[发明专利]一种基于集成机器学习算法的双模式入侵检测装置

说明书

本发明提供一种基于集成机器学习算法的双模式入侵检测系统，包括监控模块、网络入侵检测模块、智能入侵检测模块、串联检测模块及告警模块；监控模块用于根据监控策略从网络流量中获取流量数据；网络入侵检测模块利用入侵检测规则对流量数据进行匹配，若匹配到“黑”规则的流量数据时，启动告警模块，对于未匹配到规则的流量数据，则将其转发至智能入侵检测模块；智能入侵检测模块集成多种机器学习入侵检测算法，利用入侵检测算法分别对接收的流量数据进行检测，当检测结果为攻击流量时，启动告警模块；告警模块在被启动的情况下，发出告警信号或者进行阻断。该系统将两种检测技术结合起来共同检测网络攻击行为，大大提升了检测的精度和检测性能。

技术领域

本发明涉及一种基于集成机器学习算法的双模式入侵检测装置，属于入侵检测技术领域。

背景技术

在网络入侵检测利用的现有技术中，当前最多的还是使用基于攻击特征的规则匹配方式，近几年国内外也有使用各种机器学习算法进行入侵检测的研究出现。NSL-KDD入侵检测数据集包含一类正常数据和四种攻击类型的数据，是网络安全领域最为经典的数据，解决了KDD99数据中存在大量冗余和重复数据的问题。很多研究者利用各种分类算法对该数据集进行了研究，主要有DecisionTree,Naive Bayes，Random Forest,Kneighbors、LogisticRegression、KNN、SVM、CNN、DNN等。根据Mahbod Tavallaee的对比分析，各种分类算法在KDDTest+的准确率最高是NB Tree算法准确率达到82.02％。Herve Nkiamaden等人在论文中提出了一种特征消除算法RFE，然后使用DecisionTree分类提高检测效果，但在实验中对DOS等四种攻击类型的数据进行单独训练和测试，实际是一种二分类方法，并且统计了交叉验证的结果，这种训练方式与现实入侵检测方法有一定的差别，实用价值不高。BIngre等人利用人工神经网络对NSL-KDD数据集进行训练，使用了全量的测试集数据进行验证，二分类和五分类的准确率分别是81.2％和79.9％，相比其他文献该结果更客观。

此外，张子辰等人设计的一种基于MLP的入侵检测方法，将多层感知机模型与可执行文件或日志的统计特征相结合，提高了入侵检测的精确度。刘勤让等人设计的一种基于时序神经网络的网络入侵检测方法及装置，通过采用GRU网络，在LSTM基础上进一步简化了网络结构，不仅可以有效解决了RNN中存在的不足，而且相比于LSTM更贴近于网络实时性的要求。张爽等人设计的基于加权距离度量以及矩阵分解的入侵检测方法及装置，对原始数据集进行预处理，基于所述加权闵可夫斯基距离度量和预定的聚类算法对预处理后的数据集进行检测，获得检测结果。但该方法并未提供验证数据证明，难以评估实际效果。吴巍等人设计的一种基于深度学习的移动自组织网络入侵检测方法与设备，将检测为异常的网络行为特征向量进行存储并用来训练深度神经网络，当这些入侵类型再次发生时，就能被检测识别。该文章中使用的受限玻尔兹曼机和反向传播(BackPropagation)神经网络是业界公开算法。张石等人设计的一种适用于入侵检测的分类方法，实现不均衡训练数据集的均衡化预处理，采用Bagging集成学习方法训练出基于SVM的集成分类器。

综上分析，近些年的研究主要集中在检测精度上的提升，大部分使用某种特定算法改进检测效果，有了一些效果。但每种算法都有瓶颈，尤其是多分类检测场景，不可能做到任何类型的检测都是最优。而且，当前的网络安全防御场景中，仍然以规则匹配的检测技术及产品为主。虽然传统方式灵活性和自适应性不好，但对于已知攻击的检测规则几乎没有误报，因此也有一定的优势。机器学习和规则匹配检测方式各有优劣，大部分现有技术都只采取了一种检测方式，因而存在瓶颈。

现有技术中存在如下缺陷：