[发明专利]一种基于SA-iForest的网络入侵异常检测方法

说明书

本发明公开了一种基于SA‑iForest的网络入侵异常检测方法，属于网络安全领域。首先通过对训练集随机选择属性训练出多棵iTree，通过交叉验证计算出它们的异常检测精度，同时采用Q‑统计量计算出iTree之间的差异性，然后把精确度和差异性作为iTree挑选标准，根据iTree的差异性和精确度，利用模拟退火算法从初始森林中选出比较优秀的iTree来构建集成iForest，然后对测试集进行测试统计出其异常分值，完成对网络入侵异常检测。该方法不仅减小了iTree的集成规模而且利用模拟退火优化算法的快速收敛性来提高网络入侵异常检测效率，同时还提高了算法的泛化能力和预测性能。

技术领域

本发明涉及网络安全领域，尤其是一种基于SA-iForest的网络入侵异常检测方法。

背景技术

随着网络技术的飞速发展和网络规模的不断扩大，网络安全问题日趋严重。入侵检测作为维护网络安全的一项重要技术，俨然已成为信息安全领域一个重要的研究内容，获得了众多专家学者的广泛关注。入侵检测技术主要是通过分析相关的网络数据来判断系统中是否存在违背系统安全或安全策略的行为。

Isolation Forest算法的设计利用了异常数据的两个特征：极少且与众不同。即异常数据对象个数占数据集总体规模的比重较小，其次异常数据的属性值与正常的属性值相比存在明显差异。当在仅包含数值类型的训练集中，对数据对象进行递归地划分，直至每个数据对象都由一棵称为iTree的二叉树与其他对象区别开来。显然异常对象距离树的根节点较近，即路径长度较短，反映了仅需少量条件就可将异常对象与其他对象区别。

与其他异常检测算法相比，Isolation Forest没有利用距离或密度来检测异常，这消除了基于距离和密度方法的计算量。利用异常数据少且与众不同的特点，使得它们与正常数据快速分离，具有较低的线性时间复杂度。虽然Isolation Forest算法在异常检测方面取得较好的效果，但仍存在一些不足之处：

(1)Isolation Forest算法对数据集进行异常检测的精确度与iTree的数目相关，而构建大规模iTree需要耗费大量内存，同时导致更大的计算。

(2)由于iTree数量过多，iTree之间的差异将越来越不明显，其异常检测的精确度参差不齐，存在一些性能较差的iTree，造成了空间浪费。

(3)Isolation Forest算法基于单个计算节点设计，其处理的数据规模受内存最大容量限制，处理海量数据较为困难。

发明内容

本发明要解决的技术问题是：提出一种基于SA-iForest的网络入侵异常检测方法，克服了传统的网络入侵检测方法检测精度低、泛化能力差等缺点。利用模拟退火的思想选择精度高和有差异性的iTree来优化iForest，使得该算法泛化能力提高，进一步提高了预测性能，同时去掉冗余iTree以减少iForest的存储空间、降低预测计算量、加快预测速度。

本发明的目的是这样实现的：

一种基于SA-iForest的网络入侵异常检测方法，其特征在于，包括如下步骤：