本發(fā)明公開了一種面向網(wǎng)絡(luò)的入侵數(shù)據(jù)檢測方法，所述方法包括如下步驟：首先將網(wǎng)絡(luò)流量數(shù)據(jù)進行屬性降維，然后把數(shù)據(jù)輸入至數(shù)據(jù)檢測模型；所述檢測模型根據(jù)決策規(guī)則對所述網(wǎng)絡(luò)流量數(shù)據(jù)進行處理，檢測入侵數(shù)據(jù)。本發(fā)明有助于實現(xiàn)高效、高精度、低誤警的入侵檢測，提高檢測效率。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)入侵檢測和特征降維技術(shù)領(lǐng)域，特別是涉及一種面向網(wǎng)絡(luò)的入侵數(shù)據(jù)檢測方法。

背景技術(shù)

防火墻、惡意軟件預(yù)防、數(shù)據(jù)加密和用戶身份驗證，對當代網(wǎng)絡(luò)攻擊仍然無法提供完全的保護，構(gòu)成了一套必要但不完整的系統(tǒng)工具來保護計算機和網(wǎng)絡(luò)免受今天的攻擊。入侵檢測系統(tǒng)與其它安全系統(tǒng)可以相互補充。一般來說，入侵檢測系統(tǒng)是一種主動系統(tǒng)，它不斷地監(jiān)視和分析網(wǎng)絡(luò)流量，以確定是否偏離了預(yù)期行為。入侵檢測系統(tǒng)的第一種方法是基于簽名的入侵檢測，它通過分析網(wǎng)絡(luò)數(shù)據(jù)包來對預(yù)先定義的攻擊簽名進行分類。因此，這種方法不能識別新的攻擊。

相反，基于異常的檢測可以通過網(wǎng)絡(luò)流量來檢測任何偏離正常活動的行為以識別未知攻擊。該方法利用數(shù)據(jù)挖掘技術(shù)等方法，預(yù)先定義了一個可信系統(tǒng)行為模型。觀察到的事件和行為可分為正常或異常。該領(lǐng)域的研究主要集中在提高入侵檢測系統(tǒng)的精度和效率。基于異常的入侵檢測方法已具有良好的應(yīng)用前景，本方法已被廣泛采用，并且成為入侵檢測領(lǐng)域的研究熱點。此背景下，各種機器學(xué)習(xí)技術(shù)被用來構(gòu)建一個有效的入侵檢測系統(tǒng)，包括貝葉斯網(wǎng)絡(luò)、馬爾可夫模型和支持向量機等。

盡管取得了一些進展，但龐大的數(shù)據(jù)量對入侵檢測系統(tǒng)構(gòu)成了一個根本性的挑戰(zhàn)，不斷增長的計算和存儲復(fù)雜性導(dǎo)致分類結(jié)果不滿意。對這樣的數(shù)據(jù)集進行分類可能會遇到許多困難，這些困難可能會降低分類器的性能，或者由于內(nèi)存不足導(dǎo)致完全失敗。此外，預(yù)處理大容量數(shù)據(jù)集在處理冗余數(shù)據(jù)、噪聲數(shù)據(jù)等方面也面臨著嚴重的挑戰(zhàn)，影響了分類的效率。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)的不足，本發(fā)明的目的在于提供一種面向網(wǎng)絡(luò)的入侵數(shù)據(jù)檢測方法，以解決現(xiàn)有技術(shù)中存在的數(shù)據(jù)集分類困難、分類效率低的問題。

為解決上述技術(shù)問題，本發(fā)明所采用的技術(shù)方案是：

一種面向網(wǎng)絡(luò)的入侵數(shù)據(jù)檢測方法，所述方法包括如下步驟：

將網(wǎng)絡(luò)流量數(shù)據(jù)輸入至數(shù)據(jù)檢測模型；

所述檢測模型根據(jù)決策規(guī)則對所述網(wǎng)絡(luò)流量數(shù)據(jù)進行處理，獲取攻擊數(shù)據(jù)。

進一步的，所述檢測模型的建立方法包括：

對訓(xùn)練數(shù)據(jù)集進行降維處理，獲取最優(yōu)輸入子集；

通過所述最優(yōu)輸入子集對組合分類器進行訓(xùn)練，獲取數(shù)據(jù)檢測模型。

進一步的，所述最優(yōu)輸入子集的獲取方法包括：

獲取訓(xùn)練數(shù)據(jù)中每個屬性的信息增益；

選取所述信息增益大于0.5的屬性作為輸入子集；

獲取所述輸入子集中屬性的特征值；

選取所述輸入子集中特征值大于0.5的屬性作為最優(yōu)輸入子集。

進一步的，所述信息增益的獲取方法包括：

所述信息增益通過如下公式獲取：

Gain(T)＝I(d₁，...，dm)-E(T) (1)，

式中，Gain(T)為信息增益，I(d1,d2,...dm)為數(shù)據(jù)屬性的信息熵，E(T)為屬性T的條件熵；

其中，