[发明专利]一种基于Bagging算法的复合式入侵检测方法

说明书

技术领域

本发明涉及一种网络信息安全技术领域的检测方法，具体讲涉及一种基于Bagging算法的复合式入侵检测方法。

背景技术

随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展，当前对安全产品技术提出更高的要求，急需一种高效的网络安全告警技术来提升安全产品的性能。

入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备的日志，如防火墙、IDS、IPS等，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。

从理论来源分析入侵检测技术属于模式识别中分类问题，将各种网络攻击抽象成一个已知类别，将网络安全设备的历史运行日志做为训练样本集使用人工智能算法通过训练学习得到多分类模型，即入侵检测系统。目前入侵检测的解决方案，主要是利用神经网络、支持向量机等单学习机方法，而这些单分类器方法均为不稳定分类算法，所谓不稳定分类算法就是指训练样本集发生一个微小的变化，分类器的分类结果就会产生巨大变化。虽然经多年研究，通过各种群智能优化算法已使单分类器的稳定性有所提高，但单学习机的方法误差相对较大、运算速度偏慢、入侵检测系统的泛化能力低。泛化能力是指，若某个模型只针对某类问题具有较好的效果，对于其他类别问题性能较弱，则其泛化能力有限；反之，某个模型对于多个类别问题均有较好性能，则其泛化能力较好。

当前主要有两大类入侵检测现有技术，它们分别是基于误用技术和基于异常技术。基于误用技术是指，假设所有可能出现的网络攻击类别(“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”)均已知，将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速，而缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指，事先根据规则定义好“正常”网络行为的特征，将待测记录来匹配该特征，凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速，缺点是误报率偏高。“漏报”是指将本属攻击的网络行为认定为正常，“误报”是指将本属正常的网络行为认定为攻击。由此可见，入侵检测系统的核心性能要求是准确性和实时性，目前基于单学习机的解决方案在这两方面均有不足。

发明内容

针对上述现有技术基于单分类器的入侵检技术、仅仅依靠误用技术或异常技术的入侵检测实施方案中普遍存在的入侵检测精度低、实时型差、漏报率和误报率偏高、泛化能力差等缺陷，经长期研究本申请人提供了一种基于Bagging算法的复合式入侵检测方法，Bagging算法的最大优势在于通过对弱学习算法的反复迭代训练从而得到高精度的分类模型，并且为了降低误报率和漏报率，该方法设计了复合式入侵检测模型，即先进行基于误用的入侵检测，再进行基于异常的入侵检测；为了改善入侵检测系统的实时性，本发明分别在特征提取阶段和Bagging算法的弱学习算法选择上使用核主成分分析和球向量机，从而使得在尽量不降低精度的情况下提高入侵检测系统的速度。

本发明的目的是采用下述技术方案实现的：

一种基于Bagging算法的复合式入侵检测方法，其改进之处在于，所述方法包括以下步骤：

A、建立初始历史数据样本集S；

B、将所述初始历史数据样本集S构造成Bagging算法中弱学习算法可读的数据集S_sample，选定球向量机作为所述弱学习算法；

C、循环调用所述Bagging算法中的弱学习算法，完成所述数据集S_sample的训练，得到强学习机H；

D、将当前待测的数据样本输入到作为复合式入侵检测模型的所述强学习机H中，所述强学习机H利用各代弱学习机h_i做初步入侵检测，并以投票的方式判定当前待测数据样本的入侵检测结果，得票数多的入侵检测结果为强学习机H最终入侵检测结果。

本发明提供的一种优选的技术方案是：所述步骤A包括以下步骤：

所述步骤A包括以下步骤：

A1、数据采集：分析历史各个时间监测点的网络安全设备日志，统计所述日志中所有属性对应的数据；

A2、特征提取：对所述日志中所有属性进行核主成分分析，得到做为复合式入侵检测的特征属性x₁，x₂，…，x_n；