本發明實施例提供了一種基于入侵檢測模型的樣本預測方法、裝置及電子設備，方法包括：對初始訓練樣本集中的樣本進行聚類，得到第一簇，針對每個第一簇，如果其內的全部樣本都屬于同一個類別，則將該第一簇中的樣本從該初始訓練樣本集中抽離，并標記該第一簇的類別為：該第一簇中的任一有標記樣本的類別；獲得目標訓練樣本集、目標入侵檢測模型以及初始測試樣本集，針對初始測試樣本集中的每個樣本，判斷是否將其從所述初始測試樣本集中抽離；獲得由初始測試樣本集中未被抽離的樣本組成的目標測試樣本集；并利用目標入侵檢測模型，對目標測試樣本集中的每個樣本進行類別預測。應用本發明實施例提供的方案進行樣本預測時，提高了樣本預測的準確度。

技術領域

本發明涉及網絡安全技術領域，特別是涉及一種基于入侵檢測模型的樣本預測方法、裝置及電子設備。

背景技術

近年來，各種網絡安全事件頻頻發生，為了應對頻發的網絡安全事件，保護計算機的免遭非法入侵與惡意攻擊，網絡安全技術應用而生。入侵檢測作為一種主動防御型的網絡安全技術，得到了人們的廣泛研究。

入侵檢測技術主要是基于入侵檢測模型來預測樣本的類別，從而可以對內部攻擊、外部攻擊和誤操作等行為進行實時監控，在網絡系統受到危害之前加以攔截，達到保護網絡的目的。一般而言，樣本的類別可以分為：正常類別和攻擊類別，其中，攻擊類別包括多種，例如，口令攻擊類別、拒絕服務攻擊類別、信息收集攻擊類別等等。

基于入侵檢測模型的過程如圖1所示，具體為：獲得訓練樣本集和測試樣本集，其中，訓練樣本集中的樣本都是有標記樣本，然后，將訓練樣本集以及測試樣本集進行數據預處理，例如，數據歸一化處理、去噪處理、降維處理等等，利用數據預處理后的訓練樣本集訓練初始的入侵檢測模型，例如，神經網絡模型、支持向量機模型、決策樹模型等等，初始的入侵檢測模型在經過訓練后，能夠得到初始的入侵檢測模型的參數信息，從而形成用于樣本預測的目標入侵檢測模型，利用該目標入侵檢測模型對測試樣本集中的樣本進行預測，預測類別是訓練樣本集中出現過的類別。

目前，基于入侵檢測模型進行樣本預測時，存在兩個問題：一是采用的訓練樣本集中各個類別的樣本數量存在嚴重不平衡現象，有些類別的樣本數量可能是另一些類別的樣本數量的成千上萬倍，由于擁有樣本數量較多的類別涵蓋的樣本特征比較全面，而擁有較少樣本數量的類別涵蓋的樣本特征比較匱乏，因而，利用這種訓練樣本集訓練得到目標入侵檢測模型在對樣本進行類別預測時，會傾向于預測該樣本的類別為：擁有樣本數量較多的類別，使得對擁有較少樣本數量的類別的難以準確預測，導致樣本類別的預測準確度不高；二是采用的訓練樣本集中的樣本都是有標記樣本，而測試樣本集中的樣本都是無標記樣本，并且測試樣本集中的樣本類別與訓練樣本集中的樣本類別不服從同一概率分布，一旦測試樣本集中出現訓練樣本集中未曾出現的類別，將導致入侵檢測模型無法準確預測屬于該類別的樣本，從而使得樣本預測的準確度不高。

發明內容

本發明實施例的目的在于提供一種基于入侵檢測模型的樣本預測方法、裝置及電子設備，以實現提高樣本預測的準確度。具體技術方案如下：

第一方面，本發明實施例提供了一種基于入侵檢測模型的樣本預測方法，所述方法包括：

利用聚類算法，對獲得的初始訓練樣本集中的樣本進行聚類，得到第一預設數量個第一簇，其中，所述初始訓練樣本集包括無標記樣本與有標記樣本；

針對每個所述第一簇，利用預設的純簇判定規則，判斷其內的全部樣本是否都屬于同一個類別；如果是，則將該第一簇中的樣本從所述初始訓練樣本集中抽離，并標記該第一簇的類別為：該第一簇中的任一有標記樣本的類別；

獲得由所述初始訓練樣本集中未被抽離的樣本組成的目標訓練樣本集；

獲得目標入侵檢測模型以及初始測試樣本集，其中，所述目標入侵檢測模型基于目標訓練集訓練所得，所述初始測試樣本集的樣本類別與所述初始訓練樣本集的無標記樣本的樣本類別服從同一概率分布；