[发明专利]一种基于特征交叉与集成学习的三级网络入侵检测方法

说明书

本发明提供了一种基于特征交叉与集成学习的三级网络入侵检测方法，所述检测方法具体为对网络访问数据进行预处理，对其进行特征提取并获取特征重要性，选取重要特征并进行特征交叉处理，获取处理后的网络访问数据，对处理后的网络访问数据进行一级检测，判断是否为入侵行为，并筛选出不能识别的网络访问数据，在判断为入侵行为时，对对应的网络访问数据进行二级检测，获取网络访问数据的入侵类型，同时也筛选出不能识别的网络访问数据，提取所有不能识别的网络访问数据进行三级检测，通过人工进行入侵行为判定和入侵类型判定。本发明采用多级检测，保证了检测的全面性，能够有效提高网络入侵的实时性和准确性，达到实时监控网络中异常行为的目的。

技术领域

本发明涉及网络安全技术领域，尤其是指一种基于特征交叉与集成学习的三级网络入侵检测方法。

背景技术

随着互联网尤其是移动互联网的普及，网络攻击行为显著增加，网络安全问题日益严重。如何快速有效地检测出网络攻击，保护网络安全成为学术界和工业界关注的热点。虽然传统的入侵检测技术，如模式分析、协议分析、状态监测等，在一定程度上可以解决部分网络安全问题。但由于网络攻击类型的多样性，攻击手段的隐蔽性，现有的方法存在检测不全面、检测精确度低等问题。现有的方法中也有运用数据挖掘方法至网络入侵中来，但是现有技术中对于网络攻击检测常仅利用单一模型同时完成异常行为判定和异常类型确认，但是这种方法尝尝存在数据集的高度不平衡等问题，因此检测精度较低，不能保证能够获取所有的网络攻击行为，因此网络安全难以得到保证。

发明内容

本发明的目的是克服现有技术中的缺点，提供一种基于特征交叉与集成学习的三级网络入侵检测方法。

本发明的目的是通过下述技术方案予以实现：

一种基于特征交叉与集成学习的三级网络入侵检测方法，包括以下步骤：

步骤一，采集网络访问数据，并对网络访问数据进行预处理，对预处理后的网络访问数据进行特征提取，并获取特征重要性，根据特征重要性选取网络访问数据的重要特征，并对选取的重要特征进行特征交叉处理，获取处理后的网络访问数据；

步骤二，将处理后的网络访问数据输入网络行为判断模型进行一级检测，判断网络访问数据对应网络访问行为是正常访问行为还是入侵行为，并筛选出网络行为判断模型不能识别的网络访问数据，若网络行为判断模型输出结果是入侵行为时，则执行步骤三，若网络行为判断模型输出结果是正常访问行为时，则进行正常网络访问；

步骤三，将判断为入侵行为对应的网络访问数据输入入侵行为分类模型进行二级检测，入侵行为分类模型输出网络访问数据的入侵类型，同时筛选出入侵行为分类模型不能识别的网络访问数据；

步骤四，提取一级检测和二级检测中筛选出的不能识别的网络访问数据进行三级检测，通过人工进行网络访问数据的入侵行为判定和入侵类型判定，完成网络访问数据的网络入侵检测。

进一步的，步骤四中通过人工进行网络访问数据的入侵行为判定和入侵类型判定后，还将人工判定后的网络访问数据对应的入侵行为判定结果和入侵类型判定结果加入网络行为判断模型和入侵行为分类模型的训练数据集中，并根据更新后的训练数据集对网络行为判断模型和入侵行为分类模型进行重新训练。

进一步的，步骤一中采用FFM算法对选取的重要特征进行特征交叉处理，所述FFM算法进行特征交叉的表达式为：

其中：y(X)为特征交叉处理后的重要特征，n为重要特征数量，x_i是第i个重要特征值，w_i为x_i对应的权重，表示特征i与特征j做特征交叉时对应的隐向量，f_j是j所属的特征域f内的第j个特征，f_i表示i所属的特征域内的第i个特征。

进一步的，步骤二中所述网络行为判断模型为支持向量机算法模型，所述网络行为判断模型的训练目标表达式为：