本發(fā)明公開一種基于大規(guī)模網(wǎng)絡(luò)流的多路學(xué)習(xí)入侵檢測方法，訓(xùn)練階段，先通過將大流量網(wǎng)絡(luò)中的數(shù)據(jù)根據(jù)網(wǎng)絡(luò)協(xié)議類型劃分成TCP，UDP和Other三種協(xié)議類型的小數(shù)據(jù)流，再通過K?means算法和同質(zhì)性度量對入侵的網(wǎng)絡(luò)數(shù)據(jù)進行特征選擇，并使用特征選擇之后的訓(xùn)練數(shù)據(jù)集訓(xùn)練模型；實測階段，基于網(wǎng)絡(luò)協(xié)議類型將網(wǎng)絡(luò)中的大流量數(shù)據(jù)劃分成幾種小的數(shù)據(jù)流，然后對劃分之后的數(shù)據(jù)流兩階段檢測。本發(fā)明可以更好的識別網(wǎng)絡(luò)中的攻擊類型，有效的提升網(wǎng)絡(luò)入侵檢測系統(tǒng)對大流量數(shù)據(jù)的檢測性能。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)入侵檢測技術(shù)領(lǐng)域，具體涉及一種基于大規(guī)模網(wǎng)絡(luò)流的多路學(xué)習(xí)入侵檢測方法。

背景技術(shù)

隨著網(wǎng)絡(luò)范圍和規(guī)模的不斷擴大，網(wǎng)絡(luò)中的數(shù)據(jù)量正在以指數(shù)形式增長，分析和檢測網(wǎng)絡(luò)數(shù)據(jù)的攻擊類型難度也在加大。由于網(wǎng)絡(luò)流中的數(shù)據(jù)量大難以處理，現(xiàn)有的入侵檢測系統(tǒng)處理海量數(shù)據(jù)的效率過低，無法高效的檢測大網(wǎng)絡(luò)流中的惡意攻擊，嚴(yán)重制約了入侵檢測系統(tǒng)的實際應(yīng)用和未來發(fā)展。

近年來，機器學(xué)習(xí)由于其良好的分類性能，逐漸被應(yīng)用于入侵檢測領(lǐng)域。該技術(shù)先通過學(xué)習(xí)網(wǎng)絡(luò)數(shù)據(jù)的特征建立模型，再利用分類算法對建模后的數(shù)據(jù)進行分類。入侵檢測領(lǐng)域最常用的機器學(xué)習(xí)算法有樸素貝葉斯、隨機森林、SVM和K-近鄰等。Saleh等人提出了一種能夠?qū)崟r有效應(yīng)對多分類問題的入侵檢測系統(tǒng)。首先使用NB對數(shù)據(jù)進行降維，然后使用優(yōu)化后的SVM完成對異常值的剔除，最后使用K-近鄰算法對剔除異常值后的數(shù)據(jù)進行分類。任家東等人提出基于K-近鄰算法和隨機森林相結(jié)合的入侵檢測方法，首先采用K-近鄰算法對數(shù)據(jù)集進行預(yù)處理，然后基于新獲得的數(shù)據(jù)集使用隨機森林算法訓(xùn)練分類器。但是這些方法在入侵檢測過程中往往會出現(xiàn)過度擬合、冗余特征導(dǎo)致的高偏置問題，而且這些方法對于大流量數(shù)據(jù)中的攻擊類型不能進行有效的學(xué)習(xí)和檢測。

發(fā)明內(nèi)容

本發(fā)明所要解決的是現(xiàn)有入侵檢測系統(tǒng)無法對大流量網(wǎng)絡(luò)中的攻擊類型進行高效檢測的問題，提供一種基于大規(guī)模網(wǎng)絡(luò)流的多路學(xué)習(xí)入侵檢測方法。

為解決上述問題，本發(fā)明是通過以下技術(shù)方案實現(xiàn)的：

基于大規(guī)模網(wǎng)絡(luò)流的多路學(xué)習(xí)入侵檢測方法，包括步驟如下：

步驟1、收集網(wǎng)絡(luò)攻擊數(shù)據(jù)集，并根據(jù)網(wǎng)絡(luò)協(xié)議類型將收集到的網(wǎng)絡(luò)攻擊數(shù)據(jù)集劃分為3個協(xié)議子數(shù)據(jù)集，即TCP協(xié)議子數(shù)據(jù)集、UDP協(xié)議子數(shù)據(jù)集和Other協(xié)議子數(shù)據(jù)集；

步驟2、分別對3個協(xié)議子數(shù)據(jù)集進行數(shù)據(jù)預(yù)處理，得到3個預(yù)處理后的協(xié)議子數(shù)據(jù)集；

步驟3、對于每個預(yù)處理后的協(xié)議子數(shù)據(jù)集：先使用K-means聚類算法進行聚類，將每個預(yù)處理后的協(xié)議子數(shù)據(jù)集聚類；再使用同質(zhì)性度量計算每個特征的特征得分；后將特征得分與預(yù)設(shè)的得分閾值進行比較，保留特征得分大于得分閾值的特征，由此得到特征選擇后的協(xié)議子數(shù)據(jù)集；

步驟4、利用3個特征選擇后的協(xié)議子數(shù)據(jù)集對3個深度神經(jīng)網(wǎng)絡(luò)進行訓(xùn)練，得到3個深度神經(jīng)網(wǎng)絡(luò)模型，即TCP深度神經(jīng)網(wǎng)絡(luò)模型、UDP深度神經(jīng)網(wǎng)絡(luò)模型和Other深度神經(jīng)網(wǎng)絡(luò)模型；

步驟5、根據(jù)網(wǎng)絡(luò)協(xié)議類型對實時采集到的網(wǎng)絡(luò)流量數(shù)據(jù)進行分類，確定該網(wǎng)絡(luò)流量數(shù)據(jù)的協(xié)議類型；

步驟6、對網(wǎng)絡(luò)流量數(shù)據(jù)進行數(shù)據(jù)預(yù)處理，得到預(yù)處理后的網(wǎng)絡(luò)流量數(shù)據(jù)；

步驟7、先將預(yù)處理后的網(wǎng)絡(luò)流量數(shù)據(jù)送入到sigmoid分類器進行二分類，將其劃分為正常流量和異常流量兩種；再將屬于異常流量的預(yù)處理后的網(wǎng)絡(luò)流量送入到對應(yīng)協(xié)議類型的深度神經(jīng)網(wǎng)絡(luò)模型中，由此確定該網(wǎng)絡(luò)流量數(shù)據(jù)所屬的攻擊類型。

上述步驟2和6中，對協(xié)議子數(shù)據(jù)集和網(wǎng)絡(luò)流量數(shù)據(jù)進行數(shù)據(jù)預(yù)處理包括數(shù)值化和歸一化。

上述步驟3中，特征得分h為：