本發(fā)明公開(kāi)了一種基于模糊度和集成學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法，包括以下步驟；S1、從原始流量數(shù)據(jù)中提取出能夠反映流量特性的基本特征數(shù)據(jù)；S2、對(duì)提取的基本特征數(shù)據(jù)進(jìn)行預(yù)處理；S3、將預(yù)處理后的基本特征數(shù)據(jù)作為訓(xùn)練樣本集，并通過(guò)多次隨機(jī)劃分訓(xùn)練樣本集，得到若干個(gè)訓(xùn)練樣本子集；S4、根據(jù)每個(gè)訓(xùn)練樣本子集中的數(shù)據(jù)，采用基于模糊度的半監(jiān)督ELM算法構(gòu)建并訓(xùn)練若干個(gè)基分類(lèi)器；S5、采用集成算法對(duì)所有訓(xùn)練好的基分類(lèi)器進(jìn)行結(jié)合，得到最終的入侵檢測(cè)模型，進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)。本發(fā)明方法解決了現(xiàn)有技術(shù)中構(gòu)建模型的訓(xùn)練時(shí)間過(guò)長(zhǎng)和無(wú)法很好地適應(yīng)新類(lèi)型的攻擊檢測(cè)等問(wèn)題，本發(fā)明方法能夠進(jìn)行快速訓(xùn)練，提高對(duì)新類(lèi)型攻擊的識(shí)別能力。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)領(lǐng)域，具體涉及一種基于模糊度和集成學(xué)習(xí)的網(wǎng)絡(luò)入侵檢測(cè)方法。

背景技術(shù)

互聯(lián)網(wǎng)作為當(dāng)代科技的代表產(chǎn)物，它的出現(xiàn)開(kāi)啟了人類(lèi)社會(huì)的新時(shí)代。互聯(lián)網(wǎng)的普及和應(yīng)用也促進(jìn)了人類(lèi)生活各個(gè)方面的發(fā)展，比如金融，教育、醫(yī)療等等。隨著互聯(lián)網(wǎng)用戶(hù)的日益增多，網(wǎng)絡(luò)安全問(wèn)題受到越來(lái)越多的關(guān)注，尤其是近年來(lái)各種網(wǎng)絡(luò)攻擊的頻繁，使得建立一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境顯得尤為重要。

為了有效地檢測(cè)和防御網(wǎng)絡(luò)攻擊，人們提出了入侵檢測(cè)系統(tǒng)(IDS)的概念。入侵檢測(cè)系統(tǒng)通過(guò)實(shí)時(shí)地監(jiān)視和分析網(wǎng)絡(luò)中的相關(guān)信息，來(lái)檢測(cè)是否存在異常的或者惡意的行為，從而提供主動(dòng)預(yù)警和防護(hù)的功能。根據(jù)檢測(cè)原理的不同，目前的網(wǎng)絡(luò)入侵檢測(cè)方法大體上分為兩類(lèi)：基于誤用(misuse)的網(wǎng)絡(luò)入侵檢測(cè)和基于異常(anomaly)的網(wǎng)絡(luò)入侵檢測(cè)。基于誤用的網(wǎng)絡(luò)入侵檢測(cè)通過(guò)收集已知攻擊和異常行為的特征，建立相應(yīng)的特征庫(kù)，當(dāng)網(wǎng)絡(luò)中采集的數(shù)據(jù)與特征庫(kù)中的數(shù)據(jù)匹配的時(shí)候，就將該行為判定為入侵。這種方法可以準(zhǔn)確地識(shí)別已知攻擊類(lèi)型，但無(wú)法檢測(cè)到新類(lèi)型的攻擊行為，缺乏良好的泛化能力?；诋惓５木W(wǎng)絡(luò)入侵檢測(cè)則是總結(jié)正常行為的特征，當(dāng)檢測(cè)到的網(wǎng)絡(luò)行為與正常行為存在較大偏差的時(shí)候，就認(rèn)為發(fā)生了入侵。盡管該方法在一定程度上能夠檢測(cè)到新類(lèi)型的攻擊，但誤檢率卻比較高，且無(wú)法描述入侵行為的類(lèi)別。

隨著人工智能的興起，機(jī)器學(xué)習(xí)技術(shù)也逐漸應(yīng)用到了入侵檢測(cè)系統(tǒng)中。就模型的訓(xùn)練方式而言，使用較多的主要有監(jiān)督學(xué)習(xí)(supervised learning)和無(wú)監(jiān)督學(xué)習(xí)(unsupervised learning)兩種。監(jiān)督學(xué)習(xí)使用的訓(xùn)練樣本全部是已標(biāo)記樣本，即輸入與輸出的關(guān)系是已知的，根據(jù)這種已知關(guān)系從而訓(xùn)練一個(gè)最優(yōu)模型。無(wú)監(jiān)督學(xué)習(xí)則恰好相反，它使用的訓(xùn)練樣本均為未標(biāo)記樣本，由模型自身去挖掘數(shù)據(jù)中的關(guān)系。這兩種學(xué)習(xí)方式都存在一定的缺陷：采用監(jiān)督學(xué)習(xí)訓(xùn)練的模型無(wú)法很好的適應(yīng)新類(lèi)型的任務(wù)，且對(duì)樣本進(jìn)行標(biāo)記需要耗費(fèi)大量的精力；無(wú)監(jiān)督學(xué)習(xí)對(duì)訓(xùn)練數(shù)據(jù)的分布要求比較苛刻，如果分布不平衡，所學(xué)習(xí)到的模型性能就會(huì)特別的差。為了克服上述學(xué)習(xí)方式的不足，半監(jiān)督學(xué)習(xí)(semi-supervised learning)應(yīng)運(yùn)而生。顧名思義，半監(jiān)督學(xué)習(xí)介于監(jiān)督學(xué)習(xí)與無(wú)監(jiān)督學(xué)習(xí)之間，它通過(guò)少量的標(biāo)記樣本和大量的未標(biāo)記樣本進(jìn)行模型的訓(xùn)練，使用半監(jiān)督學(xué)習(xí)既減少了標(biāo)記樣本的開(kāi)銷(xiāo)，也能帶來(lái)比較高的準(zhǔn)確性。

在現(xiàn)有技術(shù)中，針對(duì)使用單個(gè)分類(lèi)器進(jìn)行入侵檢測(cè)存在局限性的問(wèn)題，已有相關(guān)研究利用集成學(xué)習(xí)(ensemble learning)來(lái)提高入侵檢測(cè)系統(tǒng)的精度。常用的集成學(xué)習(xí)算法包括Boosting和Bagging，其中Boosting先從初始訓(xùn)練集訓(xùn)練出一個(gè)基學(xué)習(xí)器，再根據(jù)基學(xué)習(xí)器的表現(xiàn)對(duì)訓(xùn)練樣本分布進(jìn)行調(diào)整，使得先前基學(xué)習(xí)器做錯(cuò)的訓(xùn)練樣本在后續(xù)受到更多關(guān)注，然后基于調(diào)整后的樣本分布來(lái)訓(xùn)練下一個(gè)基學(xué)習(xí)器，如此重復(fù)進(jìn)行，直至基學(xué)習(xí)器數(shù)目達(dá)到預(yù)定義的值，最終將所有的基學(xué)習(xí)器進(jìn)行加權(quán)結(jié)合；而B(niǎo)agging則是通過(guò)對(duì)訓(xùn)練集進(jìn)行多次采樣生成多個(gè)不同的訓(xùn)練子集，然后由不同的子集訓(xùn)練生成不同的基學(xué)習(xí)器，最后使用諸如投票的策略對(duì)基學(xué)習(xí)器進(jìn)行結(jié)合。

上述現(xiàn)有技術(shù)的缺點(diǎn)在于，(1)利用Boosting構(gòu)建的模型準(zhǔn)確度一般都比較高，但是容易發(fā)生過(guò)擬合問(wèn)題；而且由于基分類(lèi)器是串行生成的，所以Boosting的時(shí)間復(fù)雜度通常會(huì)比較大，這與入侵檢測(cè)系統(tǒng)所要求的高實(shí)時(shí)性和快速更新的原則不符。