本發明公開了一種自適應更新的網絡入侵檢測方法，通過特征空間映射，在不同的特征空間下訓練多個分類模型；多個分類模型協同進行入侵檢測；多個分類模型根據當前樣本分布與歷史樣本分布的差異自動更新觸發；多個分類模型協同進行自適應更新。本發明通過周期性的計算新收集的樣本分布與歷史樣本分布相對熵變化情況，自動確定入侵檢測模型觸發更新的時機；以及通過多分類模型協同學習，實現入侵檢測模型的自適應更新，更能適應環境的變更。

技術領域

本發明涉及網絡空間安全技術領域，具體的說，是一種自適應更新的網絡入侵檢測方法。

背景技術

隨著大數據、人工智能時代的到來，互聯網攻擊模式呈現多樣化、規模化和智能化，且攻擊持續時間更長、速度更快、實施成本更低。攻擊者多采用集團化運作，大多攻擊目標明確，主要針對企事業單位的核心業務系統，綜合利用了漏洞、社工、新型木馬等手段。

傳統的網絡入侵檢測利用了機器學習模型，而傳統的機器學習模型以結構化風險最小為理論為基礎，認為只要模型在訓練樣本集上滿足經驗風險和置信風險最小化，就可以獲得數據擬和與推廣、泛化能力的平衡。然而在網絡環境下，我們將機器學習模型用于網絡異常數據檢測，所要面臨的問題不僅是結構化風險最小。我們還要面臨網絡數據環境的變化：歷史數據的經驗分布可能已經發生變化，僅靠在歷史數據上訓練出的模型結構化風險最小并不能保證模型能夠適應變化了的數據環境，因此傳統的網絡入侵檢測方法存在以下問題：

1）現有的網絡入侵檢測模型不能自動感知網絡環境變化進而自動觸發入侵檢測模型的自動更新；

2）現有的網絡入侵檢測模型不能在觸發更新后，在僅有少量已標記樣本的情況下使模型具備自動更新學習的能力。

傳統的入侵檢測技術已難以適應日益復雜、多變的網絡環境，不能對網絡中存在的各類已知和未知安全威脅的快速檢測與識別。我們需要尋求新的方法使機器學習模型能夠自適應的進行更新訓練，以適應環境的變更，以解決復雜網絡環境下安全威脅的發現。

發明內容

本發明的目的在于提供一種自適應更新的網絡入侵檢測方法，用于解決傳統的網絡入侵檢測方法不能自動觸發入侵檢測模型的自動更新、不具備自動更新學習的能力、不能適應環境的變更的問題。

本發明通過下述技術方案解決上述問題：

一種自適應更新的網絡入侵檢測方法，包括：

步驟S100：通過特征空間映射，在不同的特征空間下訓練多個分類模型；

步驟S200：多個分類模型協同進行入侵檢測；

步驟S300：多個分類模型根據當前樣本分布與歷史樣本分布的差異自動更新觸發；

步驟S400：多個分類模型協同進行自適應更新。

本發明訓練生成的多個分類模型，通過協同學習，實現入侵檢測模型的自適應更新；采用周期性的計算新收集的樣本分布與歷史樣本分布相對熵變化情況，自動確定入侵檢測模型觸發更新的時機；能夠適應環境的變更。

所述步驟S100具體包括：

步驟S110：收集初始已標記樣本集Data_original，Data_original={x_i,y_i|x_i∈R^d,1≤i≤L}，其中R^d代表d維實數向量集，x_i在每一維的值代表一種網絡數據流特征值，取值包括網絡入侵檢測數據流特征中的源IP、目的IP、源端口、目的端口、TTL時長、session會話錯誤、包負載大小、數據包負載特征值及其線性組合，L為已標記樣本數量，y_i代表樣本x_i的標簽類別，y_i∈{‘正常’,‘異常’}；