一种基于机器学习的入侵检测系统及方法技术方案

技术编号:19904071 阅读:26 留言:0更新日期:2018-12-26 03:06
本发明专利技术属于人工智能领域,公开了一种基于机器学习的入侵检测系统及方法,参考已有的网络安全模型和入侵检测模型,针对实际应用中的需求,构建一种基于机器学习的入侵检测系统框架;首先,采用特征选择方法降低入侵检测中安全数据高维度的特征维度;其次,采用粒子群优化人工神经网络的算法,用以提高检测准确率;第三,采用两种典型的聚类分析算法实现入侵检测中误报的消除。本发明专利技术构建的基于机器学习的入侵检测系统框架采用模块化的设计,具有一定的通用性,提出了一种新的入侵检测方法,将协议分析技术和聚类支持向量机相结合,提高聚类支持向量机的检测效率,通过计算机软件有效地改进算法,进一步提高检测率,降低了误报率。

【技术实现步骤摘要】
一种基于机器学习的入侵检测系统及方法
本专利技术属于人工智能
,尤其涉及一种基于机器学习的入侵检测系统及方法。
技术介绍
目前,业内常用的现有技术是这样的:随着互联网的快速发展,通信网络和信息系统成为一个脆弱的容易受到多种网络类型攻击的对象,网络安全变得越来越受关注,网络安全的威胁日益增加,基于智能网络建立一个高效的网络入侵检测系统非常必要,构筑安全系统存在多种困难:(1)系统软件、操作系统正变得越来越复杂,使得软件设计者在设计时无法预料程序运行时的系统状态,更无法精确地预测在不同系统状态下会发生什么结果,系统往往存在漏洞;(2)随着联网需求的日益增长,要将来自系统外部的服务请求完全隔离是不可能的;(3)组成计算机网络的某些关键技术也并非安全,如广泛应用的TCP/IP协议本身就有许多不完善之处。从根本上讲,绝对安全的计算机是根本不存在的,绝对安全的网络也是不存在的。即使再安全的系统,也可能有各种各样的漏洞。而校园网作为高校教育资源组建的基础平台,对网络安全和信息安全的要求也是极高的。随着校园网在不同领域的广泛应用,信息安全问题也就愈发突出。当前校园网的安全隐患包括有网络部件和环境的不安全因素,软件的不安全造成系统入侵和病毒泛滥。面对校园网络安全的现状,目前主要采取访问控制、数据加密、身份认证、防火墙、和入侵检测技术等措施,保障网络和信息系统的安全。入侵检测技术通过收集操作系统、系统程序、应用程序、以及网络流量包等信息,发现被监控系统或网络中违背安全策略,或危及系统安全的行为,是保障系统和网络安全的有效手段。虽然入侵检测系统有广泛的应用,但是仍然存在一定的问题,主要体现在产生警报的过程,即入侵检测过程,和警报的后期分析处理中。如何通过对这些警报有效并且高效的分析,最终达到对攻击行为的处理和防御,是关键的问题。具体来说,主要包含如下四点:(1)警报数量大(2)误报率高(3)安全事件信息孤立(4)入侵检测系统通用性差。入侵检测方法大致可以分为两类,误用检测(MisuseDetection)和异常检测(AnomalyDetection),误用检测的优点是误报率低,运行效率较高,缺点是只能检测已知模式的攻击行为,对现有攻击的简单变形都可能被忽略,误报率高;异常检测的优点是通用性强,可以检测出未知模式的攻击,缺点是误报和漏报率都较高。基于机器学习的入侵检测是网络安全领域研究的热点,它通过对带有入侵数据的大量训练样本的学习,构建一个用于区分正常状态和入侵状态的入侵检测模型。但目前仍然存在着许多有待解决的问题,如建立分类器模型所需要的训练样本过多、训练样本标注耗费大量时间且过分依赖于领域专业知识等问题。综上所述,现有技术存在的问题是:(1)现有的入侵检测系统和检测方法存在检测时间较长,检测精度低,误报、漏报率高。(2)现有的基于机器学习的入侵检测所需要的训练样本过多、训练样本标注耗费大量时间且过分依赖于领域专业知识。解决上述技术问题的难度和意义:由入侵检测系统和其它安全设备产生的警报数量通常较为庞大,过多的警报会影响系统的正常运行,依靠人工处理及其困难;在实际的入侵检测中,通常产生的警报中有百分之九十以上都是误报,这使得识别真正的报警更为困难;现有的入侵检测系统报警信息通常是由单一攻击行为触发的单一报警,同一次攻击可能会产生大量的警报,但是无法构建出真实的攻击场景,这难以实现对多步攻击、或复杂网络攻击的分析,同时对于网络威胁和网络态势分析,也难以提供有效的信息。研究警报的通用表示形式,促进不同入侵检测系统之间的协同,提高通用性,具有重要的意义。入侵检测核心在于检测方法,将真正的入侵或威胁数据与正常数据分离开,形成警报。因此,提高入侵检测的准确率、降低误报率和漏报率,一直是入侵检测的研究的关键问题之一。
技术实现思路
针对现有技术存在的问题,本专利技术提供了一种基于机器学习的入侵检测系统及方法。本专利技术是这样实现的,一种基于机器学习的入侵检测方法包括:首先,采用特征选择方法降低入侵检测中安全数据高维度的特征维度;其次,采用粒子群优化人工神经网络的算法,用以提高检测准确率;第三,采用两种典型的聚类分析算法实现入侵检测中误报的消除。进一步,基于机器学习的入侵检测方法具体包括以下步骤:步骤一:参考已有的网络安全模型和入侵检测模型,针对实际应用中的需求,构建一种基于机器学习的入侵检测系统框架;步骤二:按照特征的重要性进行排序,给出安全数据的特征序列,引入K近邻算法与支持向量机算法作为分类器,构建包裹式特征选择方法,按照分类器的效果选择特征子集,所选择的特征子集作为入侵检测方法的实验数据特征;步骤三:采用粒子群优化算法对径向基函数神经网络进行优化的方法,并实现相应的算法;步骤四:采用聚类分析对误报进行消除的方法,将入侵检测系统的警报结果中真实的警报和误报分离开;步骤五:基于历史数据和对应BMU最佳匹配神经元的距离,采用t分布原理,构建置信区间;步骤六:将协议分析技术和聚类支持向量机相结合,利用分类支持向量机(C-SVM)和单类支持向量机(OC-SVM)对网络入侵检测和网络异常检测;步骤七:采用基于特征压缩和分支剪裁的直推式网络异常检测方法,并采用VC++和matlab能将其实现。进一步,Fisher线性判别的方法是通过找一个投影方利用给定的训练数据,确定投影方向W和阈值y0,即确定线性判别函数,然后根据这个线性判别函数,对测试数据进行测试,得到测试数据的类别。进一步,ReliefF多分类回归算法从训练集D中随机选择一个样本R,然后从和R同的样本中寻找最近邻样本H,从和R不同类的样本中寻找最近邻样本M,根据规则更新每个特征的权重。进一步,mRMR最大相关最小冗余算法即最小冗余最大关联算法是把测试用数据输入matlab后选择MRMR算法进行分析,从而可以得到高预测精度数据,然后输出选好的特征,再利用SVM(支持向量机算法)进行分类。进一步,信息增益(InfoGain)是特征选择的一个重要指标,它定义为一个特征能够为分类系统带来多少信息,带来的信息越多,说明该特征越重要,相应的信息增益也就越大。进一步,K近邻(K-NearestNeighbor,KNN)算法与支持向量机(SupportVectorMachine,SVM)算法都是新兴的基于统计学理论的学习机,相对于神经网络的启发式学习方式和实现中带有很大的经验成分相比,SVM具有更严格的理论和数学基础,可以克服数据局部最小问题,解决小样本数据学习的泛化能力,不过分依赖样本数据的数量和质量。进一步,粒子群优化算法(PSO)是一种进化计算技术(evolutionarycomputation),源于对鸟群捕食的行为研究,粒子群优化算法是通过群体中个体之间的协作和信息共享来寻找最优解,在于简单容易实现并且没有许多参数的调节。进一步,采用聚类分析的基本算法步骤为:1、从D中随机取k个元素,作为k个簇的各自的中心;2、分别计算剩下的元素到k个簇中心的相异度,将这些元素分别划归到相异度最低的簇;3、根据聚类结果,重新计算k个簇各自的中心,计算方法是取簇中所有元素各自维度的算术平均数;4、将D中全部元素按照新的中心重新聚类;5、重复第4步,直到聚类结果不再变化;6、将结果输出。本专利技术的另一目的在本文档来自技高网
...

【技术保护点】
1.一种基于机器学习的入侵检测方法,其特征在于,所述基于机器学习的入侵检测方法包括:采用特征选择方法降低入侵检测中安全数据高维度的特征维度;采用粒子群优化人工神经网络的算法;采用两种典型的聚类分析算法实现入侵检测中误报的消除。

【技术特征摘要】
1.一种基于机器学习的入侵检测方法,其特征在于,所述基于机器学习的入侵检测方法包括:采用特征选择方法降低入侵检测中安全数据高维度的特征维度;采用粒子群优化人工神经网络的算法;采用两种典型的聚类分析算法实现入侵检测中误报的消除。2.如权利要求1所述的基于机器学习的入侵检测方法,其特征在于,所述基于机器学习的入侵检测方法具体包括以下步骤:步骤一:参考已有的网络安全模型和入侵检测模型,针对实际应用中的需求,构建一种基于机器学习的入侵检测系统框架;步骤二:按照特征的重要性进行排序,给出安全数据的特征序列,引入K近邻算法与支持向量机算法作为分类器,构建包裹式特征选择方法,按照分类器的效果选择特征子集,所选择的特征子集作为入侵检测方法的实验数据特征;步骤三:采用粒子群优化算法对径向基函数神经网络进行优化的方法,并实现相应的算法;步骤四:采用聚类分析对误报进行消除的方法,将入侵检测系统的警报结果中真实的警报和误报分离开;步骤五:基于历史数据和对应BMU最佳匹配神经元的距离,采用t分布原理,构建置信区间;步骤六:将协议分析技术和聚类支持向量机相结合,利用分类支持向量机和单类支持向量机对网络入侵检测和网络异常检测;步骤七:采用基于特征压缩和分支剪裁的直推式网络异常检测方法,并采用VC++和matl...

【专利技术属性】
技术研发人员:刘涛
申请(专利权)人:阜阳职业技术学院
类型:发明
国别省市:安徽,34

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1