[发明专利]一种基于Bagging算法的复合式入侵检测方法

权利要求书

1.一种基于Bagging算法的复合式入侵检测方法，其特征在于，所述方法包括以下步骤：

A、建立初始历史数据样本集S；

B、将所述初始历史数据样本集S构造成Bagging算法中弱学习算法可读的数据集S_sample，选定球向量机作为所述弱学习算法；

C、循环调用所述Bagging算法中的弱学习算法，完成所述数据集S_sample的训练，得到强学习机H；

D、将当前待测的数据样本输入到作为复合式入侵检测模型的所述强学习机H中，所述强学习机H利用各代弱学习机h_i做初步入侵检测，并以投票的方式判定当前待测数据样本的入侵检测结果，得票数多的入侵检测结果为强学习机H最终入侵检测结果。

2.如权利要求1所述的基于Bagging算法的复合式入侵检测方法，其特征在于，所述步骤A包括以下步骤：

A1、数据采集：分析历史各个时间监测点的网络安全设备日志，统计所述日志中所有属性对应的数据；

A2、特征提取：对所述日志中所有属性进行核主成分分析，得到做为复合式入侵检测的特征属性x₁，x₂，…，x_n；

A3、统计所述历史各个时间监测点日志，将A2中所述特征属性x₁，x₂，…，x_n对应的数据和每个时间监测点的入侵检测结果构成所述初始历史数据样本集S。

3.如权利要求1所述的基于Bagging算法的复合式入侵检测方法，其特征在于，所述步骤B包括以下步骤：

B1、数据归一化：将所述初始历史数据样本集S中特征属性x₁，x₂，…，x_n的数值按照各自的取值范围全部归一化到[0，1]区间；

B2、数值化处理：将入侵检测所有可能出现的结果状态设定为数值型类别标号；

B3、将所述初始历史数据样本集S中特征属性x₁，x₂，…，x_n的数值做为复合式入侵检测模型的输入向量；将所述初始历史数据样本集S中的入侵检测结果做为复合式入侵检测模型的输出向量；所述数据集S_sample由所述复合式入侵检测模型的输入向量和输出向量构成。

4.如权利要求1所述的基于Bagging算法的复合式入侵检测方法，其特征在于，所述步骤C包括以下步骤：

C1、对集成学习Bagging算法初始化，设定所述Bagging算法最大迭代次数t，选用球向量机做为弱学习算法，并设定所述球向量机的训练参数；

C2、以指定概率从所述数据集S_sample中有放回地选取样训练本子集S_i，i∈[1，…t]，作为弱学习算法的训练样本子集S_i；

C3、将所述训练样本子集S_i输入到弱学习算法训练，得到对应的弱学习机h_i；

C4、检查所述集成学习Bagging算法是否达到算法的最大迭代次数t，若已达到，则执行步骤C5；否则，返回步骤C2；

C5、输出弱学习机序列，即强学习机H。

5.如权利要求1所述的基于Bagging算法的复合式入侵检测方法，其特征在于，所述步骤D中复合式入侵检测步骤为：对于待测数据利用强学习机H，先进行基于误用技术的入侵检测，得到发生“已知种类网络攻击”或者“正常”的报告，再对报告“正常”的数据进行基于异常技术的入侵检测，以检验其是否隐藏未知网络攻击，最后结合两次报告结果得到最终入侵检测结果。