[发明专利]结合高斯混合模型与排序学习的多阶段入侵检测方法

说明书

结合高斯混合模型与排序学习的多阶段入侵检测方法，S1获取恶意入侵流量数据得到网络流量特征数据集；S2将网络流量特征数据集进行划分并提取最优特征；S3对先验信息集进行预测得到错误分类样本和重叠样本分布情况；S4将错误样本与最优特征测试集进行特征值匹配，通过模型预测得到第一阶段预测结果；S5结合错误样本分布情况，得到重叠样本与非重叠样本，以重叠样本的先验信息为该重叠样本制定预测标签，得到第二阶段预测结果；S6对非重叠样进行分类预测得到第一拼接向量；S7将第一拼接向量通过排序学习模型预测，得到第三阶段预测结果；结合高斯混合模型以及排序学习解决同特征不同标签的样本以及类别易混淆样本分类效果差的问题。

技术领域

本发明属于学习入侵检测技术领域，更具体的说是涉及一种结合高斯混合模型与排序学习的多阶段入侵检测方法。

背景技术

入侵检测是指系统通过对已有网络流量数据进行学习，捕捉正常流量数据与恶意流量数据之间的区别，从而判别出恶意流量数据的过程。

入侵场景下存在以下两种情况：1)网络入侵数据大都是packet-based或flow-based，导致提取出的特征维度较低，使得具有类似特性的入侵类型会得到相同的特征，由此造成入侵数据中出现特征值相同但标签不同的样本。2)网络入侵数据中各类入侵类型包含的范围较为模糊，由此造成概念宽泛的入侵类型之间范围交叉，导致范围交叉的入侵类型之间混淆程度大，难以正确分类。且当某种特征组合的的样本未被正确分类时，其对应的所有同特征样本都会被误分类，由此会极大地影响入侵检测系统的表现。

因此，如何提供一种入侵检测方法，能够提升模型在识别同特征不同标签样板以及类别易混淆样本的入侵检测方法是本领域亟需解决的问题。

发明内容

有鉴于此，本发明提供了一种结合高斯混合模型与排序学习的多阶段入侵检测方法，够在入侵检测效果的基础上，进一步提升模型在识别同特征不同标签的样本以及类别易混淆样本的效果。

为了实现上述技术效果，采取以下技术方案：

一种结合高斯混合模型与排序学习的多阶段入侵检测方法，包括以下步骤：

S1：获取恶意入侵流量数据并进行特征提取和预处理得到网络流量特征数据集；

S2：将所述网络流量特征数据集进行过采样，划分并提取最优特征得到最优特征先验信息集、最优特征训练集和最优特征测试集；

S3：通过最优特征训练集训练出第一LightGBM模型，通过所述第一LightGBM模型对所述先验信息集进行预测得到错误分类样本和重叠样本分布情况；

S4：将所述错误分类样本与所述最优特征测试集进行特征值匹配，通过所述第一LightGBM模型对未成功匹配的样本进行预测得到第一阶段预测结果；

S5:将S4中成功匹配的样本作为同特征训练样本并根据所述重叠样本分布情况，得到重叠样本与非重叠样本，以所述重叠样本的先验信息为该重叠样本制定预测标签，得到第二阶段预测结果；

S6：将所述测试集非重叠样本进行升维得到高维测试集非重叠样本，将该高维测试集非重叠样本直接进行分类预测的预测结果和结合高斯混合模型后的分类预测结果进行结合得到第一拼接向量；

S7:将所述第一拼接向量通过预先构建的排序学习模型进行预测，得到第三阶段预测结果；

S8:结合第一阶段预测结果、第二阶段预测结果和第三阶段预测结果判断入侵数据类型。

进一步的，S1中，所述预处理包括填充空值、讲标型特征转换成数值型特征和特征缩放。