本发明专利技术涉及网络安全领域,其公开了一种基于元样本稀疏表示的网络入侵检测方法,解决传统常用的入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的问题。该方法包括以下步骤:a.使用网络数据采集工具采集网络实例,构建训练样本集;b.从构建的网络训练样本集中提取元样本,形成元样本集并替代训练样本集;c.采用稀疏表示分类方法对待识别网络数据进行检测,以识别待测网络数据所属类别。本发明专利技术适用于网络入侵检测。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体涉及一种基于元样本稀疏表示的网络入侵检测方 法。
技术介绍
随着网络技术的飞速发展和网络规模的不断扩大,网络安全问题日趋严重。入侵 检测作为维护网络安全的一项重要技术,俨然已成为信息安全领域一个重要的研宄内容, 获得了众多专家学者的广泛关注。入侵检测技术主要是通过分析相关的网络数据来判断系 统中是否存在违背系统安全或安全策略的行为。 入侵检测本质上可以看成是一个分类问题,可以把网络中的所有行为分为两类即 正常行为和异常行为,这样入侵检测可以被划分到模式识别和分类的范畴。根据分析方法 和检测原理的不同,可以将入侵检测技术分为异常检测和误用检测两类,异常检测通常漏 报率较低,但往往存在误报率过高的问题。误用检测准确度高,但对于未知攻击的效果并不 明显。因此,两种检测方式都面临着训练时间、噪声数据和实时检测的挑战。 迄今为止,入侵检测技术的发展主要经历了三个阶段:行为规则匹配、可靠性检测 和机器学习检测。相对于其他方法,基于机器学习的入侵检测方法一般具有更好的自适应 性、学习性和抗毁性,能有效对抗网络中已知和未知的攻击方式。将机器学习方法用于入侵 检测的一般做法是首先收集网络中的入侵数据和正常数据,从中提取数据的特征,构建特 征数据库,然后进行模式匹配,检测出攻击行为。各种机器学习方法如神经网络、遗传算法、 隐马尔科夫模型等已被引入到入侵检测系统中,但是网络入侵检测的数据往往具有高维、 高噪、小样本的特点,传统的机器学习算法多是建立在样本数量趋于无穷大的假设上的,这 就导致基于这些机器学习算法的入侵检测系统不能得到非常理想的效果。 近年来,受到基于li范数最小化方法如基追踪、压缩感知等算法的启发,稀疏表 示作为一种新颖有效的数据处理方法应运而生,相关理论也受到了越来越多专家学者的关 注,并已在人脸识别、图像处理等领域得到了广泛应用。理想情况下,稀疏表示分类中待测 样本可以仅由同类的训练样本很好的表示。此时,稀疏表示稀疏向量中只有少量非零系数, li正则化最小二乘方法可以用来求解稀疏表示系数。与传统的监督学习方法不同,稀疏表 示不需要构建分类模型,不包括训练和测试阶段,这就避免了过学习的问题。稀疏表示方法 已被成功应用于人脸识别和肿瘤分类等领域。稀疏表示分类方法能够大大地提升高噪、高 维数据的识别与分类的性能。 然而,由于同一类型的网络数据中存在大量的冗余信息,直接使用原始的训练样 本有时并不能有效地表示新的待测样本,同时,训练样本过多会导致算法速度变慢。
技术实现思路
本专利技术所要解决的技术问题是:提出一种基于元样本稀疏表示的网络入侵检测方 法,解决传统常用的入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的 问题。 本专利技术解决上述技术问题所采用的方案是:一种基于元样本稀疏表示的网络入侵 检测方法,包括以下步骤: a.使用网络数据采集工具采集网络实例,构建训练样本集; b.从构建的网络训练样本集中提取元样本,形成元样本集并替代训练样本集; C.采用稀疏表示分类方法对待识别网络数据进行检测,以识别待测网络数据所属 类别。 进一步的,步骤b中,采用矩阵分解法从构建的网络训练样本集中提取元样本,形 成元样本集并替代训练样本集,具体方法是: bl.对训练样本集中的每一类训练样本进行归一化处理; b2.采用奇异值分解(SVD)方法对每类训练样本进行分解,得到每类训练样本的 元样本; b3.将得到的每类训练样本的元样本进行合并处理,得到元样本集,并替代训练样 本集。 具体的,步骤bl中,所述对训练样本集中的每一类训练样本进行归一化处理,具 体包括: 其中,Xi是训练样本特征向量x中第i个分量,x_为特征向量x中最大的分量, xmin是特征向量x中最小的分量,Xi'为归一化以后的向量。 具体的,步骤b2中,所述采用奇异值分解方法对每类训练样本进行分解的方法如 下: 八广W况 其中Ai表示第i类训练样本集,每一列表示一个网络数据,每一行表示一个数据 特征,11表示一个niiXpi的矩阵,其中每一列就是所需要的元样本;Hi是一个PiXnj^矩阵; Pi是第i类元样本的数目。 具体的,步骤b3中,所述将得到的每类训练样本的元样本进行合并处理的方法 是: 将所求每一类元样本I组合成一个字典集合: ff= 〇 进一步的,步骤c中,所述采用稀疏表示分类方法对待识别网络数据进行检测,识 别待测网络数据所属类别,具体包括: cl.求解稀疏表示系数;c2.使用每个类的元样本集与对应稀疏表示系数重构待测数据(这里所述的待测 数据即指待识别网络数据); c3.计算经过重构的待测数据与真实待测样本数据(即待识别网络数据)之间的 误差,误差最小者即为该待测样本所属类别。 具体的,步骤cl中,求解稀疏表示系数的方法是:将每个待测样本表示为字典集 的线性组合,从而计算得到每类字典对应的稀疏表示系数,将任意位置类别的待测样本表 示为所述字典集合的线性组合: y=ffx; 其中,x = TG Rn 稀疏表示系数x可以通过求解如下最优化问题得到: 其中,X是一个用来平衡重构误差和稀疏度的标量正则化参数。 具体的,步骤c2和c3中,采用1\来重构测试样本y,然后通过计算二者之间的近 似误差来确定y的类别,WXi与的误差计算公式如下: ri(y) = | |y-Wx! | 12,(i= 1,2. ? ?,k) 其中 Xi= T,重构误差ri(y)越小,则第i个类 在表示测试样本y的过程中所做的贡献就越大,根据重构误差值的大小来分类y,即如果 l(r) =argminrh] 则将测试样本归入到第l(y)类中去。 本专利技术的有益效果是:一方面,通过提取同类训练样本的元样本,剔除了原始训练 样本中的冗余信息,大大减少了计算量,提高了检测性能;另一方面,在元样本的基础上使 用稀疏表示分类方法,避免了传统机器学习方法训练模型的构建,同时,稀疏表示方法的表 示力强、对不平衡数据集的鲁棒性好、去噪性能良好、检测速度快,这些特点可有效地解决 入侵检测数据维数高和先验知识缺乏的问题,能够获得较高的检测率和较低的误报率。【附图说明】 图1为本专利技术网络入侵检测方法流程图; 图2为元样本模型; 图3为实施例中网络入侵检测方法流程图。【具体实施方式】 本专利技术旨在提出,解决传统常用的 入侵检测方法难以应对未知的网络攻击行为和异常检测误报率过高的问题。 如图1所示,本专利技术中的基于元样本稀疏表示的网络入侵检测方法包括以下步 骤: A.使用网络数据采集工具采集网络实例,构建训练样本集; B.从构建的网络训练样本集中提取元样本,形成元样本集并替代训练样本集; C.采用稀疏表示分类方法对待识别网络数据进行检测,以识别待测网络数据所属 类别。 下面结合实施例对本专利技术的方案作当前第1页1 2 本文档来自技高网...
【技术保护点】
一种基于元样本稀疏表示的网络入侵检测方法,其特征在于,包括以下步骤:a.使用网络数据采集工具采集网络实例,构建训练样本集;b.从构建的网络训练样本集中提取元样本,形成元样本集并替代训练样本集;c.采用稀疏表示分类方法对待识别网络数据进行检测,以识别待测网络数据所属类别。
【技术特征摘要】
【专利技术属性】
技术研发人员:邓密密,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。