[发明专利]一种基于近邻样本万有引力的网络入侵检测方法

说明书

本发明公开了一种面向不平衡网络入侵检测的基于熵和万有引力的动态半径近邻分类器，包括通过利用信息熵和样本不平衡率，定义不同分布的样本具有不同的质量；通过利用一范数距离动态的计算每一个测试样本的近邻候选集半径，得到测试样本的近邻候选集；通过计算测试样本的候选集中正、负类样本对测试样本的万有引力，将测试样本分为万有引力较大的那一类。本发明弥补了现有的近邻分类器忽视不平衡问题本身的特性的缺陷，能很好地用于不平衡数据分类，且分类器算法复杂度较低。

技术领域

本发明涉及一种基于近邻样本万有引力的网络入侵检测方法，属于数据分类技术领域。

背景技术

随着基于计算机网络的服务和网络敏感信息的迅猛发展，网络安全问题越来越受到人们的重视。计算机网络安全在现代计算机系统中起着重要的战略作用，而网络入侵检测系统已成为网络安全基础设施的重要组成部分。网络入侵检测是指用于隔离针对计算机和网络的攻击的一组技术，即网络入侵检测系统用于检测网络中的敌对活动。除了检测攻击之外，这样的系统还必须防止其恶意影响，或协助人类在系统或网络管理员中扮演预防角色。随着互联网的进一步发展，尽管已有很多复杂且高效的网络入侵检测系统，但由于网络入侵攻击利用了系统和应用软件中始终包含的未知弱点或漏洞，网络安全是很难保证的。

目前现有的网络攻击检测方法可分为三类：1)基于规则的检测方法，该方法高度依赖现有规则数据库，无法及时更新以应对新的网络攻击手段，因此很容易造成较大的损失；2)基于网络流特征分布的检测方法，由于这种检测方式具有很强的随机性，使得一部分网络入侵手段能够巧妙避开；3)基于机器学习的入侵检测方法，该方法利用机器学习中的一些算法对网络数据进行预测，从而有效地及时应对一些网络攻击。常用机器学习算法如支持向量机，随机森林，神经网络等。基于机器学习网络入侵检测方法能够较有效应对未知的网络攻击，然而，从高度不平衡的网络入侵数据集中学习出高效的模型是一个不可忽视的内在问题，传统的机器学习方法难以高效地解决不平衡的网络入侵问题。

在不平衡数据中，更受人们关注的一类问题的样本数量往往少于其他类，且由于少数类的特殊性和较高的研究价值，使得少数类更值得重视。然而，传统模型分类超平面的设计通常是为了提高总体分类精度，因此少数类样本的重要性被忽视。研究发现，用传统的分类算法处理不平衡数据时，不平衡的数据常常导致决策边界的偏差。

本发明通过构造近邻学习算法来解决不平衡的网络入侵检测问题。KNN是一种简单而有效的经典近邻方法，然而，其准则函数和选择参数K的过程对于不平衡数据并不适用。首先，KNN的预测结果可能被测试样本周围的多数类所误导；其次，参数K是难以调节的，因为它具有很强的数据依赖性。通过引入万有引力的思想，近邻模型能够较好地用于不平衡数据分类。在基于万有引力的算法中，每个样本都被看作是数据空间中的一个对象，在任何两个数据对象之间都存在一种称为数据万有引力的力，这种模型通过比较不同类样本间的万有引力进行分类。本发明首次将万有引力的分类思想引入不平衡网络入侵检测的模型设计中，且所发明的模型能够高效地解决不平衡网络入侵数据。

发明内容

为了提高基于万有引力的近邻模型对不平衡的网络入侵数据的分类性能，本发明提出了一种基于近邻样本万有引力的网络入侵检测模型。所述模型利用一范数计算样本间的距离。同时，利用信息熵的特性，所述模型根据样本的分布即类的确定性赋予不同样本不同的质量权重。此外，为每一个测试样本动态地计算万有引力半径，使得分布在训练样本中不同位置的测试样本能够得到不同的万有引力半径，从而使分类结果更加合理准确。

本发明解决其技术问题所采用的技术方案：首先根据具体问题描述，将采集到的样本转化成可供该系统处理的向量模型，并且对离散特征进行one-hot编码；其次，根据输入训练样本计算不平衡率和每个训练样本的信息熵，即得到了每个训练样本的质量权重；在测试过程中，利用一范数计算测试数据到每个训练数据的距离，从而计算该测试样本的候选集半径和所对应的候选集。最后，根据候选集中每类样本对测试样本的万有引力的大小对测试样本进行分类，其中万有引力的计算公式为本发明提出的修正的数据万有引力公式。