[发明专利]一种可扩展的网络攻击行为分类方法

说明书

本发明公开了一种可扩展的网络攻击行为分类方法，包括对网络流量数据进行数据预处理；对网络流量数据的多维特征属性提取新特征表达和最优原特征集；通过分类模型训练获取用于网络行为攻击类别初步判定的模型相关参数；获取网络行为属于已知攻击类别和正常行为的权重值和新攻击类别的权重值综合判定网络行为攻击类别。本发明优化了对网络攻击行为的分类结果，并通过在网络流量数据多维特征属性中提取新特征表达和选择能够最大化表达数据特性的最优原特征集分别优化监督学习模型和非监督学习模型，能够在保证对已知攻击类别判定准确率的基础上有效识别新攻击类别。

技术领域

本发明涉及网络入侵检测领域，具体地说，是涉及一种可扩展的网络攻击行为分类方法。

背景技术

网络攻击行为分类是通过挖掘分析实时网络流量数据的内在特性和规律，建立网络攻击分类相关规则，以准确有效检测网络攻击行为，从而实现对网络环境的防护。

目前，网络攻击行为分类方法主要包括(1)人为构建网络攻击行为相关规则，符合规则的网络行为则为攻击行为(2)基于机器学习方法自动提取不同攻击行为类别的相关模式，符合任一模式的则为攻击行为(3)建立正常行为标准，和标准差距较大的则为网络攻击行为。但是前两种方法通常无法有效识别新攻击行为类别，而第三种方法检测效率低下、准确率不高、误判率较高。在网络环境日益普及的时代背景下，网络攻击行为变化多端且急剧增加，现有网络攻击行为分类方法需要进一步优化，能够有效检测各种网络恶意攻击行为，尤其是新出现的网络攻击类别，因此需要一种能有效解决上述问题的可扩展的网络攻击行为分类方法。

发明内容

本发明的目的在于提供一种可扩展的网络攻击行为分类方法，

为实现上述目的，本发明采用的技术方案如下：

包括以下步骤：

S10对网络流量数据进行预处理，分别包含有效化、均衡化、数字化、归一化四个过程；

S20利用深度学习中栈式稀疏自编码器模型对网络流量数据多维特征属性提取新特征表达，同时选择能最大化表达原数据特性的最优原特征集；

S30训练能够高性能检测已知攻击类别的监督学习模型和能有效检测新攻击类别的非监督学习模型，获取用于初步判定网络行为类别的参数；

S40分别获取基于监督学习模型相关参数获取网络行为属于已知攻击类别和正常行为的权重值和基于非监督学习模型相关参数获取网络行为属于新攻击类别的权重值；

S50结合正常行为、各种已知攻击类别和新攻击类别的权重值构建网络行为类别判定向量，输出权重值最大的类别即为网络行为的最终判定结果。

进一步地，所述栈式稀疏自编码器模型的代价函数公式如下：

E_S＝J_S+λ·J_weights+β·J_sparsity

进一步地，基于监督学习的正常行为和已知网络攻击类别权重值获取模型包括表示通过栈式稀疏自编码器模型获取网络流量数据的新特征表达的过程和网络流量数据的新特征表达作为深度学习中DNN、CNN或其他模型的输入，通过模型训练获取正常行为和已知攻击类别的判定参数和模型准确率ACC₁，分别计算网络行为的正常类别概率P_i和已知攻击类别的概率P₀，从而得到各种已知攻击类别的权重值w_i和正常行为权重值w₀，计算公式如下所示：

w_i＝ACC₁×P_i