[发明专利]一种基于多经验核学习的网络入侵检测方法

说明书

本发明公开了一种基于多经验核学习的网络入侵检测方法。包括通过对预处理后的不平衡网络入侵检测样本进行学习，得到万有引力平衡的正负类样本的中点样本及所述中点样本的近邻样本；所述万有引力平衡的正负类样本的中点样本及其近邻样本与多经验核学习相结合，分别在每个核空间生成两个正则化项，其中万有引力平衡的正负类样本的中点样本对应的生成的正则化项用于拟合分类边界，而其近邻样本用于扰动和修正分类边界的形成。最后通过将每个核空间的分类结果进行投票，得到测试样本最终的类别，从而判别样本是否为网络攻击样本。本发明通过结合万有引力近邻模型与多核学习算法，能够有效地解决不平衡的网络攻击问题。

技术领域

本发明涉及一种基于多经验核学习的网络入侵检测方法，属于数据分类技术领域。

背景技术

由于物联网的普及和云服务的广泛采用，导致网络数据量急剧增长，处理这些流量需要日益迅速、高效的方式分析数据的技术。网络入侵问题是导致网络安全挑战的一大因素，而网络入侵检测系统是网络系统管理员检测组织网络内部各种安全漏洞的重要工具。网络入侵检测系统监视并分析进入或退出组织网络设备的网络流量，在观察到入侵时及时发出警报。基于入侵检测的方法可分为两类：基于签名的网络入侵检测和基于异常检测的网络入侵检系统。在基于签名的网络入侵检测系统中，攻击签名是预先设置在网络入侵检测系统中的。针对所设置的签名对网络流量执行模式匹配，以检测网络中的入侵。该方法对已知的攻击显示出较高的检测精度和较少的虚警率，但它高度依赖现有规则数据库，无法及时更新以应对新的网络攻击手段，因此很容易造成较大的损失。在基于异常检测的网络入侵检系统中，当观察到不同于正常网络流量的模式时，系统将该网络流量标记作为入侵数据，该方法非常适合于检测未知和新的攻击。

各种机器学习技术已经被用来开发基于异常检测的网络入侵检系统，例如神经网络、支持向量机(SVM)、朴素贝叶斯、随机森林(RF)等。基于机器学习的网络入侵检测方法能够较有效应对未知的网络攻击。然而，由于包含网络攻击的网络数据本身较少、难以获取，且对流量数据添加标签的成本较大，导致用于网络入侵检测的数据呈现出高度不平衡的特征。从高度不平衡的网络入侵数据集中学习出高效的模型是一个不可忽视的问题，传统的机器学习方法难以高效地解决不平衡的网络入侵问题。

在不平衡问题中，不同类别的样本规模差异很大。一般情况下，某一类的样本数，即少数类的样本数，远远少于另一类的样本数，即多数类的样本数。在网络入侵检测中，网络攻击数据在巨大的网络流量中占少数，而正常的数据则占大多数。在不平衡问题中，少数类样本往往受到更多的关注，具有更大的研究价值。因此，对不平衡问题的研究是值得关注的。一般情况下，传统的分类器是根据平衡的样本分布假设而提出的，对不同类别的样本分配相同的错误分类成本。因此，传统分类器很难用于有效地解决不平衡问题。传统分类器如SVM在处理不平衡问题时，由于训练数据的不平衡，少数类与多数类之间的支持向量比率也变得更加不平衡，因此对少数类的错分几率大大提高。

本发明通过多核学习的算法来解决不平衡的网络入侵检测问题。线性分类器的性能通过引入核函数可得到有效提升，核函数也可使线性分类器推广到非线性分类器问题当中。但在解决不平衡问题时，传统多核分类器的表现并不好，因为它没有考虑不平衡数据的实际分布，使得结果偏向多数类。受万有引力固定半径近邻分类器GFRNN算法的启发，本发明通过引入万有引力近邻策略，设计了两个正则化项，并结合多核学习框架MultiK-MHKS，提出了能有效解决不平衡网络入侵检测问题的万有引力平衡的多核学习算法GBMKL。GBMKL的算法思想是考虑两类样本的实际分布，生成每个多数类到最近的少数类样本的中点，并计算这些中点所受到的两类样本的万有引力，在每个核空间，用这些中点当中的万有引力平衡点去拟合分类边界面。同时，找出这些万有引力平衡点的近邻样本，用于扰动分类边界的生成，使得分类器解决不平衡问题的能力得到有效提升。实验证明，所提出的模型能够有效地解决不平衡网络入侵检测问题。

发明内容