[发明专利]一种基于集成学习的半监督分类的入侵检测方法

说明书

本发明公开了一种基于集成学习的半监督分类的入侵检测方法，其特征在于，主要方法为采用TSVM算法作为半监督分类的算法，首先对原始标记数据集训练出一个初始SVM，使用该学习器对未标记样本打标，基于打标后的样本重新训练SVM，最终得到一组扩展后的标记数据。利用原始标记数据和扩展后的标记数据来训练LightGBM框架作为集成学习的分类器，能够有效的区分各种攻击类型。本发明只需要少量的标记数据就可以获得较优的性能，特别针对出现频率较低的攻击方式，我们采用GAN生成更多的数据来进行训练。相比较传统的入侵检测系统，具有较高的准确率，并且可以及时做出响应。

技术领域

本发明涉及网络安全领域，具体涉及一种基于集成学习的半监督分类的入侵检测方法

背景技术

在我国高新技术水平不断提升的背景下，计算机技术、网络技术得到了进一步的优化完善。但随之而来的是网络攻击行为不断涌现，网络攻击方式变得越来越复杂。Symantec2018年互联网安全威胁报告中指出,每10个被分析的URL中就有1个是恶意的。并且随着云计算的迅速发展，在个人电脑上犯的安全错误，极有可能也会发生在云中。一个配置错误的云工作负载或存储实例可能会使云服务公司损失几百万美元。2017年5月和6月，勒索软件“WannaCry”和“Petya”在150多个国家的一万多家组织中发起攻击。在国内，我们通过国家互联网应急中心(CNCERT)发表的《2019年前三季度智能设备恶意程序活动情况报告》可知，2019年捕获的智能设备恶意程序样本数量达到了290.69万个，恶意程序服务器端传播源IP地址1.86万个、发现329.26万个智能设备IP地址疑似感染恶意程序。仅仅依靠传统的入侵检测系统等安全防范措施已经满足不了用户对网络安全的要求。

发明内容

针对现有技术中的不足，本发明提供的一种基于集成学习的半监督分类的入侵检测方法可以在网络入侵发生时及时做出响应。

为了达到上述发明目的，本发明采用的技术方案为：

一种基于集成学习的半监督分类的入侵检测方法，其特征在于，包括以下步骤：

S1、使用生成对抗网络(GAN)生成更多的U2R数据集以提高该类攻击类型的检测率

S2、使用生成的数据集与10％的KDD-NSL数据集组合产生数据集合D_l

S3、使用数据集D_l训练TSVM神经网络作为初始预测模型

S4、使用训练好的TSVM对无标签数据进行预测得到伪标签数据集D′_u

S5、使用半监督学习算法得到一组有标签和无标签集合数据集

S6、使用集成学习的方法训练有标签和无标签集合数据集，得到最后的模型

进一步地,步骤S1中使用生成对抗网络模拟真实的U2R数据的具体方法为：

S1-1、从NSL-KDD数据集中获取训练数据，从训练数据中选取所有的U2R数据作为生成对抗网络的真实数据X。

S1-2、生成模型G通过捕捉真实样本x的概率分布，使用一组随机变量z生成样本G(z)

S1-3、判定模型D判断D(G(z))的大小，D(X)和G(z)交替地最小化和最大化V(D,G)

S1-4、最终求得近似最优解的生成模型minG，minG生成足够的U2R数据

进一步地，所述步骤S3训练TSVM神经网络作为初始预测模型，其具体做法为：

根据公式1作为计算(w，b)，ξ：