本發明公開了一種基于SA?iForest的網絡入侵異常檢測方法，屬于網絡安全領域。首先通過對訓練集隨機選擇屬性訓練出多棵iTree，通過交叉驗證計算出它們的異常檢測精度，同時采用Q?統計量計算出iTree之間的差異性，然后把精確度和差異性作為iTree挑選標準，根據iTree的差異性和精確度，利用模擬退火算法從初始森林中選出比較優秀的iTree來構建集成iForest，然后對測試集進行測試統計出其異常分值，完成對網絡入侵異常檢測。該方法不僅減小了iTree的集成規模而且利用模擬退火優化算法的快速收斂性來提高網絡入侵異常檢測效率，同時還提高了算法的泛化能力和預測性能。

技術領域

本發明涉及網絡安全領域，尤其是一種基于SA-iForest的網絡入侵異常檢測方法。

背景技術

隨著網絡技術的飛速發展和網絡規模的不斷擴大，網絡安全問題日趨嚴重。入侵檢測作為維護網絡安全的一項重要技術，儼然已成為信息安全領域一個重要的研究內容，獲得了眾多專家學者的廣泛關注。入侵檢測技術主要是通過分析相關的網絡數據來判斷系統中是否存在違背系統安全或安全策略的行為。

Isolation Forest算法的設計利用了異常數據的兩個特征：極少且與眾不同。即異常數據對象個數占數據集總體規模的比重較小，其次異常數據的屬性值與正常的屬性值相比存在明顯差異。當在僅包含數值類型的訓練集中，對數據對象進行遞歸地劃分，直至每個數據對象都由一棵稱為iTree的二叉樹與其他對象區別開來。顯然異常對象距離樹的根節點較近，即路徑長度較短，反映了僅需少量條件就可將異常對象與其他對象區別。

與其他異常檢測算法相比，Isolation Forest沒有利用距離或密度來檢測異常，這消除了基于距離和密度方法的計算量。利用異常數據少且與眾不同的特點，使得它們與正常數據快速分離，具有較低的線性時間復雜度。雖然Isolation Forest算法在異常檢測方面取得較好的效果，但仍存在一些不足之處：

(1)Isolation Forest算法對數據集進行異常檢測的精確度與iTree的數目相關，而構建大規模iTree需要耗費大量內存，同時導致更大的計算。

(2)由于iTree數量過多，iTree之間的差異將越來越不明顯，其異常檢測的精確度參差不齊，存在一些性能較差的iTree，造成了空間浪費。

(3)Isolation Forest算法基于單個計算節點設計，其處理的數據規模受內存最大容量限制，處理海量數據較為困難。

發明內容

本發明要解決的技術問題是：提出一種基于SA-iForest的網絡入侵異常檢測方法，克服了傳統的網絡入侵檢測方法檢測精度低、泛化能力差等缺點。利用模擬退火的思想選擇精度高和有差異性的iTree來優化iForest，使得該算法泛化能力提高，進一步提高了預測性能，同時去掉冗余iTree以減少iForest的存儲空間、降低預測計算量、加快預測速度。

本發明的目的是這樣實現的：

一種基于SA-iForest的網絡入侵異常檢測方法，其特征在于，包括如下步驟：