一种基于快速梯度提升树模型的网络实时入侵检测方法技术

本发明专利技术公开了一种基于快速梯度提升树模型的网络实时入侵检测方法，该方法包括下述步骤：使用训练数据训练快速梯度提升树分类模型；在连续的时间窗口抓取网络流量数据，每个时间窗口中抓取的原始流量数据作为一个数据块；对数据块进行统计分析，生成多个特征向量；采用快速梯度提升树分类模型对特征向量进行分类，区分正常行为和网络入侵行为；若判定为网络入侵行为，输出网络入侵告警信号。本发明专利技术能够克服分类性能的类别偏向性问题和降低误报率，同时模型建立阶段和决策阶段的匹配过程满足实时性的要求。

【技术实现步骤摘要】
一种基于快速梯度提升树模型的网络实时入侵检测方法
本专利技术涉及网络安全领域，具体涉及一种基于快速梯度提升树模型的网络实时入侵检测方法。
技术介绍
常见的网络安全防护技术有防火墙，数据加密，认证和数字签名等，这些静态的被动防守式网络安全工具服务方式单一，难以应对当今复杂多变的网络入侵。网络流量是入侵检测的一个重要数据来源，常见的网络入侵检测方法可以根据原理分为基于误用的网络入侵检测和基于异常的网络入侵检测，但现实网络环境中得到的训练数据为不平衡数据，因此基于误用的入侵检测方法通常在分类性能上存在类别偏向性，即对于一些数据量少的入侵行为检测性能较差，此外，基于误用的入侵检测方法常常比较复杂，因而难以满足实时性的要求；另一方面，界定正常行为和入侵行为本就是具有挑战性的任务，况且当前环境中正常用户的行为并非静态不变的，基于异常的网络入侵检测可能会把正常行为误判为入侵行为，因而常具有较高的误报率。
技术实现思路
为了克服现有技术存在的缺陷与不足，本专利技术提供一种基于快速梯度提升树模型的网络实时入侵检测方法，能够克服分类性能本文档来自技高网...

【技术保护点】
1.一种基于快速梯度提升树模型的网络实时入侵检测方法，其特征在于，包括下述步骤：/n使用训练数据训练快速梯度提升树分类模型；/n在连续的时间窗口抓取网络流量数据，每个时间窗口中抓取的原始流量数据作为一个数据块；/n对所述数据块进行统计分析，生成多个特征向量；/n采用所述快速梯度提升树分类模型对所述特征向量进行分类，区分正常行为和网络入侵行为；/n若判定为网络入侵行为，输出网络入侵告警信号。/n

【技术特征摘要】
1.一种基于快速梯度提升树模型的网络实时入侵检测方法，其特征在于，包括下述步骤：
使用训练数据训练快速梯度提升树分类模型；
在连续的时间窗口抓取网络流量数据，每个时间窗口中抓取的原始流量数据作为一个数据块；
对所述数据块进行统计分析，生成多个特征向量；
采用所述快速梯度提升树分类模型对所述特征向量进行分类，区分正常行为和网络入侵行为；
若判定为网络入侵行为，输出网络入侵告警信号。


2.根据权利要求1所述的基于快速梯度提升树模型的网络实时入侵检测方法，其特征在于，所述训练数据的具体构建步骤包括：
对原始数据采用GOSS进行采样，采用EFB对互斥的稀疏特征绑定后得到训练数据，表示为特征向量集：



其中，N表示特征向量的个数，xi表示特征属性，yi表示标签。


3.根据权利要求1所述的基于快速梯度提升树模型的网络实时入侵检测方法，其特征在于，所述快速梯度提升树分类模型的具体训练步骤包括：
所述快速梯度提升树分类模型由M课决策树构成，初始化第一棵决策树为常数，表示为：



其中，f0代表初始化的决策树，代表初始化的预测值；
训练下一棵决策树，使用按叶子的生长策略，通过最小化损失函数得到第t次迭代中得到的决策树模型，表示为：



其中，ft(xi)表示在第t次迭代中得到的决策树模型，L(t)表示损失函数，yi表示...

【专利技术属性】
技术研发人员：金冬子，陆以勤，覃健诚，王君君，毛中书，李佳，
申请(专利权)人：华南理工大学，
类型：发明
国别省市：广东;44