[发明专利]基于可持续性集成学习的入侵检测方法及入侵检测系统

说明书

本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。

技术领域

本发明属于网络入侵检测技术领域，尤其涉及一种基于可持续性集成学习的入侵检测方法及入侵检测系统。

背景技术

随着基于网络的计算服务和应用的迅速发展，互联网受到越来越多的安全威胁，入侵检测系统(Intrusion Detection System，IDS)作为网络安全深层防卫系统的重要组成部分显得尤为重要。入侵检测系统通过检测和分析网络流量或主机行为，发现和识别系统中的入侵行为。为了检测大规模数据流量下的异常行为，基于机器学习的入侵检测系统成为重点，通过机器学习技术在大量的数据中提取特征，并针对已标记的数据集建立分类模型，实现对网络流量或者主机行为的分类，检测系统中的入侵行为，不仅可以检测已知攻击，还可以检测新的或未知的攻击，但是存在误报率和漏报率较高导致检测准确率低或拒绝服务的问题。为了降低基于机器学习的异常检测系统中的误报率和漏报率，经常利用多个机器学习模型融合的方式建立检测模型，通过对多个机器学习模型结果的投票或者加权投票，得出最终决策结果，从而提高系统整体的检测准确率；仍然存在以下问题：1)不考虑个体学习器对攻击类型的敏感性导致检测模型适应性较差，在复杂的网络环境中攻击种类多种多样并随时间不断地变化，检测算法对攻击类型具有敏感性，即不同算法对不同攻击类型的检测精度不同；通过集成机器学习的一种或几种算法决策结果的投票或加权投票得出最终的结果，由于不考虑检测模型对攻击类型的敏感性导致检测模型获取的权重固定，适应性较弱，易造成检测模型的准确率较低。2)在模型更新过程中缺乏稳定性和可持续性，动态变化的网络环境下需要检测模型的不断更新来保证模型的准确性，并不适用集成学习的环境，没有考虑检测模型更新过程中知识的关联，仅提出随时间推移根据新数据完全重新训练新检测模型，不考虑历史模型和新模型间知识的积累与传递，更新模型缺乏稳定性和持续性。基于机器学习的方案已经得到了许多研究者的广泛关注。现有技术一通过信息增益和关联规则对训练数据集进行特征选择预处理，选择出25个重要特征并使用人工神经网络(Artificial Neural Network,ANN)进行训练，建立基于ANN的分类器用于入侵检测。现有技术二利用k-近邻(k-Nearest Neighbor,kNN)分类器进行遗传编程的方法，建立了一种高效的入侵检测模型。最优特征选择任务是由遗传编程来完成的，而执行分类过程的数据挖掘分类器是kNN。现有技术三基于支持向量机(Support Vector Machine,SVM)的入侵检测架构，通过实现对数边际密度比变换，将数据转换成高质量的原始特征，提高了SVM的检测能力。现有技术四最小化决策树(Decision Tree,DT)的检测模型，基于粒子群优化(Particle Swarm Optimization,PSO)算法对生成的决策树进行修剪，以减小分类器的复杂性，提高其检测精度。然而，单一算法的检测模型使泛化能力较弱，容易导致较高的误报率和漏报率，并且由于模型本身简单，受训练数据影响较大，稳定性较差，不适用于攻击手段复杂的网络环境。考虑单一算法模型的局限性，将多个弱分类器结合起来构建强分类器提高检测精度的集成学习受到越来越多研究者的关注，现有技术四基于遗传搜索和排名搜索算法作为特征选择工具选取了12个关键特征，并集成贝叶斯网络，朴素贝叶斯(NaiveBayesian,NB)和J48决策树三种基分类器建立集成学习模型，并通过多数投票法(MajorityVoting,MV)将基分类器的分类结果进行集成来确定最终分类结果。现有技术五则使用PSO方法进行属性选择并且基于加权多数投票(Weighted Majority Voting,WMV)的决策方法集成C4.5树，随机森林和CART树，在一定程度提高了模型的检测精度。现有技术六提出了一种新的综合构造方法，利用PSO算法产生的权重来创建分类器的集成被证明对入侵检测具有较好的准确性。LUS采样方法被用作元优化器，以便为PSO找到更好的行为参数，并集成六个SVM模型和六个kNN模型，结果较传统WMV方法具有更高的准确率。现有技术七一种分类器的组合概率框架，研究了集成学习四种组合方案：多数投票，加权多数投票，召回组合和朴素贝叶斯组合方式，基于类条件独立性和个体精确度假设给出了模型组合方案的优劣性，并且通过诱导标签噪声说明了组合方式的稳定性和可塑性存在平衡，表示没有明确的最佳组合方案。现有基于集成学习的方案大多采用投票法或加权投票法将多个个体学习器的检测结果进行融合并产生最终的决策结果，此类方案均没有考虑个体学习器的差异性和对攻击类型的敏感性，分类器获取的权重固定，导致模型融合时缺乏适应性，从而降低检测精度。