[发明专利]基于多分类的入侵检测方法、装置及存储介质

说明书

本发明实施例公开了一种基于多分类的入侵检测方法、装置及存储介质，涉及网络安全领域。本发明的方法包括：对训练样本集中的各样本进行密度聚类，得到多个初始聚类簇，所述每个初始聚类簇中包括至少一个样本；基于所述多个初始聚类簇，在所述样本集中筛选至少一个异常样本；针对每个所述异常样本，计算与其相似度最高的初始聚类簇，并将所述异常样本合并入所述相似度最高的聚类簇；得到N个目标聚类簇；将所述N个目标聚类簇分别作为N个子分类器的训练样本集，对所述N个子分类器分别进行训练，得到入侵检测系统。本发明能够提高入侵检测系统对攻击入侵的检测准确率。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于多分类的入侵检测方法、装置及存储介质。

背景技术

随着计算机网络技术的迅速发展，网络技术在各个领域都得到了广泛的应用。计算机网络在给人们提供便利、带来效益的同时，网络攻击也对信息安全提出了很大的挑战。

为了防护网络攻击，可以在网络数据接入处增加入侵检测系统。目前的入侵检测系统中基于简单的聚类方法拟合样本分布，然而网络环境缺错综复杂，并伴随着入侵攻击类别的多样性、特征分布复杂性，导致入侵检测系统对攻击入侵的检测准确率较低，进一步导致网络中可能存在的潜在威胁未及时被检测发现。

发明内容

本发明的实施例提供一种基于多分类的入侵检测方法、装置及存储介质，能够提高入侵检测系统对攻击入侵的检测准确率。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种基于多分类的入侵检测方法，包括：

对样本集中的各样本进行密度聚类，得到多个初始聚类簇，所述每个初始聚类簇中包括至少一个样本；

基于所述多个初始聚类簇，在所述样本集中筛选至少一个异常样本；

针对每个所述异常样本，计算与其相似度最高的初始聚类簇，并将所述异常样本合并入所述相似度最高的聚类簇；

得到N个目标聚类簇；

将所述N个目标聚类簇分别作为N个子分类器的训练样本集，对所述N个子分类器分别进行训练，得到入侵检测系统。

结合第一方面，在第一方面的第一种可能的实现方式中，所述方法还包括：

将测试样本输入至所述入侵检测系统；

检测与所述测试样本相似度最高的异常样本；

将所述相似度最高的异常样本对应的聚类簇所训练的子分类器，作为所述测试样本的预测分类结果；

基于所述测试样本的分类标签与所述预测分类结果，对所述入侵检测系统进行训练。

结合第一方面，在第一方面的第二种可能的实现方式中，所述得到N个目标聚类簇包括：

迭代筛选异常样本及合并入相似度最高的聚类簇的步骤，直到剩余N个聚类簇为止，并作为所述N个目标聚类簇。

结合第一方面，在第一方面的第三种可能的实现方式中，所述N等于4；

所述将所述N个目标聚类簇分别作为N个子分类器的训练样本集，对所述N个子分类器分别进行训练，得到入侵检测系统包括：

将所述4个目标聚类簇分别作为4个子分类器的训练样本集，对所述4个子分类器分别进行训练，得到所述入侵检测系统，所述入侵检测系统由所述4个子分类器构成。

结合第一方面，在第一方面的第四种可能的实现方式中，所述基于所述多个初始聚类簇，在所述样本集中筛选至少一个异常样本包括：

响应于存在聚类簇中的样本数量小于M个，将所述聚类簇中的各样本均作为所述异常样本；其中，所述M等于3或6。