本發明提供一種網絡入侵檢測中類別不平衡處理方法及裝置。該方法包括：步驟1、從待檢測點獲取網絡流量數據組成數據集X_D，統計數據集X_D中各類型樣本的數量，將樣本個數少于目標數量的樣本類型記為低頻樣本集X_mi；步驟2、對每個低頻樣本x_i∈X_mi，采用ADASYN算法計算低頻樣本分布密度；步驟3、根據低頻樣本分布密度，將低頻樣本集中的各低頻樣本劃分為危險域、安全域和獨立域；步驟4、根據各低頻樣本的所屬區域，采用預設樣本增量方式生成新樣本。步驟5、將生成的新樣本加入數據集X_D中組成新樣本集X_new。本發明相比于已有過采樣算法，在不降低檢測性能的基礎上，減少了新樣本生成總數，從而降低后續計算工作量，縮短模型訓練時間，并且有效解決了新樣本邊緣分布效應。

技術領域

本發明涉及網絡安全維護中的入侵檢測技術領域，尤其涉及一種網絡入侵檢測中類別不平衡處理方法及裝置。

背景技術

伴隨著網絡技術的不斷發展與創新，基于網絡產生的各式應用已經融入日常生活的方方面面，為人們帶來了極其便利的生活環境與豐厚的生產利益，滿足了人們在現實生活中的各項需求。但網絡遭受的各種安全威脅也在深刻地影響著正常的社會生產生活秩序，帶來惡性影響的同時造成了不可估量的損失。因此，如何有效地應對網絡威脅，保護網絡信息的安全性與保密性，對于維護正常的生活方式、良好的網絡環境乃至國家戰略安全，都具有重要的價值意義。

入侵檢測作為一種主動式網絡防御技術，不僅能夠發現主機或系統中存在的違反正常安全規則的異常行為，而且能夠檢測識別出正常網絡流量中包含的異常攻擊信息，是一種重要的網絡安全保護措施。但隨著互聯網產業邁入大數據時代，以匹配檢測和異常檢測為主的傳統入侵檢測系統(IDS,Intrusion Detection System)已無法滿足大數據量條件下的快速響應需求，性能弊端凸顯。因此新型IDS的提出對維護網絡良性發展至關重要。

人工智能及機器學習技術的興起為IDS的發展帶來新的機遇。基于機器學習算法的IDS將檢測問題轉化為分類問題，通過對大量已知網絡流量數據進行訓練學習，形成最優化模型并完成分類過程，避免了傳統模型復雜繁瑣的人工干預和領域專家知識，具有很強的自適應能力。已有研究表明，基于人工神經網絡、支持向量機和決策樹等機器學習算法的IDS在實時性和檢測率等指標上均取得不錯效果，但在實際應用中仍然面臨部分難題，其中之一便是類別非平衡分布情況下的攻擊檢測問題。首先，入侵行為樣本在數量上遠遠少于正常流量數據，導致其分類特征難以捕捉，造成機器學習算法無法有效對攻擊樣本建立檢測模型；其次，機器學習算法以最大化樣本整體分類準確率為目的，致使絕大部分低頻攻擊樣本被忽視，產生錯誤結果。

針對類別非平衡分布檢測問題的主要解決方法分為算法層面和數據層面。算法層面主要通過修改具體檢測算法或模型的決策函數，使算法檢測結果更偏向于低頻樣本集。相比之下，數據層面處理方法則具有復雜度低和不依賴具體分類檢測模型的優勢，通過人為的添加或刪除樣本數量，使樣本集達到相對平衡狀態。傳統的過采樣方式僅針對已有數據進行簡單重復復制，造成新樣本集缺乏特征多樣性；而減采樣通過對高頻樣本抽樣來縮減其數量，易損失某些重要樣本，導致分類準確度下降。