[发明专利]面向稀有攻击的网络入侵检测方法

说明书

本发明公开一种面向稀有攻击的网络入侵检测方法，首先本发明通过遗传编码算法和随机森林对不平衡数据进行特征提取，最终获得优化子集；然后通过分离数据分别构建普通攻击集和稀有攻击集；接着利用普通攻击集和稀有攻击集对基于卷积神经网络的联合攻击分类器进行训练；最后利用训练好的联合攻击分类器对网络数据进行检测。本发明可以在网络数据不平衡的情况下，通过先对网络数据的普通攻击进行检测，再对稀有攻击进行检测的方式，来保证所构建的联合攻击分类器的两个子分类器都能够得到有效的学习，从而使得普通攻击和稀有攻击都能够被检测到，实现提高稀有攻击检测的效果。

技术领域

本发明涉及网络入侵检测技术领域，具体涉及一种面向稀有攻击的网络入侵检测方法。

背景技术

多年前，研究者们围绕网络入侵检测这一领域进行了许多研究工作。Heberlein提出了通过监管网络用户之间的通信来识别异常的行为。此后，为了提高对网络攻击的识别能力与效率，Mark Crobie为入侵检测的研究引入了主动代理机制。在不断的研究中，网络入侵检测的相关技术得到了飞速发展，然而这些技术依然存在对网络攻击的识别精确度低而误报率高的问题，同时对于一些新型的网络攻击无法及时响应。

近年来，传统的机器学习技术被应用于网络入侵检测领域。该技术可以对网络数据特征进行建模，然后利用所学模型对未来的网络行为进行预测或者对正在进行的网络行为进行分类，其中常用的学习算法包括决策树、随机森林、支持向量机和K-邻近算法。如Shinjinn Horng提出了基于支持向量机的网络入侵检测方法，该方法包括基本的攻击特征提取和分类功能，与先前的一些工作相比，其在对Dos攻击和Probe攻击的识别方面展现了更高的性能。又如任家东等提出了基于K-邻近算法与随机森林相结合的入侵检测方法，该方法采用K-邻近算法对数据集进行预处理。然后基于新获得的数据集使用随机森林算法训练分类器，该攻击分类器可以提高检测性能。

随着深度学习的发展，基于其在图像识别、自然语言处理和行为识别等领域的良好性能，研究者们将深度学习引入网络入侵检测领域。该技术可以从网络数据中学习输入与输出的映射函数来提取攻击特征，该过程无需过多的人力干预，故而减少了人力消耗并且降低了错误率。其中，网络入侵检测中常用的深度学习模型包含深度置信网络，卷积神经网络，循环神经网络以及其变体长短记忆时序网络。如Nadeem等提出了基于DBN的入侵检测方法，该方法结合了无监督学习算法和监督学习算法，在处理海量网络数据时有较高的鲁棒性。又如Staudemeyer利用LSTM将网络流量建模成时间序列数据，然后利用该数据训练循环神经网络，实验结果表明该方法可以提高网络入侵检测性能。

虽然基于传统机器学习和深度学习提出了许多性能良好的网络入侵检测方法，但是如果网络数据集中攻击类别的分布严重不平衡，即其中稀有攻击占总数的比例小于2％，数据集中的稀有攻击类别会被占主导地位的非稀有攻击类别(普通攻击)淹没。在这种情况下，现有网络入侵检测方法不能有效学习稀有攻击类别的特征，则会影响分类模型的准确性，导致稀有攻击的检测率较低。

发明内容

本发明所要解决的是现有网络入侵检测方法对不平衡网络数据中稀有攻击检测效果不佳的问题，提供一种面向稀有攻击的网络入侵检测方法。

为解决上述问题，本发明是通过以下技术方案实现的：

面向稀有攻击的网络入侵检测方法，其包括步骤如下：

步骤1、搜集网络攻击数据，并将搜集的网络攻击数据处理为带有攻击类型标签的网络数据作为训练集；

步骤2、利用遗传编程算法对训练集进行特征选择后，生成特征选择后的子数据集；

步骤3、利用随机森林评估子数据集的准确度，并利用准确度计算子数据集的拟合值：如果子数据集的拟合值达到目标拟合值，则结束迭代，并将子数据集作为优化数据集，转至步骤4；否则，将子数据集作为训练集，并返回步骤2，继续迭代；