[发明专利]一种基于集成学习的入侵检测方法

说明书

技术领域

本发明属于网络信息安全技术领域，尤其涉及一种基于集成学习的入侵检测方法。

背景技术

随着Internet技术的飞速发展，网络安全的重要性及其对社会的影响越来越大，网络安全问题也越来越突出，并逐渐成为Internet及各项网络服务和应用进一步发展所亟需解决的关键问题。此外网络入侵和攻击行为正朝着分布化、规模化、复杂化、间接化等趋势发展，势必对安全产品技术提出更高的要求。

入侵检测是对入侵行为的检测，入侵检测系统通过收集网络及计算机系统内所有关键节点的信息，检查网络或系统中是否存在违反安全策略行为及被攻击迹象。入侵检测的数据来源是各种网络安全设备(如防火墙、IDS、IPS等)的日志，这些设备会实时的记录每个时间监测点目标网络的活动情况以便分析目标网络的运行情况。入侵检测技术的理论来源是模式识别中分类问题，将各种网络攻击抽象成一个已知类别，将网络安全设备的历史运行日志作为训练样本集使用人工智能算法通过训练学习得到多分类模型，即入侵检测系统。目前入侵检测的解决方案，主要是利用神经网络、支持向量机等单学习机方法，单学习机的方法误差相对较大、易出现过拟合现象、计算过程复杂。

入侵检测系统的核心性能要求是准确性和实时性，目前基于单学习机的解决方案在这两方面均有不足。为了改善入侵检测系统的准确性，本发明采用集成学习Boosting算法设计入侵检测系统，集成学习Boosting算法的最大优势在于通过对弱学习算法的反复迭代训练从而得到高精度的分类模型。为了改善入侵检测系统的实时性，本发明分别在特征提取阶段和集成学习Boosting算法的弱学习算法选择上使用核主成分分析和核心向量机，从而使得在尽量不降低精度的情况下提高入侵检测系统的速度。

为此本发明采用集成学习Boosting算法设计入侵检测系统，有效改善了入侵检测系统精度和实时性。

发明内容

针对上述背景技术中提到的单学习机方法误差较大、易出现过拟合现象、计算过程复杂等不足，本发明提出了一种基于集成学习的入侵检测方法。

本发明的技术方案是，一种基于集成学习的入侵检测方法，其特征是所述方法包括以下步骤：

步骤1：使用核主成分分析从网络安全设备日志的属性x₁，x₂，L，x_n中提取入侵检测所需要的时间监测点i的特征数据

步骤2：将特征数据结合时间监测点i的网络安全态势yⁱ构造成集成学习Boosting算法中弱学习算法可读的训练样本集S_train；

步骤3：利用集成学习Boosting算法对训练样本集S_train进行迭代训练得到满足误差要求的弱学习机序列h，再利用对弱学习机序列h加权求和的方法得到强学习机H；

步骤4：利用强学习机H完成当前入侵检测分析。

所述弱学习算法为核心向量机。

所述步骤1包括以下步骤：

步骤1.1：将属性x₁，x₂，L，x_n的数据利用核函数变换Φ：从Rⁿ空间映射到Hilbert空间，得到Hilbert空间中的数据Φ1i(x),Φ2i(x),Λ,Φni(x);]]>

步骤1.2：在Hilbert空间中计算各分量的协方差矩阵C；

步骤1.3：求解协方差矩阵C所对应的特征方程λυ＝Cυ中的特征值及非零特征值对应的特征向量υ，并将特征向量υ的表达式为