[发明专利]一种基于混合采样的网络入侵检测方法及系统

说明书

本发明涉及网络入侵检测技术领域，特别涉及一种基于混合采样的网络入侵检测方法及系统，方法包括将网络入侵历史数据集中的符号属性转换为数字属性；将网络入侵历史数据集归一化至区间[0,1]；利用混合采样算法对网络入侵历史数据集进行采样，得到每个类别平衡的训练集；利用获得的训练集训练BP神经网络分类器；将实时的网络入侵数据输入训练好的BP神经网络分类器，BP神经网络分类器输出该实时的网络入侵数据的类别；本发明减少了多数类样本的舍弃，从而减少了对构建分类器有价值的信息的损失；相比基于SMOTE过采样的入侵检测技术，减少了生成少数类新样本时引入的噪音，因此该算法对不平衡数据有更好的分类性能。

技术领域

本发明涉及网络入侵检测技术领域，特别涉及一种基于混合采样的网络入侵检测方法及系统。

背景技术

近年来机器学习方法被越来越多地应用于网络入侵检测中，将网络入侵检测作为分类问题处理。在网络攻击中，有些攻击类型频繁发生，有些攻击类型发生频率低，因此，入侵检测是一个典型的数据不平衡的应用场景，机器学习在处理不平衡数据时，对多数类的入侵样本的分类效果较好，但是对少数类的入侵样本的分类效果却较差，然而，对少数类的入侵样本的检测也很重要。现有的网络入侵检测系统处理不平衡数据的方法包括基于过采样SMOTE算法的网络入侵检测技术和基于聚类算法欠采样的网络入侵检测技术。

燕昺昊、韩国栋等人提出的基于深度循环神经网络和改进SMOTE算法的组合式入侵检测模型使用改进的SMOTE算法生成少数类的新样本，增加少数类样本数量，在生成的平衡数据集上训练深度循环神经网络分类器，用于进行网络入侵检测。陈虹、肖越、肖成龙等人提出的融合最大相异系数密度的SMOTE算法的入侵检测方法，是基于最大相异系数密度的SMOTE算法与深度信念网络和梯度提升决策树的网络入侵检测方法，使用最大相异系数密度的SMOTE算法对少数类样本进行过采样，然后在预处理后的平衡数据集上训练梯度提升决策树分类器。沈学利、覃淑娟等人提出的基于SMOTE和深度信念网络的异常检测，使用SMOTE算法增加少数类的样本，然后在生成的平衡数据集上训练深度信念网络分类器。

然而，单纯的SMOTE过采样算法在处理极度不平衡的数据分类时，由于生成大量的少数类新样本而会引入过多的噪声，降低分类性能。

Miah M O、Khan S S、Shatabda S等人提出的《Improving Detection Accuracyfor Imbalanced Network Intrusion Classification using Cluster-based Under-sampling with Random Forests》，使用基于聚类的欠采样方法减少多数类的样本，然后用随机森林分类器进行网络入侵检测。Al-Yaseen W L、Othman Z A、Nazri M Z A等人提出的《Multi-level hybrid support vector machine and extreme learning machine basedon modified K-means for intrusion detection system》，是使用改进的K-means聚类算法生成一个抽象的更小的数据集，在一定程度上减轻了类别不平衡的程度，然后用SVM和ELM进行网络入侵检测。

然而，这些基于聚类算法欠采样的网络入侵检测技术对多数类进行聚类后，以簇为基础选取样本，并未考虑簇内的全部样本的信息，这会导致选取的多数类样本不具有足够的代表性。

发明内容

针对现有的基于机器学习的网络入侵检测技术，在处理极度不平衡的入侵数据时，要使得数据平衡，单纯的欠采样方法需要减少大量多数类样本而损失大量对构建分类器有重要价值的潜在信息，单纯的SMOTE算法需要生成大量少数类的新样本，从而带来严重的噪音问题，本发明提出一种基于混合采样的网络入侵检测方法及系统，所述方法如图1，具体包括以下步骤：

S1、将网络入侵历史数据集中的符号属性转换为数字属性；

S2、将网络入侵历史数据集归一化至区间[0,1]；