[发明专利]一种基于混合智能的入侵检测方法

说明书

本发明涉及一种网络入侵检测的技术领域，公开了一种基于混合智能的入侵检测方法，包括：获取训练数据，利用one‑hot编码形式对训练数据进行字符型特征数值化处理，得到数值化数据记录；从N条预处理完成的数值化数据记录中进行组合选择出M条数据记录并构建得到记录矩阵；利用神经网络模型从记录矩阵中提取入侵特征；利用三支决策法根据提取得到的入侵特征对数据进行训练，得到最优决策阈值；利用神经网络模型对网络中实时的数据记录进行特征提取，利用三支决策法判断数据记录的是否包含入侵行为。本发明实现了网络数据的入侵检测。

技术领域

本发明涉及网络入侵检测的技术领域，尤其涉及一种基于混合智能的入侵检测方法。

背景技术

随着技术的高速发展，互联网与人民的生活越来越密不可分，而网络在推动各行各业以及整个社会高速的改变和发展，带给人们带来便利生活的同时，也带来了很多其他的挑战。由于互联网的结构具有很高的开放性，给计算机病毒、木马等带来了更多的生存空间和传播途径。

面对网络安全的严峻现状，目前常用的应对措施有防火墙技术、公证机制等多种手段。但常用的应对措施在面对来自内部的网络攻击时，无法有效进行处理，同时也无法对已经产生的攻击进行定位。而入侵检测技术等属于主动防御，可以主动对攻击行为，尤其是从内部发起的攻击行为进行防范。

鉴于此，如何实现网络攻击的入侵检测，成为本领域技术人员亟待解决的问题。

发明内容

本发明提供一种基于混合智能的入侵检测方法，通过获取训练数据，采用one-hot编码形式将训练数据进行字符型特征数值化处理，从N条预处理好的数值化数据记录中进行组合选择出M条数据记录并构建得到记录矩阵，即通过随机化的方式减少数据记录之间的耦合，提高模型泛化能力；利用神经网络模型从记录矩阵中提取入侵特征，利用三支决策法根据提取得到的入侵特征对入侵数据进行训练，得到最优决策阈值；对网络中的数据记录进行上述处理步骤提取特征，利用三支决策法即可判断数据记录是否包含入侵行为，从而实现网络中入侵行为的智能检测。

为实现上述目的，本发明提供的一种基于混合智能的入侵检测方法，包括：

获取训练数据，利用one-hot编码形式对训练数据进行字符型特征数值化处理，得到数值化数据记录；

从N条预处理完成的数值化数据记录中进行组合选择出M条数据记录并构建得到记录矩阵；

利用神经网络模型从记录矩阵中提取入侵特征；

利用三支决策法根据提取得到的入侵特征对数据进行训练，得到最优决策阈值；

利用神经网络模型对网络中实时的数据记录进行特征提取，利用三支决策法判断数据记录的是否包含入侵行为。

可选地，所述获取训练数据，包括：

获取入侵检测算法的训练数据，训练数据为N条网络连接记录，每条网络连接记录中有九种网络流量特征以及入侵标识；

所述网络流量特征为以2秒为一个时间窗口计算的流量特征，包括count、serror_rate、same、dif、rerror_rate、srv、srv_serror、srv_rerror、srv_diff，其中count表示过去2秒内与当前连接具有相同目的地址的连接次数，serror_rate为与当前连接具有相同目的地址的中出现SYN错误的次数，rerror_rate为与当前连接具有相同目的地址的中出现REJ错误的次数，same为建立相同服务的次数，dif为建立不同服务的次数，srv表示过去2秒内出现和当前连接服务相同的连接次数，srv_serror表示出现与当前连接服务相同的连接中出现SYN错误的连接次数，srv_rerror表示出现与当前连接服务相同的连接中出现REJ错误的连接次数，srv_diff为连接不同主机的次数；