本發(fā)明公開了一種基于PCA+ADASYN和Xgboost的網(wǎng)絡(luò)入侵檢測系統(tǒng)，包括：數(shù)據(jù)預(yù)處理模塊、數(shù)據(jù)降維模塊、數(shù)據(jù)過采樣模塊、模型訓(xùn)練模塊、數(shù)據(jù)檢測模塊；首先對輸入的數(shù)據(jù)做格式化處理，其次對數(shù)據(jù)預(yù)處理模塊得到的數(shù)據(jù)做降維處理，然后對降維后的數(shù)據(jù)中少數(shù)類樣本進(jìn)行過采樣處理，使用過采樣后的數(shù)據(jù)對Xgboost模型進(jìn)行訓(xùn)練，最后使用訓(xùn)練好的檢測模型檢測數(shù)據(jù)，得出檢測結(jié)果。本發(fā)明將PCA、ADASYN、Xgboost技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵檢測中，實現(xiàn)了對網(wǎng)絡(luò)入侵的檢測，克服了現(xiàn)有基于機(jī)器學(xué)習(xí)算法的入侵檢測系統(tǒng)精確率低、誤報率高的缺點，同時提升了對少數(shù)類攻擊的檢測效果，為網(wǎng)絡(luò)入侵檢測提供決策依據(jù)和技術(shù)支撐。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)入侵檢測技術(shù)領(lǐng)域，具體涉及一種基于PCA+ADASYN和Xgboost的網(wǎng)絡(luò)入侵檢測系統(tǒng)。

背景技術(shù)

面對日益惡化的網(wǎng)絡(luò)環(huán)境，為保護(hù)網(wǎng)絡(luò)安全，學(xué)者們提出了很多安全技術(shù)方案，如數(shù)字簽名、防火墻等網(wǎng)絡(luò)安全保護(hù)措施。但是，依靠單一的防御技術(shù)是無法保證網(wǎng)絡(luò)安全的。于是，有專家提出了網(wǎng)絡(luò)入侵檢測系統(tǒng)。

網(wǎng)絡(luò)入侵檢測(NIDS)系統(tǒng)通過監(jiān)視網(wǎng)絡(luò)流量和收集數(shù)據(jù)包來分析可能的事件。NIDS是一種主動防御技術(shù)，對網(wǎng)絡(luò)中的事件進(jìn)行實時監(jiān)控，可以彌補(bǔ)防火墻等被動防御措施的不足，提高網(wǎng)絡(luò)安全性。近年來，網(wǎng)絡(luò)入侵檢測技術(shù)已經(jīng)成為國內(nèi)外學(xué)者研究的重要課題之一，機(jī)器學(xué)習(xí)算法在入侵檢測領(lǐng)域得到了廣泛的應(yīng)用。相繼有人將隨機(jī)森林、KNN、SVM等方法應(yīng)用于網(wǎng)絡(luò)入侵檢測中，并且取得了不錯的檢測效果。但是這些方法對于出現(xiàn)次數(shù)少的攻擊類型檢測方面存在誤報率高、精確率低等問題。

因此，面對復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，建立自主學(xué)習(xí)能力強(qiáng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)是非常有必要的。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于PCA+ADASYN和Xgboost的網(wǎng)絡(luò)入侵檢測系統(tǒng)，以解決傳統(tǒng)機(jī)器學(xué)習(xí)方法對于出現(xiàn)次數(shù)少的攻擊類型檢測過程中誤報率高、精確率低等問題。

本發(fā)明是這樣實現(xiàn)的：一種基于PCA+ADASYN和Xgboost的網(wǎng)絡(luò)入侵檢測系統(tǒng)，包括數(shù)據(jù)預(yù)處理模塊、數(shù)據(jù)降維模塊、數(shù)據(jù)過采樣模塊、模型訓(xùn)練模塊、數(shù)據(jù)檢測模塊；數(shù)據(jù)預(yù)處理模塊與數(shù)據(jù)降維模塊相連，數(shù)據(jù)降維模塊與數(shù)據(jù)過采樣模塊相連，數(shù)據(jù)過采樣模塊與模型訓(xùn)練模塊相連，模型訓(xùn)練模塊與數(shù)據(jù)檢測模塊相連。

所述數(shù)據(jù)預(yù)處理模塊，用于對輸入的數(shù)據(jù)做格式化處理，包括字符串特征數(shù)值化、數(shù)據(jù)歸一化；

所述數(shù)據(jù)降維模塊，用于對數(shù)據(jù)預(yù)處理模塊得到的數(shù)據(jù)做降維處理，采用PCA方法；

所述數(shù)據(jù)過采樣模塊，用于對降維后的數(shù)據(jù)中少數(shù)類樣本進(jìn)行過采樣處理，采用ADASYN方法；

所述模型訓(xùn)練模塊，使用過采樣后的數(shù)據(jù)對Xgboost模型進(jìn)行訓(xùn)練；

所述數(shù)據(jù)檢測模塊，使用訓(xùn)練好的檢測模型檢測數(shù)據(jù)。

一種基于PCA+ADASYN和Xgboost的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其具體工作步驟如下：

步驟一：將KDD?CUP99數(shù)據(jù)集中10％訓(xùn)練子集和correct子集輸入到數(shù)據(jù)預(yù)處理模塊；

步驟二：首先將輸入數(shù)據(jù)集中的協(xié)議類型、網(wǎng)絡(luò)連接狀態(tài)、網(wǎng)絡(luò)服務(wù)類型、攻擊類型這幾字段的值轉(zhuǎn)為數(shù)值型，即字符串特征數(shù)值化；然后使用z-score對數(shù)據(jù)進(jìn)行歸一化處理，得到標(biāo)準(zhǔn)數(shù)據(jù)集；

所述z-score為

所述為原始數(shù)據(jù)的均值，σ為原始數(shù)據(jù)的標(biāo)準(zhǔn)差；

所述標(biāo)準(zhǔn)數(shù)據(jù)集包括經(jīng)過字符串特征數(shù)值化和歸一化處理的10％訓(xùn)練子集和correct子集；