[发明专利]基于在线提升算法的网络入侵检测方法

说明书

技术领域

本发明涉及计算机网络信息安全领域，特别涉及网络入侵检测方法，是一种基于在线提升算法的网络入侵检测方法。

背景技术

随着计算机技术的发展，互联网的应用逐渐变得深入和多元化，网上购物、电子政府、网上银行等应用越来越普遍。与此同时，网络信息安全问题变的日益突出。利于网络破坏终端操作系统、非法盗取个人资料、银行账户密码、非法入侵系统数据库等行为严重妨碍了互联网的正常使用，对社会和个人造成了极大的危害。因此，构建网络信息安全系统是有效利用互联网必不可少的技术支撑。一般来说，网络信息安全系统包括防护、检测、反应、恢复四个步骤，其中的检测就是发现超出系统安全策略范围内的网络行为，即通常所说的“入侵”。入侵检测系统是网络信息安全系统中的一个非常重要的组成部分，担负着数字空间预警机的重任，只有网络入侵能得到快速、准确的检测，后续的反应和恢复措施才能得到及时、正确的实行。所以，深入研究入侵检测技术，设计和开发有效的入侵检测算法，对于提高网络信息安全水平、促进互联网技术的应用和发展具有极其重要的意义。

入侵是指系统中违背安全策略或危及系统安全的网络行为，所谓违背安全策略是指某行为不符合正常行为的一系列规则或比较罕见而被系统认为有攻击的潜在危险。入侵检测的任务即将上述入侵或攻击行为检测出来。因此，入侵检测可以看作是个二类的模式分类问题，即自动区分正常网络行为和网络攻击。一般来说，入侵检测系统可以分为两类：基于主机的和基于网络的。基于主机的入侵检测依据的是终端操作系统的系统日志，通常可以得到很高的检测率和很低的虚警率，但入侵检测时效性较差，因为入侵被检测出时对终端系统的危害往往已经发生，而且系统日志也并不可靠，有些精心设计的网络入侵会对系统日志做修改，清除掉系统被攻击的痕迹。基于网络的入侵检测依据的是在网络节点如交换机、路由器等传输的网络数据，此时网络数据包只能被动的被传输和分析，因此数据是可靠的，而且这种检测可以在网络攻击到达终端系统之前被阻止，大大提高了网络系统的安全性。本发明所涉及的即是基于网络的入侵检测技术。

基于网络的入侵检测其检测对象是单个的网络连接，即一个定义好的时间间隔内的TCP包序列。入侵检测分类器所使用的特征包括基本特征、内容特征、流量特征等三大类特征：基本特征如一次网络连接的持续时间、协议类型等；内容特征如尝试登陆的失败次数等；流量特征如两秒内连接到同一源地址的网络连接数等。

网络入侵检测的难点主要有以下几个方面：入侵检测所需训练数据庞大，离线训练耗时很长；各个特征之间的差别巨大，其中有9个目录型特征和32个连续型特征，连续型特征的数值范围也小至[0，1]，大至[0，10⁷]；入侵检测的期望——高检测率和低虚警率难以同时达到；另外，入侵检测的速度要求也比较高，因此分类器不能过于复杂。

现有的网络入侵检测方法有基于规则或统计的，利用关联规则或频率序列的，以及基于机器学习的，如神经网络、支持向量机、自组织映射等。需要强调的是，虽然网络入侵检测技术在世界范围内得到了广泛的关注和研究，但目前仍存在很多困难有待解决。尤其是我们所处的网络环境是不断变化的，新的网络入侵或攻击手段不断出现，而且网络用户的正常网络行为特点多种多样，差异巨大。但现有的入侵检测算法大都采用离线训练，当新的网络攻击类型出现时，必须将新攻击类型的训练数据加入到已有训练数据集中，对整个庞大的训练数据集进行重训练才能适应网络环境的变化，并且这个过程往往需要多次遍历整个训练数据集，耗时非常严重，难以满足网络信息系统的安全性要求。因此研究能有效适应复杂多变的网络环境的入侵检测方法是一个极为重要的问题。

发明内容

为克服现有入侵检测方法只能进行离线训练、难以适应复杂多变的网络环境的不足，本发明提供一种基于在线提升算法(online boosting)的入侵检测方法，该方法能快速适应网络环境的变化，同时得到与离线训练方法相当的检测精度。包括：

通过始化模块，在网络连接数据的每一维上分别建立一个决策桩；初始化各个特征上的决策桩及其相应的加权权重，并设置平衡因子；

通过检测模块，由当前的各个决策桩加权融合而得入侵检测强分类器，对该网络连接数据进行入侵检测；

通过在线更新模块，判断该网络连接数据是否为训练样本；如是，则在对其进行入侵检测前先用该样本对当前检测分类器进行在线更新。

进一步，所述网络连接数据每一维上的决策桩为弱分类器，将这些弱分类器线性加权得到强分类器，各个弱分类器的权重由它的分类错误率得出。

进一步，所述决策桩的建立以使分类错误率最小化为准则。