本發明實施例公開了一種入侵檢測方法、裝置及存儲介質，涉及網絡安全領域。本發明的方法包括：獲取M類異常樣本，并對各類樣本數量進行均衡處理；對所述M類異常樣本中的各樣本進行特征約簡；將特征約簡后的M類異常樣本及正常樣本，作為樣本集合，對初始深度學習模型進行訓練，得到入侵檢測模型；其中，所述深度學習模型由M+1個分類器構成；基于所述入侵檢測模型，進行網絡攻擊檢測。本發明能夠提高網絡異常入侵檢測的準確率和效率。

技術領域

本發明涉及網絡安全領域，尤其涉及一種入侵檢測方法、裝置及存儲介質。

背景技術

隨著網絡中攻擊方式的不斷更新與變異，傳統的基于特征匹配的入侵檢測方法已無法有效進行攻擊檢測，特別是當攻擊者特征越來越復雜時，傳統的入侵檢測方法表現出誤報率高、自適應性差、檢測效率低等弊端。因此，基于機器學習的入侵檢測方法興起。

在大量利用機器學習解決入侵檢測問題的研究中，訓練數據的不平衡性及樣本特征復雜性，容易導致攻擊檢測的準確率及效率均較低。

發明內容

本發明的實施例提供一種入侵檢測方法、裝置及存儲介質，能夠解決復雜網絡入侵環境下的攻擊檢測問題。

為達到上述目的，本發明的實施例采用如下技術方案：

第一方面，本發明的實施例提供一種入侵檢測方法，包括：

獲取M類異常樣本，并對各類樣本數量進行均衡處理；

對所述M類異常樣本中的各樣本進行特征約簡；

將特征約簡后的M類異常樣本及正常樣本，作為樣本集合，對初始機器學習模型進行訓練，得到入侵檢測模型；其中，所述機器學習模型由M+1個分類器構成；

基于所述入侵檢測模型，進行網絡攻擊檢測。

結合第一方面，在第一方面的第一種可能的實現方式中，所述獲取M類異常樣本，并對各類樣本數量進行均衡處理，包括：

統計所述M類異常樣本中每類異常樣本的數量；

針對樣本數量低于第一預設值的類，對所述類內樣本進行樣本變換得到至少一個新樣本；或者，針對樣本數量高于第二預設值的類，對所述類內的部分樣本進行過濾處理；

得到異常樣本數量符合預設條件的M類異常樣本。

結合第一方面，在第一方面的第二種可能的實現方式中，所述對所述M類異常樣本中的各樣本進行特征約簡，包括：

提取所述M類異常樣本中的各樣本的特征向量；

針對每個所述樣本的特征向量中各特征與相應異常類標簽之間的相關度，對各特征進行排序；并基于SVM算法對特征向量中的特征進行選取操作，得到特征約簡后的樣本特征向量。

結合第一方面，在第一方面的第三種可能的實現方式中，所述將特征約簡后的M類異常樣本及正常樣本，作為樣本集合，對初始機器學習模型進行訓練，得到入侵檢測模型，包括：

所述樣本集合包括M+1個子集；其中，M個異常類子集中的每個樣本均攜帶有相應異常類標簽信息，1個正常類子集中的每個樣本均攜帶有正常類標簽信息；

將所述樣本集合輸入至所述初始機器學習模型，分別基于每個異常類子集與正常類子集合并的數據集，對初始機器學習模型中所述異常類相應的分類器進行訓練，得到所述入侵檢測模型；其中，所述入侵檢測模型由M+1個分類器構成。

結合第一方面，在第一方面的第四種可能的實現方式中，所述基于所述入侵檢測模型，進行網絡攻擊檢測，包括：

將當前網絡信息輸入至所述入侵檢測模型；