技術領域

本發明屬于網絡安全領域，具體涉及一種入侵檢測系統，可用于信息安全方面的入侵檢測。

背景技術

隨著Internet的廣泛使用，對計算機網絡越來越多的非法攻擊已對信息系統的安全造成了威脅，以防火墻等被動管理為主的網絡安全系統對于應用層的后門，內部用戶的越權操作等導致的攻擊或竊取、破壞信息已經無能為力，且防火墻本身容易受到攻擊，對于內部網絡出現的安全問題經常束手無策。作為網絡安全防護工具“防火墻”的一種重要的補充措施，入侵檢測系統IDS顯示出日益增加的重要性。IDS能夠對抗來自內部網絡的攻擊，能阻止黑客的入侵并防止病毒的蔓延，是防火墻的安全后盾。利用審計記錄，IDS能夠識別出任何不希望有的活動，從而限制這些活動，保護系統的安全。1998年，MIT?Lincoln實驗室與DARPA合作開展了入侵檢測系統評估，該計劃的任務之一是提供包括主機日志和網絡流量在內的用于入侵檢測的數據集，KDD?CUP’99對DARPA提供的9周tcpdump數據進行了適當處理和特征提取，作為標準的入侵檢測數據集。

近年來，隨著機器學習的發展，新的入侵檢測技術也不斷出現，如基于神經網絡、貝葉斯網絡、支持向量機等的單機入侵檢測方法，但面對新環境和新形勢下的網絡安全問題，上述入侵檢測技術存在誤報率高、自適應性差、自動反應程度不高、智能化程度不高等問題，因此分布式算法成為提高IDS的檢測速度和檢測正確率的必需。2006年，王世軍等人將Boosting算法引入分類器網絡中，將分類器網絡與分類器集成并用，并擴展至分布式環境，提出了分布式網絡集成算法DNB，通過各節點分類器之間的通信和協作得到具有更強泛化能力的分類器系統。由于基于DNB的入侵檢測方法同現有的其他傳統的機器學習方法，當有標簽數據很少時，不能夠訓練出較好的分類器模型，且要求訓練數據和測試數據獨立同分布，因此存在如下缺點：

1、對不同攻擊類型的網絡行為檢測率存在不平衡現象，對某些攻擊類型的網絡行為檢測率很低；

2、如果要提高檢測率，需用戶重新搜集數據并進行學習，該任務費用昂貴且花費時間；

3、不能夠利用現有的其它可用資源來提高某些攻擊類型的網絡行為檢測率。

發明內容

本發明的目的是克服上述入侵檢測方法存在的缺點，將遷移學習引入DNB中，提出基于分布式遷移網絡學習的入侵檢測系統及其方法，以利用現有的其它數據來指導檢測率較低的網絡行為的學習，從而提高其檢測率。

為實現上述目的，本發明的檢測系統，包括：

網絡行為記錄預處理模塊，用于對搜集到的網絡行為記錄完成量化和歸一化預處理，并將預處理后的結果傳輸給異常檢測模塊；

異常檢測模塊，用于對輸入的記錄采用異常檢測學習機進行分類識別，確定該記錄是否屬于正常行為，若該記錄屬于正常行為則不作處理，結束檢測，否則，將該記錄傳至異常行為分析模塊；

異常行為分析模塊，用于對輸入的異常記錄采用異常行為分析學習機進行分類識別，輸出該記錄所屬的攻擊類型。

所述的網絡行為記錄預處理模塊包括：

已有記錄預處理子模塊，用于對已有的有標簽網絡行為記錄集完成量化和歸一化處理，并將量化和歸一化處理后的參數傳入新紀錄預處理子模塊；

新記錄預處理子模塊，利用已有記錄預處理子模塊傳入的參數對新的網絡行為記錄進行量化和歸一化處理。

所述的異常檢測模塊包括：

異常檢測學習子模塊，將預處理后的已有的有標簽網絡行為記錄集分為正常和異常兩類，從中分別隨機抽取部分樣本，采用分布式網絡集成學習算法進行學習，生成異常檢測學習機，并將該學習機傳輸給異常檢測測試子模塊；

異常檢測測試子模塊，采用異常檢測學習機對輸入的預處理后的新記錄進行分類識別，若輸出結果為正常，則不作處理，結束檢測，否則，將該記錄傳入異常行為分析模塊。

所述的異常行為分析模塊包括：

遷移樣本預選取子模塊，將已有的有標簽的網絡行為記錄設定源域樣本和目標域有標簽樣本，根據目標域待指導樣本對源域樣本完成預選取，將選出的源域遷移樣本輸入異常行為分析學習子模塊；

異常行為分析學習子模塊，將輸入的源域遷移樣本和目標域有標簽樣本一同作為訓練樣本，采用引入遷移學習的分布式網絡集成學習算法進行學習，生成異常行為分析學習機；

異常行為分析測試子模塊，對輸入的異常行為采用異常行為分析學習機進行分類識別，輸出其攻擊類型。

為實現上述目的，本發明的檢測方法，包括如下步驟：