[发明专利]一种网络入侵检测方法及装置

说明书

本申请实施例提供一种网络入侵检测方法及装置，包括：获取网络流量，从所述网络流量中提取会话统计特征和数据包特征，将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果，将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果，基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。通过选取最优的多个模型及相关参数，并融合各模型的预测结果，能够提高预测结果的准确性，避免单模型对预测结果的偏差。

技术领域

本申请实施例涉及信息安全技术领域，尤其涉及一种网络入侵检测方法及装置。

背景技术

随着网络技术的发展，网络攻击的发生率也有所上升，入侵检测通过主动监控网络流量发现可疑活动并产生报警，能够有效提高网络安全性。基于异常的入侵检测方法，任何异常都被标记为潜在威胁并生成报警，能够有效检测出已知或未知的攻击，该方法基于机器学习算法实现。由于使用单一模型学习到的行为模式通常存在较大的偏离，导致检测结果存在误报或漏报，如何融合多个模型进行学习和预测，从而提高检测准确性，是本领域技术人员所需解决的问题。

发明内容

有鉴于此，本申请实施例的目的在于提出一种网络入侵检测方法及装置，能够融合多个模型进行网络入侵检测，提高检测准确性。

基于上述目的，本申请实施例提供了网络入侵检测方法，包括：

获取网络流量；

从所述网络流量中提取会话统计特征和数据包特征；

将所述会话统计特征输入预先构建的至少一个第一类检测模型中，各第一类检测模型输出相应的预测结果；

将所述数据包特征输入预先构建的至少一个第二类检测模型中，各第二类检测模型输出相应的预测结果；

基于各第一类检测模型的预测结果及相应的权重、各第二类检测模型的预测结果及相应的权重，通过加权投票得到最终的预测结果。

可选的，从所述网络流量中提取会话统计特征，包括：

按照五元组将所述网络流量划分为多组会话；

从每组会话中提取会话统计特征，得到各组会话对应的会话统计特征；

按照预设的降维方法对各组会话对应的会话统计特征进行降维处理，得到降维后的会话统计特征。

可选的，所述从每组会话中提取会话统计特征，包括：

利用预设的特征提取工具从该组会话中提取多维会话特征；

从提取的多维会话特征中删除源地址、目的地址和方差为0的特征，得到该组会话的会话统计特征。

可选的，从所述网络流量中提取数据包特征，包括：

对所述网络流量进行解析，得到各数据包的时间戳；

根据各数据包的时间戳，按照时间先后顺序对所有数据包进行排序；

基于排序后的所有数据包，从前向后选取预定数量的数据包；

统计选取出的各数据包的字节数；

将选取出的各数据包的字节数和包方向作为所述数据包特征；其中，所述包方向包括从源地址到目的地址的第一方向，和从目的地址到源地址的第二方向。

可选的，所述获取网络流量之前，包括：

利用预设的参数调优方法选取待选模型的最优参数；

利用分层交叉验证方法迭代训练并验证配置所述最优参数的待选模型，得到所述待选模型的预测误差；