本發明公開了一種基于改進的SVM?KNN算法的半監督托攻擊檢測方法，包括：將已標記用戶集作為訓練集訓練出初始SVM分類器；利用初始SVM分類器對未標記用戶集進行初步分類；將正常用戶的用戶數據并入訓練集中，以改進的KNN相似度公式作為KNN算法的距離公式，對其余的用戶數據進行二次分類；更新訓練集，并重新訓練新的SVM分類器；判斷分類結果是否達到最佳檢測性能，若判定是，則輸出最終分類器，否則循環對未標記用戶集中的用戶進行分類；利用最終分類器對用戶數據進行托攻擊檢測。通過本發明的技術方案，提高了托攻擊檢測的泛化能力和檢測精確度，在少量信息和不斷變化的環境中，比以往攻擊檢測算法的性能更為優越。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于改進的SVM-KNN算法的半監督托攻擊檢測方法。

背景技術

在實際的網絡環境中，大量的用戶身份無法確定，并且面對的托攻擊也會越來越復雜。例如在淘寶購物網站中，可以通過活躍度、好評率、皇冠用戶等等一些條件可以確定是真實用戶，但是大部分用戶，只是簡單地操作一些購物流程，甚至都不會去評價，這部分用戶無法確定是否是真實用戶。攻擊者隨著對網站的了解，也會構造出越來越復雜的攻擊模型。但是現有的攻擊檢測算法，面對越來越復雜的新型的托攻擊和只有少量用戶可以確定身份的情況下，檢測效果并不理想。

發明內容

針對上述問題中的至少之一，本發明提供了一種基于改進的SVM-KNN算法的半監督托攻擊檢測方法，首先建立標記用戶數據集和未標記用戶數據集，其次根據少量標記用戶數據訓練一個初始SVM分類器，計算未標記用戶數據與初始SVM分類器邊界的距離，距離大于設定的閥值，則使用SVM進行分類，否則使用KNN進行分類，將新標記的數據加入到訓練集中，重新訓練SVM分類器，不斷迭代上述過程，最終得到一個分類精度比較高的SVM分類器。利用了半監督學習的檢測器的標記數據的準確性,又合理使用了無標記數據的分布規律，聯合了SVM和KNN算法，從而提高了泛化能力和檢測精確度，在少量信息和不斷變化的環境中，比以往攻擊檢測算法的性能更為優越。

為實現上述目的，本發明提供了一種基于改進的SVM-KNN算法的半監督托攻擊檢測方法，包括：將用戶集合分為已標記用戶集和未標記用戶集，將已標記用戶集作為訓練集訓練出初始SVM分類器；利用初始SVM分類器對未標記用戶集中的任一樣本用戶進行初步分類；將初步分類中標記為正常用戶的用戶數據并入所述訓練集中，將其余的用戶數據并入分類邊界附近向量集中；以改進的KNN相似度公式(1)作為KNN算法的距離公式，對所述分類邊界附近向量集中的用戶進行二次分類，

其中，a+b+c＝1；

將KNN算法分類得到的標記用戶數據并入所述訓練集中，并利用更新后的所述訓練集重新訓練新的SVM分類器；判斷分類結果是否達到最佳檢測性能，若判定是，則輸出最終分類器，否則循環對所述未標記用戶集中的用戶進行分類；利用所述最終分類器對用戶數據進行托攻擊檢測。

在上述技術方案中，優選地，所述利用初始SVM分類器對未標記用戶集中的任一樣本用戶進行初步分類具體包括：在所述未標記用戶集中任選一樣本用戶，利用SVM計算公式(2)計算出分類決策函數f(x)的值；

判斷所述分類決策函數的絕對值|f(x)|是否大于給定的分類閾值ε(0<ε<1)；若判定為是，則將所述樣本標記為正常用戶。

在上述技術方案中，優選地，所述以改進的KNN相似度公式(1)作為KNN算法的距離公式，對所述分類邊界附近向量集中的用戶進行二次分類具體包括：將所述訓練集中的用戶數據和所述分類邊界附近向量集中的待分類樣本用戶數據進行一致的向量化；利用所述距離公式計算待分類樣本與所述訓練集中每一個樣本的距離，并選擇距離最近的k個樣本作為所述待分類樣本的最近鄰；依次計算最近鄰中每個樣本屬于不同分類的權重值；比較某一樣本屬于不同分類的權重值的大小，并將該樣本劃分為權重值最大的分類中。