[发明专利]一种面向网络的入侵数据检测方法

说明书

本发明公开了一种面向网络的入侵数据检测方法，所述方法包括如下步骤：首先将网络流量数据进行属性降维，然后把数据输入至数据检测模型；所述检测模型根据决策规则对所述网络流量数据进行处理，检测入侵数据。本发明有助于实现高效、高精度、低误警的入侵检测，提高检测效率。

技术领域

本发明涉及网络入侵检测和特征降维技术领域，特别是涉及一种面向网络的入侵数据检测方法。

背景技术

防火墙、恶意软件预防、数据加密和用户身份验证，对当代网络攻击仍然无法提供完全的保护，构成了一套必要但不完整的系统工具来保护计算机和网络免受今天的攻击。入侵检测系统与其它安全系统可以相互补充。一般来说，入侵检测系统是一种主动系统，它不断地监视和分析网络流量，以确定是否偏离了预期行为。入侵检测系统的第一种方法是基于签名的入侵检测，它通过分析网络数据包来对预先定义的攻击签名进行分类。因此，这种方法不能识别新的攻击。

相反，基于异常的检测可以通过网络流量来检测任何偏离正常活动的行为以识别未知攻击。该方法利用数据挖掘技术等方法，预先定义了一个可信系统行为模型。观察到的事件和行为可分为正常或异常。该领域的研究主要集中在提高入侵检测系统的精度和效率。基于异常的入侵检测方法已具有良好的应用前景，本方法已被广泛采用，并且成为入侵检测领域的研究热点。此背景下，各种机器学习技术被用来构建一个有效的入侵检测系统，包括贝叶斯网络、马尔可夫模型和支持向量机等。

尽管取得了一些进展，但庞大的数据量对入侵检测系统构成了一个根本性的挑战，不断增长的计算和存储复杂性导致分类结果不满意。对这样的数据集进行分类可能会遇到许多困难，这些困难可能会降低分类器的性能，或者由于内存不足导致完全失败。此外，预处理大容量数据集在处理冗余数据、噪声数据等方面也面临着严重的挑战，影响了分类的效率。

发明内容

针对现有技术的不足，本发明的目的在于提供一种面向网络的入侵数据检测方法，以解决现有技术中存在的数据集分类困难、分类效率低的问题。

为解决上述技术问题，本发明所采用的技术方案是：

一种面向网络的入侵数据检测方法，所述方法包括如下步骤：

将网络流量数据输入至数据检测模型；

所述检测模型根据决策规则对所述网络流量数据进行处理，获取攻击数据。

进一步的，所述检测模型的建立方法包括：

对训练数据集进行降维处理，获取最优输入子集；

通过所述最优输入子集对组合分类器进行训练，获取数据检测模型。

进一步的，所述最优输入子集的获取方法包括：

获取训练数据中每个属性的信息增益；

选取所述信息增益大于0.5的属性作为输入子集；

获取所述输入子集中属性的特征值；

选取所述输入子集中特征值大于0.5的属性作为最优输入子集。

进一步的，所述信息增益的获取方法包括：

所述信息增益通过如下公式获取：

Gain(T)＝I(d₁，...，dm)-E(T) (1)，

式中，Gain(T)为信息增益，I(d1,d2,...dm)为数据属性的信息熵，E(T)为属性T的条件熵；

其中，