技術(shù)領(lǐng)域

本發(fā)明涉及一種入侵檢測(cè)技術(shù)，特別涉及一種基于維納過(guò)程的異常入侵檢測(cè)集成學(xué)習(xí)方法及裝置。

背景技術(shù)

入侵檢測(cè)通過(guò)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，對(duì)網(wǎng)絡(luò)流量和系統(tǒng)審計(jì)記錄分析等,從中提取系統(tǒng)的各種行為模式及行為特征，進(jìn)而檢測(cè)出系統(tǒng)中存在的某些入侵行，主要分成兩大類型：異常入侵檢測(cè)和誤用入侵檢測(cè)。異常入侵檢測(cè)是目前入侵檢測(cè)系統(tǒng)的主要研究方向，能夠根據(jù)異常行為和使用計(jì)算機(jī)資源情況檢測(cè)出來(lái)的入侵，異常入侵檢測(cè)試圖用定量方式描述可接受的行為特征，以區(qū)分非正常的潛在的入侵性行為。異常入侵檢測(cè)首先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如網(wǎng)絡(luò)數(shù)據(jù)流、CPU利用率、內(nèi)存利用率、文件校驗(yàn)和、系統(tǒng)日志等，然后將系統(tǒng)運(yùn)行時(shí)的各種特征與所定義的“正常”情況特征比較，從而識(shí)別出網(wǎng)絡(luò)內(nèi)是否存在攻擊及何種攻擊。

近年來(lái)，許多學(xué)者從各種角度對(duì)入侵檢測(cè)技術(shù)進(jìn)行了研究，自90年代起，人工智能逐漸被引入到入侵檢測(cè)研究中，一些新的入侵檢測(cè)的體系結(jié)構(gòu)應(yīng)運(yùn)而生。入侵檢測(cè)的核心是異常識(shí)別，本質(zhì)上屬于分類問(wèn)題，但采用傳統(tǒng)的分類算法得到的性能不佳：一方面，單一的分類算法往往存在一定的局限性，如神經(jīng)網(wǎng)絡(luò)算法的泛化能力差、收斂速度慢等；另一反面，只有極少數(shù)的用戶行為是惡意非法的入侵行為，入侵檢測(cè)行為可以看做不平衡數(shù)據(jù)集分類問(wèn)題，傳統(tǒng)的分類算法假設(shè)數(shù)據(jù)分布是均衡的，并且主要以數(shù)據(jù)整體正確率作為其性能的評(píng)價(jià)標(biāo)準(zhǔn)，有時(shí)即使把少數(shù)類樣例全部錯(cuò)分仍能保證較高的整體準(zhǔn)確率。研究表明，將集成學(xué)習(xí)和過(guò)采樣技術(shù)相結(jié)合是解決上述問(wèn)題的一種可行辦法，但是目前的存在的相關(guān)研究仍然存在一定問(wèn)題。

集成學(xué)習(xí)技術(shù)采用若干個(gè)預(yù)測(cè)精度略好于隨機(jī)猜測(cè)的弱學(xué)習(xí)器，對(duì)同一問(wèn)題進(jìn)行學(xué)習(xí)，學(xué)習(xí)的輸出結(jié)果由參與集成的所有弱學(xué)習(xí)器共同表決確定，得到的集成學(xué)習(xí)器的預(yù)測(cè)精度優(yōu)于單個(gè)弱學(xué)習(xí)器。集成學(xué)習(xí)中的弱學(xué)習(xí)器可以涵蓋，如決策樹(shù)、支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)等主流的機(jī)器學(xué)習(xí)算法。其中典型的是AdaBoost（Adaptive?Boost）集成算法，是基于boosting算法改進(jìn)的一種重要的集成學(xué)習(xí)技術(shù)。但是AdaBoost集成算法的訓(xùn)練數(shù)據(jù)集權(quán)重更新規(guī)則沒(méi)有考慮數(shù)據(jù)集的分布，對(duì)于誤分類或者正確分類的樣本，權(quán)重增大或減小的幅度是相同的。但不均衡數(shù)據(jù)集的少數(shù)類的樣本比較少，即使這些少數(shù)樣本權(quán)重增大，被抽樣的樣本數(shù)量相對(duì)于多數(shù)類樣本還是較少，抽取的新的訓(xùn)練數(shù)據(jù)集仍然是不均衡的。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種集成維納過(guò)程與Adaboost集成學(xué)習(xí)方法、解決不平衡數(shù)據(jù)集的分類問(wèn)題、得到分類正確率較高的無(wú)偏分類器的基于維納過(guò)程的異常入侵檢測(cè)集成學(xué)習(xí)方法及裝置。

本發(fā)明解決上述技術(shù)問(wèn)題的技術(shù)方案如下：一種基于維納過(guò)程的異常入侵檢測(cè)集成學(xué)習(xí)方法，包括以下步驟：

步驟1：選擇包含多個(gè)網(wǎng)絡(luò)流量樣本的網(wǎng)絡(luò)流量數(shù)據(jù)集，所述網(wǎng)絡(luò)流量樣本分為入侵網(wǎng)絡(luò)流量樣本和正常網(wǎng)絡(luò)流量樣本；

步驟2：將每個(gè)網(wǎng)絡(luò)流量樣本及其樣本概率分布輸入到未初始化的神經(jīng)網(wǎng)絡(luò)分類器或者經(jīng)過(guò)上次訓(xùn)練得到的神經(jīng)網(wǎng)絡(luò)弱分類器中，得到新的神經(jīng)網(wǎng)絡(luò)弱分類器，判斷神經(jīng)網(wǎng)絡(luò)弱分類器對(duì)每個(gè)網(wǎng)絡(luò)流量樣本是否分類錯(cuò)誤，得到該神經(jīng)網(wǎng)絡(luò)弱分類器的分類錯(cuò)誤率，根據(jù)分類錯(cuò)誤率分別調(diào)整每個(gè)網(wǎng)絡(luò)流量樣本的數(shù)量及樣本概率分布；

步驟3：反復(fù)執(zhí)行步驟2直至迭代次數(shù)達(dá)到預(yù)定次數(shù)，每次迭代得到一個(gè)神經(jīng)網(wǎng)絡(luò)弱分類器，最終得到多個(gè)神經(jīng)網(wǎng)絡(luò)弱分類器，所述神經(jīng)網(wǎng)絡(luò)弱分類器的數(shù)量與預(yù)定次數(shù)的數(shù)量相同；

步驟4：根據(jù)每個(gè)神經(jīng)網(wǎng)絡(luò)弱分類器的分類錯(cuò)誤率，分別確定每個(gè)神經(jīng)網(wǎng)絡(luò)弱分類器的權(quán)重；

步驟5：根據(jù)每個(gè)弱分類器及每個(gè)弱分類器對(duì)應(yīng)的權(quán)重，計(jì)算得到強(qiáng)分類器；

步驟6：將待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流輸入到強(qiáng)分類器中，得到入侵檢測(cè)結(jié)果；

步驟7：重復(fù)執(zhí)行步驟6，直至所有待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)完畢。

本發(fā)明的有益效果是：本發(fā)明在某些假設(shè)條件成立的情況下，基于維納過(guò)程的過(guò)采樣技術(shù)生成的人造訓(xùn)練樣本的期望值和方差與原始少數(shù)類數(shù)據(jù)的期望值和方差相同；并且比傳統(tǒng)過(guò)采樣方法更好擴(kuò)展少數(shù)類的邊界；本發(fā)明能夠?qū)蓪W(xué)習(xí)算法泛化能力進(jìn)行極大提升，在訓(xùn)練集樣本有限的條件下，能夠保證測(cè)試集對(duì)獨(dú)立，相比單一分類器能獲得更小的誤差；此外，將基于維納過(guò)程的過(guò)采樣技術(shù)融入到集成學(xué)習(xí)中，以應(yīng)對(duì)不平衡數(shù)據(jù)集的分類問(wèn)題，期望得到分類正確率較高的無(wú)偏分類器，從而使得入侵檢測(cè)系統(tǒng)具有較好的檢測(cè)性能。

在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明還可以做如下改進(jìn)。