[发明专利]一种网络入侵异常检测方法

说明书

技术领域

本发明涉及网络安全技术，具体涉及一种网络入侵异常检测方法。

背景技术

随着网络的无线化、移动化，以及工业4.0的逐步深入和推广，信息安全形势日趋严峻,关乎到国家安全的关键基础设施的安全防护更需要高度重视。网络入侵检测是指通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。现有的网络入侵异常检测技术包括统计分析、模式预测、神经网络、遗传算法、序列匹配与学习、免疫系统、基于规范、数据挖掘、完整性检查和贝叶斯技术等。针对当前入侵检测系统缺少对经常动态变化网络环境的自适应能力的缺点，部分现有技术提出了基于Adaboost在线参数识别方法的动态分布式网络入侵检测。可见，网络入侵异常检测与统计建模、机器学习、人工智能等前言技术具有较强的关联性。

网络入侵异常检测本质上是个分类问题，而分类器复杂程度、学习速度和分类精度等性能与其输入变量维数密切相关。维数约简可降低测量成本并提高建模精度，特征提取和特征选择技术是各有优缺点的两种常用方法。

选择适合的识别模型构建方法对快速适应频繁变化的动态网络环境，提高入侵异常检测模型的快速构建和在线批次更新极为重要。传统的误差反向逆传播神经网络(BPNN)被过拟合、训练时间长、学习参数难以优化选择等问题所困扰，部分现有技术提出了基于改进的遗传算法(GA)优化BPNN权值的入侵检测方法。基于结构风险最小化的支持向量机(SVM)建模方法具有较好的预测性能，部分现有技术提出混合杂草算法优化SVM的网络入侵检测，以及基于深度信念网络的入侵检测模型。但是，SVM模型需要花费较多时间求解最优解，其在线递推模型则是以次优解替代最优解，难以适用采用重新训练方式实现快速更新。

发明内容

有鉴于此，本发明提出一种网络入侵异常检测方法，以提高模型训练速度，便于网络入侵异常检测模型的快速更新以适应动态网络的频繁变化。

本发明的网络入侵异常检测方法包括：

S100、基于贡献率期望值对网络特征训练样本进行主元分析(PCA)，获取由相互独立的特征向量组成的第一特征集合；

S200、计算第一特征集合中各特征向量与网络特征训练样本对应的网络入侵类别之间的互信息，选取互信息大于选择阈值的特征向量作为第二特征集合的元素，并记录第二特征集合的元素在第一特征集合中的位置；

S300、以最小化训练误差和输出权值范数为目标，基于结构参数以随机向量泛函连接(RVFL)建模方法根据所述第二特征集合以及对应的网络入侵类别计算RVFL模型的输出权值；

S400、判断根据当前的贡献率期望值、选择阈值以及结构参数建立的检测模型的识别率是否最大，如果否，执行步骤S500，如果是，执行步骤S600；

S500、调整所述贡献率期望值、选择阈值以及结构参数，执行步骤S100；

S600、将当前PCA模型、第二特征集合的元素在第一特征集合中的位置以及RVFL模型的输出权值记录为模型参数；

S700、检测获取网络特征测试样本；

S800、基于训练样本构建的主元分析模型获取所述网络特征测试样本的第一特征集合；

S900、根据第二特征集合的元素在第一特征集合中的位置选择获取所述网络特征测试样本的第二特征集合；

S1000、根据RVFL模型的输出权值以及所述网络特征测试样本的第二特征集合计算获取网络入侵类别。

优选地，S100包括：

S101、将网络特征训练样本标准化为均值为0、方差为1的协方差矩阵；

S102、求取协方差矩阵的特征值和特征向量；

S103、选取累计贡献率大于所述贡献率期望值的特征向量集合作为所述第一特征集合。

优选地，S200包括：

S201、根据如下公式计算第一特征集合中各特征向量与网络特征训练样本对应的网络入侵类别之间的互信息：

其中，Z⁰_h为第一特征集合的特征向量，y⁰为对应的网络入侵类别，Muin(y⁰；z⁰_h)为所述互信息，和p(y⁰)是和y⁰的边际概率密度；是联合概率密度；是条件熵，是信息熵；

S202、计算互信息的最大值和最小值之间的差值；

S203、根据选择参数和所述差值计算选择阈值；