技術領域

本發明涉及一種網絡信息安全技術領域的檢測方法，具體講涉及一種基于Bagging算法的復合式入侵檢測方法。

背景技術

隨著網絡入侵和攻擊行為正朝著分布化、規模化、復雜化、間接化等趨勢發展，當前對安全產品技術提出更高的要求，急需一種高效的網絡安全告警技術來提升安全產品的性能。

入侵檢測是對入侵行為的檢測，入侵檢測系統通過收集網絡及計算機系統內所有關鍵節點的信息，檢查網絡或系統中是否存在違反安全策略行為及被攻擊跡象。入侵檢測的數據來源是各種網絡安全設備的日志，如防火墻、IDS、IPS等，這些設備會實時的記錄每個時間監測點目標網絡的活動情況以便分析目標網絡的運行情況。

從理論來源分析入侵檢測技術屬于模式識別中分類問題，將各種網絡攻擊抽象成一個已知類別，將網絡安全設備的歷史運行日志做為訓練樣本集使用人工智能算法通過訓練學習得到多分類模型，即入侵檢測系統。目前入侵檢測的解決方案，主要是利用神經網絡、支持向量機等單學習機方法，而這些單分類器方法均為不穩定分類算法，所謂不穩定分類算法就是指訓練樣本集發生一個微小的變化，分類器的分類結果就會產生巨大變化。雖然經多年研究，通過各種群智能優化算法已使單分類器的穩定性有所提高，但單學習機的方法誤差相對較大、運算速度偏慢、入侵檢測系統的泛化能力低。泛化能力是指，若某個模型只針對某類問題具有較好的效果，對于其他類別問題性能較弱，則其泛化能力有限；反之，某個模型對于多個類別問題均有較好性能，則其泛化能力較好。

當前主要有兩大類入侵檢測現有技術，它們分別是基于誤用技術和基于異常技術。基于誤用技術是指，假設所有可能出現的網絡攻擊類別(“DoS”、“信息收集類攻擊”、“信息欺騙類攻擊”、“利用類攻擊”)均已知，將待測記錄來匹配這些已知網絡攻擊類別。基于誤用技術的優勢在于誤報率較低、對于已知類別的網絡攻擊判斷迅速，而缺點是對于未知種類網絡攻擊的辯識率低下。基于異常技術是指，事先根據規則定義好“正常”網絡行為的特征，將待測記錄來匹配該特征，凡是不匹配的網絡行為均認定為網絡攻擊。基于異常技術的優勢在于漏報率較低、對于未知類別網絡攻擊的判斷迅速，缺點是誤報率偏高。“漏報”是指將本屬攻擊的網絡行為認定為正常，“誤報”是指將本屬正常的網絡行為認定為攻擊。由此可見，入侵檢測系統的核心性能要求是準確性和實時性，目前基于單學習機的解決方案在這兩方面均有不足。

發明內容

針對上述現有技術基于單分類器的入侵檢技術、僅僅依靠誤用技術或異常技術的入侵檢測實施方案中普遍存在的入侵檢測精度低、實時型差、漏報率和誤報率偏高、泛化能力差等缺陷，經長期研究本申請人提供了一種基于Bagging算法的復合式入侵檢測方法，Bagging算法的最大優勢在于通過對弱學習算法的反復迭代訓練從而得到高精度的分類模型，并且為了降低誤報率和漏報率，該方法設計了復合式入侵檢測模型，即先進行基于誤用的入侵檢測，再進行基于異常的入侵檢測；為了改善入侵檢測系統的實時性，本發明分別在特征提取階段和Bagging算法的弱學習算法選擇上使用核主成分分析和球向量機，從而使得在盡量不降低精度的情況下提高入侵檢測系統的速度。

本發明的目的是采用下述技術方案實現的：

一種基于Bagging算法的復合式入侵檢測方法，其改進之處在于，所述方法包括以下步驟：

A、建立初始歷史數據樣本集S；

B、將所述初始歷史數據樣本集S構造成Bagging算法中弱學習算法可讀的數據集S_sample，選定球向量機作為所述弱學習算法；

C、循環調用所述Bagging算法中的弱學習算法，完成所述數據集S_sample的訓練，得到強學習機H；

D、將當前待測的數據樣本輸入到作為復合式入侵檢測模型的所述強學習機H中，所述強學習機H利用各代弱學習機h_i做初步入侵檢測，并以投票的方式判定當前待測數據樣本的入侵檢測結果，得票數多的入侵檢測結果為強學習機H最終入侵檢測結果。

本發明提供的一種優選的技術方案是：所述步驟A包括以下步驟：

所述步驟A包括以下步驟：

A1、數據采集：分析歷史各個時間監測點的網絡安全設備日志，統計所述日志中所有屬性對應的數據；

A2、特征提取：對所述日志中所有屬性進行核主成分分析，得到做為復合式入侵檢測的特征屬性x₁，x₂，…，x_n；