用于网络入侵检测的方法、终端及存储介质技术

本发明专利技术提供一种用于网络入侵检测的方法、终端及存储介质。该方法包括：对基础数据集进行预处理，获得对网络入侵检测模型进行训练的样本数据集；其中，预处理包括：one

【技术实现步骤摘要】
用于网络入侵检测的方法、终端及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种用于网络入侵检测的方法、终端及存储介质。

技术介绍

[0002]入侵检测作为网络安全的一个重要领域，在及时发现异常数据，维护网络安全方面具有重要的作用。传统的入侵检测算法主要分为误用入侵检测和异常入侵检测。误用入侵检测首先利用已知入侵行为构建入侵行为数据库，接着通过将网络中的数据流量与数据库中特征行为进行模式匹配，来判断数据流量异常与否。若匹配成功，则将其断定为入侵行为，若未匹配成功，则将其断定为正常行为。由于该方法需要使用已知的入侵行为提前构建入侵行为数据库，因此无法检测出未知的入侵行为，将导致大量的未知入侵行为被判断为正常行为，提高了漏检率。异常入侵检测反其道而行之，利用正常行为构造特征行为库。通过将网络中的数据流量与数据库中特征行为进行模式匹配。若匹配成功，则断定为正常数据，若匹配失败，则断定为异常数据。该方法虽然能有效地找到未知的入侵行为，但大量正常行为被误判为入侵行为导致该方法的误检率提高。
[0003]目前，无监督聚类算法常用来分析未加类别标识的入侵检测样本数据，然后根据聚类结果判断被检测数据是正常行为还是异常行为。然而，无监督聚类算法对样本重要性同等看待或者基于人工经验加权，导致聚类效果不理想，网络入侵检测方案的精确度低。

技术实现思路

[0004]本专利技术实施例提供了一种用于网络入侵检测的方法、终端及存储介质，以解决现有网络入侵检测方案的精确度低的问题。
[0005]第一方面，本专利技术实施例提供了一种用于网络入侵检测的方法，包括：
[0006]对基础数据集进行预处理，获得对网络入侵检测模型进行训练的样本数据集；其中，所述预处理包括：one
‑
hot编码、标准化和数据归一化；所述样本数据集中包括多条样本数据；
[0007]根据样本数据与样本数据集中其他各条样本数据之间距离的倒数对各样本数据进行加权；
[0008]根据各样本数据及对应的权重计算样本数据集的加权平均值；
[0009]以所述加权平均值作为模糊C均值(Fuzzy C
‑
means，FCM)聚类算法的模糊聚类中心，并结合样本数据集训练网络入侵检测模型，以通过所述网络入侵检测模型实现对网络入侵检测。
[0010]在一种可能的实现方式中，所述样本数据集中各样本数据包括多个特征；
[0011]在所述获得对网络入侵检测模型进行训练的样本数据集之后，还包括：
[0012]根据XGBoost算法对样本数据的各个特征进行加权，并剔除小于设定权重的特征，获得更新后的样本数据集。
[0013]在一种可能的实现方式中，在所述剔除小于设定权重的特征之后，还包括：
[0014]将各个特征的特征权重进行归一化；
[0015]将样本数据的各个特征值与对应的特征权重相乘作为更新后的特征值。
[0016]在一种可能的实现方式中，以所述加权平均值作为FCM聚类算法的模糊聚类中心，并结合样本数据集确定网络入侵检测模型，包括：
[0017]初始化隶属度矩阵；
[0018]以所述加权平均值作为FCM聚类算法的模糊聚类中心，并进行迭代更新隶属值；
[0019]在所述隶属值在最新的两次迭代中改变量小于设定阈值时，输出目标隶属度矩阵，并以所述目标隶属度矩阵进行去模糊化确定网络入侵检测模型。
[0020]在一种可能的实现方式中，所述模糊聚类中心为：
[0021][0022]其中，M
ij
为模糊聚类中心；n为样本数据集中样本数据的数量；x为样本数据集中样本数据；μ为隶属值，
[0023]在一种可能的实现方式中，以所述加权平均值作为FCM聚类算法的模糊聚类中心，并进行迭代更新隶属值，包括：
[0024]更新拉格朗日乘子：
[0025][0026]其中，λ
j
为拉格朗日乘子；M
ij
为模糊聚类中心，i＝1,
…
,c；j＝1,
…
,n，c为类别数；m为模糊参数；
[0027]更新隶属值：
[0028][0029]其中，μ
ij
为隶属值；λ
j
为拉格朗日乘子；M
ij
为模糊聚类中心，i＝1,
…
,c，j＝1,
…
,n，c为类别数；m为模糊参数。
[0030]在一种可能的实现方式中，所述预处理还包括：在one
‑
hot编码之前，若存在字符型数据，则将字符型数据转换为数值型数据。
[0031]在一种可能的实现方式中，所述预处理还包括：在数据归一化之后，若存在缺失值，则对缺失值进行填充。
[0032]第二方面，本专利技术实施例提供了一种终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上第一方面或第一方面的任一种可能的实现方式所述方法的步骤。
[0033]第三方面，本专利技术实施例提供了一种计算机可读存储介质，所述计算机可读存储
介质存储有计算机程序，所述计算机程序被处理器执行时实现如上第一方面或第一方面的任一种可能的实现方式所述方法的步骤。
[0034]本专利技术实施例提供一种用于网络入侵检测的方法、终端及存储介质，通过对基础数据集进行预处理，获得对网络入侵检测模型进行训练的样本数据集，其中，预处理包括：one
‑
hot编码、标准化和数据归一化，样本数据集中包括多条样本数据，对基础数据集进行预处理，提高网络入侵检测模型的训练的效率及精确度。根据样本数据与样本数据集中其他各条样本数据之间距离的倒数对各样本数据进行加权，根据各样本数据及对应的权重计算样本数据集的加权平均值，以加权平均值作为FCM聚类算法的模糊聚类中心，并结合样本数据集训练网络入侵检测模型，以通过网络入侵检测模型实现对网络入侵检测。本方案基于样本数据之间距离的倒数对样本数据集中各样本数据进行加权，以体现出各样本数据的不同重要程度，区分不同样本数据对于聚类结果的影响，提高了聚类的有效性，改善对于网络入侵检测的精确度。
附图说明
[0035]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0036]图1是本专利技术实施例提供的用于网络入侵检测的方法的实现流程图；
[0037]图2是本专利技术实施例提供的用于网络入侵检测的方法的实现流程图；
[0038]图3是本专利技术实施例提供的用于网络入侵检测的方法的实现流程图；
[0039]图4是本专利技术实施例提供的终端的示意图。
具体实施方式
[0040]以下描本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于网络入侵检测的方法，其特征在于，包括：对基础数据集进行预处理，获得对网络入侵检测模型进行训练的样本数据集；其中，所述预处理包括：one
‑
hot编码、标准化和数据归一化；所述样本数据集中包括多条样本数据；根据样本数据与样本数据集中其他各条样本数据之间距离的倒数对各样本数据进行加权；根据各样本数据及对应的权重计算样本数据集的加权平均值；以所述加权平均值作为模糊C均值FCM聚类算法的模糊聚类中心，并结合样本数据集训练网络入侵检测模型，以通过所述网络入侵检测模型实现对网络入侵检测。2.根据权利要求1所述的方法，其特征在于，所述样本数据集中各样本数据包括多个特征；在所述获得对网络入侵检测模型进行训练的样本数据集之后，还包括：根据XGBoost算法对样本数据的各个特征进行加权，并剔除小于设定权重的特征，获得更新后的样本数据集。3.根据权利要求2所述的方法，其特征在于，在所述剔除小于设定权重的特征之后，还包括：将各个特征的特征权重进行归一化；将样本数据的各特征值与对应的特征权重相乘作为更新后的特征值。4.根据权利要求1至3任一项所述的方法，其特征在于，以所述加权平均值作为FCM聚类算法的模糊聚类中心，并结合样本数据集确定网络入侵检测模型，包括：初始化隶属度矩阵；以所述加权平均值作为FCM聚类算法的模糊聚类中心，并进行迭代更新隶属值；在所述隶属值在最新的两次迭代中改变量小于设定阈值时，输出目标隶属度矩阵，并以所述目标隶属度矩阵进行去模糊化确定网络入侵检测模型。5.根据权利要求4所述的方法，其特征在于，所述模糊聚类中心为：其中，M

【专利技术属性】
技术研发人员：张春昊，解滨，张依然，董新玉，
申请(专利权)人：河北师范大学，
类型：发明
国别省市：