条件，可以有效保障流量的带宽，达到延迟最小。但是为了达到训练与预测的最佳效果，随机森林中参数必须是恰当的。针对于参数优化问题，现有常见的有果蝇优化算法和粒子群优化算法，但其运算量巨大，需要较长的运算时间。

发明内容

有鉴于此，本发明的目的是提出一种天牛须结合随机森林的网络入侵检测方法，提高训练网络入侵检测模型与预测的效率，能有效对较大的网络流量进行实时监测。

本发明采用以下方案实现：一种天牛须结合随机森林的网络入侵检测方法，具体包括以下步骤：

步骤S1：首先确定需要优化的随机森林参数：决策树数目和选择分裂属性个数；

步骤S2：提供训练集样本，初始化天牛大小、天牛运动步长、天牛方向以及天牛运动步数上限N；

步骤S3：用天牛两触须位置坐标初始化随机森林算法，利用预测样本求解相对应的准确率；

步骤S4：对比天牛两须对应的准确率，天牛向准确率高的触须一侧运动一步；

步骤S5：如果获得的准确率为历史最高，则保存该准确率与对应的触须坐标位置；