[发明专利]入侵检测方法、装置及存储介质

权利要求书

1.一种入侵检测方法，其特征在于，包括：

获取M类异常样本，并对各类样本数量进行均衡处理；

对所述M类异常样本中的各样本进行特征约简；

将特征约简后的M类异常样本及正常样本，作为样本集合，对初始机器学习模型进行训练，得到入侵检测模型；其中，所述机器学习模型由M+1个分类器构成；

基于所述入侵检测模型，进行网络攻击检测；

所述获取M类异常样本，并对各类样本数量进行均衡处理，包括：

统计所述M类异常样本中每类异常样本的数量；

针对样本数量低于第一预设值的类，对所述类内样本进行样本变换得到至少一个新样本；或者，针对样本数量高于第二预设值的类，对所述类内的部分样本进行过滤处理；

得到异常样本数量符合预设条件的M类异常样本；

所述对所述M类异常样本中的各样本进行特征约简，包括：

提取所述M类异常样本中的各样本的特征向量；

针对每个所述样本的特征向量中各特征与相应异常类标签之间的相关度，对各特征进行排序；并基于SVM算法对特征向量中的特征进行选取操作，得到特征约简后的样本特征向量。

2.根据权利要求1所述的入侵检测方法，其特征在于，所述将特征约简后的M类异常样本及正常样本，作为样本集合，对初始机器学习模型进行训练，得到入侵检测模型，包括：

所述样本集合包括M+1个子集；其中，M个异常类子集中的每个样本均携带有相应异常类标签信息，1个正常类子集中的每个样本均携带有正常类标签信息；

将所述样本集合输入至所述初始机器学习模型，分别基于每个异常类子集与正常类子集合并的数据集，对初始机器学习模型中所述异常类相应的分类器进行训练，得到所述入侵检测模型；其中，所述入侵检测模型由M+1个分类器构成。

3.根据权利要求1所述的入侵检测方法，其特征在于，所述基于所述入侵检测模型，进行网络攻击检测，包括：

将当前网络信息输入至所述入侵检测模型；

响应于与所述入侵检测模型中的任意一个异常类分类器的类中心之间的距离小于或等于预设值，将所述异常类分类器的类标签作为网络攻击检测结果；

响应于与所述入侵检测模型中的正常类分类器的类中心之间的距离小于或等于预设值，将所述正常分类器的类标签作为网络攻击检测结果；

响应于与所述M+1个分类器的类中心之间的距离均大于预设值，将未知攻击类型作为网络攻击检测结果。

4.一种入侵检测装置，其特征在于，包括：

均衡模块，用于获取M类异常样本，并对各类样本数量进行均衡处理；

约简模块，用于对所述M类异常样本中的各样本进行特征约简；

训练模块，用于将特征约简后的M类异常样本及正常样本，作为样本集合，对初始机器学习模型进行训练，得到入侵检测模型；其中，所述机器学习模型由M+1个分类器构成；

检测模块，用于基于所述入侵检测模型，进行网络攻击检测；

所述均衡模块包括：

统计子模块，用于统计所述M类异常样本中每类异常样本的数量；

均衡子模块，用于针对样本数量低于第一预设值的类，对所述类内样本进行样本变换得到至少一个新样本；或者，针对样本数量高于第二预设值的类，对所述类内的部分样本进行过滤处理；

所述均衡子模块，还用于得到异常样本数量符合预设条件的M类异常样本；

所述约简模块包括：

提取子模块，用于提取所述M类异常样本中的各样本的特征向量；

约简子模块，用于针对每个所述样本的特征向量中各特征与相应异常类标签之间的相关度，对各特征进行排序；并基于SVM算法对特征向量中的特征进行选取操作，得到特征约简后的样本特征向量。

5.根据权利要求4所述的入侵检测装置，其特征在于，所述样本集合包括M+1个子集；其中，M个异常类子集中的每个样本均携带有相应异常类标签信息，1个正常类子集中的每个样本均携带有正常类标签信息；

所述训练模块，还用于将所述样本集合输入至所述初始机器学习模型，分别基于每个异常类子集与正常类子集合并的数据集，对初始机器学习模型中所述异常类相应的分类器进行训练，得到所述入侵检测模型；其中，所述入侵检测模型由M+1个分类器构成。