[发明专利]基于机器学习的针对网络主动监控系统的误报消除方法

说明书

本发明设计了一种基于机器学习的针对网络主动监控系统的误报消除方法，属于信息安全技术领域。具体为：步骤一、建立实验数据集。步骤二、对实验数据集进行预处理，然后利用模糊聚类算法进行处理，检测出非攻击数据。步骤三、对数据的最终分类结果进行输出。本发明提出的基于机器学习的针对网络主动监控系统的误报消除方法与已有技术相比较，具有以下优点：①利用聚类方法对数据进一步处理，能够降低整体误报率。②采用的数据集是经过分类检测处理之后的数据，去除了无关数据。

技术领域

本发明设计了一种基于机器学习的针对网络主动监控系统的误报消除方法，属于信息安全技术领域。

背景技术

为了保护网络系统的安全，实时鉴别并且阻止系统内外的攻击行为和用户的越权行为，研究者们提出了网络系统的主动监控技术。目前的主动监控系统由于是基于经验的数据处理，而新的漏洞和攻击手段不断涌现导致攻击类型的数据特征也不断变化，因此主动监控系统存在大量的误报，而误报往往会浪费大量的人力物力对相关攻击行为进行处理，因此提出优秀的误报消除算法以降低主动监控系统的误报率就显得尤为重要。

机器学习是通过计算机模拟人类的学习活动，通过从已有的经验中构建学习机，通过学习机进一步对未知的数据进行预测，并在这一过程中不断完善所构建的学习机。将机器学习技术引入主动监控技术提高了数据分析的精确程度，非监督学习在对历史数据进行归类整理上使用的较为广泛，根据历史的数据特征也容易鉴别系统识别出的数据的类型是否合理。

发明内容

本发明的目的是提出一种基于机器学习的针对网络主动监控系统的误报消除方法。本发明通过构建机器学习模型对网络主动监控系统的分类检测结果进行误报消除以提高系统的综合性能；通过非监督学习的思想寻找真正的攻击行为数据而筛选出被误报的正常行为数据，从而降低主动监控系统的误报率。

本发明的目的是通过以下技术方案实现的。

本发明提出的一种基于机器学习的针对网络主动监控系统的误报消除方法，具体操作步骤是：

步骤一、利用已有攻击数据，建立攻击数据集。所述攻击数据带有攻击类型标签。然后，周期性的收集主动监控系统检测出的攻击行为数据作为警报数据集，将警报数据集和攻击数据集整合为实验数据集，用符号n表示实验数据集的数据数量，用符号n₁表示攻击数据集的数据数量，用符号n₂表示警报数据集的数据数量；n>10000，n₁/n₂≥10。

步骤二、对实验数据集进行预处理，然后利用模糊聚类算法(Fuzzy ClusterMethod，FCM)进行处理，检测出非攻击数据。具体步骤为：

步骤2.1：将实验数据集中的一条数据表示为m维的特征向量，(用符号x表示)，m为数据的特征数量，m>30，x＝{x₁,x₂,x₃…x_m}。将实验数据集划分为C个类簇，其中，C为人为设定值，C∈(1,n/10)。为实验数据集中的数据设置隶属度的阈值，用符号δ表示，δ为人为设定值，δ≤0.5。

步骤2.2：用0到1之间的随机数初始化数据的隶属度，使其满足如公式(1)所示的约束条件。

其中，μ_ik表示第k条数据对第i个类簇的归属度，i∈[1,C]。

步骤2.3：根据各点的隶属度求解各个类簇的聚类中心，计算方法如公式(2)所示。

其中，P_i表示第i个类簇的聚类中心；m是控制算法柔性的参数，m为人为设定值，取值范围为(0,1)；x_k表示第k条数据对应的特征向量。