[发明专利]一种基于多层检测的网络攻击类型识别方法

说明书

本发明涉及一种基于多层检测的网络攻击类型识别方法，属于信息安全技术领域。具体操作步骤为：步骤一、获取原始训练数据，并做预处理。步骤二、构建集成分类模型。步骤三、训练集成分类模型。步骤四、对测试数据进行预处理。步骤五、对测试数据进行分类。本专利提出的一种基于多层检测的网络攻击类型识别方法与已有技术相比较，有如下有点：①采用smote算法对少数样本升采样，对多数样本降采样，解决数据集样本不平衡问题。②采用集成模型，提高了检测的精确率与召回率。③将果蝇优化算法FOA与支持向量机SVM结合，实现SVM中参数C和gamma的最优和自适应选择。

技术领域

本发明涉及一种基于多层检测的网络攻击类型识别方法，属于信息安全技术领域。

背景技术

在网络空间中，近年来的网络攻击数量和规模上都急剧增加，基本的主要网络攻击类型包括拒绝服务(Denial of Service，DoS)、未授权的远程主机访问(Remote-to-Login，R2L)、未经授权获取超级用户访问(User-to-Root，U2R)、监听探测(Probing)等，上述每一类攻击又包括多个子攻击类型。有效的检测这些网络攻击，部署高效的入侵检测系统已成为刻不容缓的当务之急。

目前比较常用的网络攻击检测方法有：①基于规则的检测方法，缺点是难以检测新的入侵，而且编辑这些规则非常耗时，高度依赖已知的入侵知识库。②依赖于网络流特征分布的熵值检测方法，缺点是熵表示随机性，不会扰乱随机性的异常流不会被检测到。③基于机器学习的检测方法，如神经网络，支持向量机，聚类算法等。基于机器学习的检测方法可以检测新的入侵，普遍应用于当前的入侵检测中，但是数据的不平衡性和算法模型的参数对检测结果的影响很大。

发明内容

本发明的目的是解决网络攻击检测数据集不平衡，网络攻击分类算法精确率和召回率低的问题，提出一种基于多层检测的网络攻击类型识别方法。

本发明是通过以下技术方案实现的。

本发明提出的一种基于多层检测的网络攻击类型识别方法，其具体操作步骤如下：

步骤一、获取原始训练数据，并做预处理。

步骤1.1：获取网络攻击数据，组成原始训练数据集。所述网络攻击数据包括数值型特征和字符离散型特征。所述字符离散型特征包括：协议类型、服务类型和连接错误标识。

步骤1.2：将原始训练数据集中的每条原始训练数据转换成一个数值型的原始训练数据特征向量。具体为：

步骤1.2.1：从每条数据中抽取出字符离散型特征，分别以one-hot向量形式进行编码，一个字符离散型特征对应得到一个one-hot向量。

步骤1.2.2：利用每条数据中的数值型特征的值，构建一个数值型的特征向量；

步骤1.2.3：将步骤1.2.2中所述数值型的特征向量与步骤1.2.1得到的全部one-hot向量进行合并。

经过上述步骤的操作，对应一条原始训练数据，得到一个数值型的原始训练数据特征向量。

步骤1.3：通过数据降采样和数据升采样，解决原始训练数据集的各类型数据的数量不平衡问题。具体为：

情况1：如果原始训练数据集中某种类型(用符号A表示)的数据数量远多于其它类型的数据数量，则采用数据降采样方法减少A类型的数量，具体为：从A类型的数据中随机抽取出一部分数据，以减少A类型数据。

情况2：如果原始训练数据集中某种类型(用符号B表示)的数量远低于其它类型数据的数量，则采用数据升采样方法，增加B类型数据的数量。

所述数据升采样的算法为SMOTE(Synthetic Minority OversamplingTechnique，合成少数过采样技术)算法。