[发明专利]一种基于改进核心向量机数据融合的复合式入侵检测方法

说明书

技术领域

本发明属于网络信息安全技术领域，尤其涉及一种基于改进核心向量机数据融合的复合式入侵检测方法。

背景技术

随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展，当前对安全产品技术提出更高的要求，急需一种高效的网络安全告警技术来提升安全产品的性能。

入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备（如防火墙、IDS、IPS等）的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。

从理论来源分析入侵检测技术属于模式识别中分类问题，将各种网络攻击抽象成一个已知类别，将网络安全设备的历史运行日志做为训练样本集使用人工智能算法通过训练学习得到多分类模型，即入侵检测系统。目前入侵检测的解决方案，主要是利用神经网络、支持向量机等单学习机方法，而这些单分类器方法均为不稳定分类算法，所谓不稳定分类算法就是指训练样本集发生一个微小的变化，分类器的分类结果就会产生巨大变化。虽然经多年研究，通过各种群智能优化算法已使单分类器的稳定性有所提高，但单学习机的方法误差相对较大、运算速度偏慢、入侵检测系统的泛化能力低。泛化能力是指，若某个模型只针对某类问题具有较好的效果，对于其他类别问题性能较弱，则其泛化能力有限；反之，某个模型对于多个类别问题均有较好性能，则其泛化能力较好。

当前主要有两大类入侵检测技术，分别是基于误用技术、基于异常技术。基于误用技术是指，假设所有可能出现的网络攻击类别（“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”）均已知，将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速，缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指，事先根据规则定义好“正常”网络行为的特征，将待测记录来匹配该特征，凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速，缺点是误报率偏高。“漏报”是指将本是攻击的网络行为认定为正常，“误报”是指将本是正常的网络行为认定为攻击。

由此可见，入侵检测系统的核心性能要求是准确性和实时性，目前基于单学习机的解决方案在这两方面均有不足。为了改善入侵检测系统的准确性，本发明采用D-S数据融合方式集成多个基于粒子群算法优化的核心向量机设计入侵检测系统，该算法的最大优势在于针对某待测网络行为，通过D-S数据融合方式综合判断多个初级入侵检测模型的初步判断结果推出最终推论，从而得到高精度的分类模型，并且为了降低误报率和漏报率，设计了复合式入侵检测模型，即由多个改进核心向量机并行工作来同时完成误用入侵检测和异常入侵检测。为了改善入侵检测系统的实时性，本发明选择核心向量机作为入侵检测的核心算法，从而使得在尽量不降低精度的情况下提高入侵检测系统的速度。

发明内容

针对上述背景技术中提到的目前基于单分类器的入侵检技术、仅仅依靠误用技术或异常技术的入侵检测实施方案中普遍存在的入侵检测精度低、实时型差、漏报率和误报率偏高、泛化能力差等缺陷，本发明提出了一种基于改进核心向量机数据融合的复合式入侵检测方法。

本发明的技术方案是通过如下技术方案实现的：

一种基于改进核心向量机数据融合的复合式入侵检测方法，包含如下步骤：

步骤1：从目标网络一段连续时间的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x₁,x₂,…,x_n属性的监测数据和已知入侵检测结果的已知网络行为；

步骤2：将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；

步骤3：对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；

步骤4：通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；

步骤5：先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。