一种基于改进核心向量机数据融合的复合式入侵检测方法技术

本发明专利技术公开了一种网络安全技术领域中基于改进核心向量机数据融合的复合式入侵检测方法。本发明专利技术从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据；将特征数据分别构造为黑、白名单数据样本子集；对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型；通过D-S证据理论实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；得到最终检测结果。本发明专利技术在提高入侵检测系统实时性，降低入侵检测系统漏报率和误报率方面，以及提高入侵检测系统泛化能力方面，均有较好的性能。

【技术实现步骤摘要】

本专利技术属于网络信息安全
，尤其涉及。
技术介绍
随着网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展，当前对安全产品技术提出更高的要求，急需一种高效的网络安全告警技术来提升安全产品的性能。入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。从理论来源分析入侵检测技术属于模式识别中分类问题，将各种网络攻击抽象成一个已知类别，将网络安全设备的历史运行日志做为训练样本集使用人工智能算法通过训练学习得到多分类模型，即入侵检测系统。目前入侵检测的解决方案，主要是利用神经网络、支持向量机等单学习机方法，而这些单分类器方法均为不稳定分类算法，所谓不稳定分类算法就是指训练样本集发生一个微小的变化，分类器的分类结果就会产生巨大变化。虽然经多年研究，通过各种群智能优化算法已使单分类器的稳定性有所提高，但单学习机的方法误差相对较大、运算速度偏慢、入侵检测系统的泛化能力低。泛化能力是指，若某个模型只针对某类问题具有较好的效果，对于其他类别问题性能较弱，则其泛化能力有限；反之，某个模型对于多个类别问题均有较好性能，则其泛化能力较好。当前主要有两大类入侵检测技术，分别是基于误用技术、基于异常技术。基于误用技术是指，假设所有可能出现的网络攻击类别(“DoS”、“信息收集类攻击”、“信息欺骗类攻击”、“利用类攻击”)均已知，将待测记录来匹配这些已知网络攻击类别。基于误用技术的优势在于误报率较低、对于已知类别的网络攻击判断迅速，缺点是对于未知种类网络攻击的辩识率低下。基于异常技术是指，事先根据规则定义好“正常”网络行为的特征，将待测记录来匹配该特征，凡是不匹配的网络行为均认定为网络攻击。基于异常技术的优势在于漏报率较低、对于未知类别网络攻击的判断迅速，缺点是误报率偏高。“漏报”是指将本是攻击的网络行为认定为正常，“误报”是指将本是正常的网络行为认定为攻击。由此可见，入侵检测系统的核心性能要求是准确性和实时性，目前基于单学习机的解决方案在这两方面均有不足。为了改善入侵检测系统的准确性，本专利技术采用D-S数据融合方式集成多个基于粒子群算法优化的核心向量机设计入侵检测系统，该算法的最大优势在于针对某待测网络行为，通过D-S数据融合方式综合判断多个初级入侵检测模型的初步判断结果推出最终推论，从而得到高精度的分类模型，并且为了降低误报率和漏报率，设计了复合式入侵检测模型，即由多个改进核心向量机并行工作来同时完成误用入侵检测和异常入侵检测。为了改善入侵检测系统的实时性，本专利技术选择核心向量机作为入侵检测的核心算法，从而使得在尽量不降低精度的情况下提高入侵检测系统的速度。
技术实现思路
针对上述
技术介绍
中提到的目前基于单分类器的入侵检技术、仅仅依靠误用技术或异常技术的入侵检测实施方案中普遍存在的入侵检测精度低、实时型差、漏报率和误报率偏高、泛化能力差等缺陷，本专利技术提出了。本专利技术的技术方案是通过如下技术方案实现的:，包含如下步骤:步骤1:从目标网络一段连续时间的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据:时间监测点、Xl，X2,…，Xn属性的监测数据和已知入侵检·测结果的已知网络行为；步骤2:将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；步骤3:对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；步骤4:通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；步骤5:先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。进一步地，所述步骤I中特征向量集合的列数为n+2，行数为历史记录的条数。进一步地，所述步骤2包括如下步骤:步骤2.1:设定各样本子集中每条样本均包括n+2个特征属性，其中第一条特征属性为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的Xl，X2,…，Xn属性的监测数据，第n+2条特征属性对应目标网络当时的已知网络行为；步骤2.2:将步骤2.1中各属性Xl，X2，…，Xn的监测数据按照各自的取值范围全部归一化到[O, I]区间;步骤2.3:将误用入侵检测和异常入侵检测中所有的已知网络行为分别设定为数值型类别标号；步骤2.4:以步骤2.2归一化以后的各类特征X1, X2,…，为改进核心向量机的输入量，以步骤2.3误用入侵检测的类别标号作为改进核心向量机的输出量，构造成黑名单数据样本子集；步骤2.5:以步骤2.2归一化以后的各类特征X1, X2,…，Xn作为改进核心向量机的输入量，以步骤2.3异常入侵检测的类别标号作为改进核心向量机的输出量，构造成白名单数据样本子集。进一步地，所述已知网络行为包括“正常”、“拒绝服务类攻击”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”和“未知种类网络攻击”，将上述六种已知网络行为的类别标号设定为_2、-1、0、+1、+2、+3。进一步地，所述步骤3包括如下步骤:步骤3.1:设定改进核心向量机的训练参数，所述训练参数包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模和粒子群算法的适应度函数；步骤3.2:分别将黑、白名单数据样本子集输入到改进核心向量机中进行训练以得到初级误用入侵检测模型和初级异常入侵检测模型；步骤3.3:在得到初级误用入侵检测模型和和初级异常入侵检测模型的同时，通过粒子群算法动态搜索出改进核心向量机的其他训练参数，所述其他训练参数包括惩罚因子C、核函数的核宽参数σ和损失函数参数ε ；步骤3.7:将所述初级误用入侵检测模型和初级异常入侵检测模型的类别标号与所述网络安全设备日志历史记录中的已知网络行为的类别标号进行比对，以得到初级误用入侵检测模型和初级异常入侵检测模型的精度；进一步地，所述步骤3.2和步骤3.5中，分别采用最小包含球算法进行训练。进一步地，所述步骤4包括如下步骤:步骤4.1:构造基于D-S证据理论识别框架的复合入侵检测模型，所述识别框架为初级误用入侵检测模型和初级异常入侵检测模型的精度并集；步骤4.2:将每个初级误用入侵检测模型和初级异常入侵检测模型的输出作为一个独立的证据体；步骤4.3:确定各证据体的基本概率分配函数；步骤4.4:利用基本概率分配函数计算各证据体对识别框架中所有已知网络行为的信度函数和似真函数；步骤4.5:利用D-S证据融合法则计算上述证据体联合作用下的信度函数Bel和似真函数P ;步骤4.6:通过信度函数Bel和似真函数P，得到证据体对识别框架中所有已知网络行为的联合置信区间[Bel，pi]。进一步地,所述步骤5包括如下步骤:步骤5.1:通过初级误用入侵检测模型和初级异常入侵检测模型辨本文档来自技高网...

【技术保护点】
一种基于改进核心向量机数据融合的复合式入侵检测方法，其特征在于，该方法包含如下步骤：步骤1：从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x1,x2,…,xn属性的监测数据和已知入侵检测结果的已知网络行为；步骤2：将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；步骤3：对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；步骤4：通过D?S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；步骤5：先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。

【技术特征摘要】
1.一种基于改进核心向量机数据融合的复合式入侵检测方法，其特征在于，该方法包含如下步骤: 步骤1:从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据:时间监测点、Xl，X2,…，Xn属性的监测数据和已知入侵检测结果的已知网络行为； 步骤2:将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集； 步骤3:对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度； 步骤4:通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间； 步骤5:先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。2.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤I中特征向量集合的列数为n+2,行数为历史记录的条数。3.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤2包括如下步 骤: 步骤2.1:设定各样本子集中每条样本均包括n+2个特征属性，其中第一条特征属性为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的Xl，X2,…，Xn属性的监测数据，第n+2条特征属性对应目标网络当时的已知网络行为； 步骤2.2:将步骤2.1中各属性Xl，X2,…，Xn的监测数据按照各自的取值范围全部归一化到[O, I]区间； 步骤2.3:将误用入侵检测和异常入侵检测中所有的已知网络行为分别设定为数值型类别标号； 步骤2.4:以步骤2.2归一化以后的各类特征X1, X2,…，Xn作为改进核心向量机的输入量，以步骤2.3误用入侵检测的类别标号作为改进核心向量机的输出量，构造成黑名单数据样本子集； 步骤2.5:以步骤2.2归一化以后的各类特征X1, X2,…，Xn作为改进核心向量机的输入量，以步骤2.3异常入侵检测的类别标号作为改进核心向量机的输出量，构造成白名单数据样本子集。4.根据权利要求3的复合式入侵检测方法，其特征在于，所述已知网络行为包括“正常”、“拒绝服务类攻击”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”和“未知种类网络攻击”，将上述六种已知网络行为的类别标号设定为_2、-1、0、+1、+2、+3。5.根据...

【专利技术属性】
技术研发人员：王宇飞，郑晓崑，徐志博，梁潇，王志皓，白云，
申请(专利权)人：中国电力科学研究院，国家电网公司，
类型：发明
国别省市：