[发明专利]一种基于改进核心向量机数据融合的复合式入侵检测方法

权利要求书

1.一种基于改进核心向量机数据融合的复合式入侵检测方法，其特征在于，该方法包含如下步骤：

步骤1：从目标网络的网络安全设备日志中提取误用入侵检测和异常入侵检测所需要的各时间监测点的特征数据，并将所述特征数据转换为矩阵形式的特征向量集合；所述网络安全设备日志的历史记录中包括下述特征数据：时间监测点、x₁,x₂,…,x_n属性的监测数据和已知入侵检测结果的已知网络行为；

步骤2：将所述历史记录中的特征数据分别构造为黑、白名单数据样本子集；

步骤3：对黑、白名单数据样本子集进行训练，分别得到初级误用入侵检测模型和初级异常检测模型，并计算出两种检测模型的精度；

步骤4：通过D-S证据理论结合步骤3中所述两种检测模型的精度，实现初级误用入侵检测模型和初级异常检测模型的数据融合，从而得到复合入侵检测模型以及该检测模型的联合置信区间；

步骤5：先通过所述初级误用入侵检测模型和初级异常检测模型判断出待测网络行为的类别标号，再根据所述复合入侵检测模型判断出最终检测结果。

2.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤1中特征向量集合的列数为n+2，行数为历史记录的条数。

3.根据权利要求1所述的复合式入侵检测方法，其特征在于，所述步骤2包括如下步骤：

步骤2.1：设定各样本子集中每条样本均包括n+2个特征属性，其中第一条特征属性为该样本的时间监测点，第2至第n+1条特征属性分别对应该时间监测点的x₁,x₂,…,x_n属性的监测数据，第n+2条特征属性对应目标网络当时的已知网络行为；

步骤2.2：将步骤2.1中各属性x₁,x₂,…,x_n的监测数据按照各自的取值范围全部归一化到[0,1]区间；

步骤2.3：将误用入侵检测和异常入侵检测中所有的已知网络行为分别设定为数值型类别标号；

步骤2.4：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3误用入侵检测的类别标号作为改进核心向量机的输出量，构造成黑名单数据样本子集；

步骤2.5：以步骤2.2归一化以后的各类特征x₁,x₂,…,x_n作为改进核心向量机的输入量，以步骤2.3异常入侵检测的类别标号作为改进核心向量机的输出量，构造成白名单数据样本子集。

4.根据权利要求3的复合式入侵检测方法，其特征在于，所述已知网络行为包括“正常”、“拒绝服务类攻击”、“利用类攻击”、“信息收集类攻击”、“信息欺骗类攻击”和“未知种类网络攻击”，将上述六种已知网络行为的类别标号设定为-2、-1、0、+1、+2、+3。

5.根据权利要求1的复合式入侵检测方法，其特征在于，所述步骤3包括如下步骤：

步骤3.1：设定改进核心向量机的训练参数，所述训练参数包括核函数类型、粒子群算法最大迭代次数、粒子群算法种群规模和粒子群算法的适应度函数；

步骤3.2：分别将黑、白名单数据样本子集输入到改进核心向量机中进行训练以得到初级误用入侵检测模型和初级异常入侵检测模型；

步骤3.3：在得到初级误用入侵检测模型和和初级异常入侵检测模型的同时，通过粒子群算法动态搜索出改进核心向量机的其他训练参数，所述其他训练参数包括惩罚因子C、核函数的核宽参数σ和损失函数参数ε；

步骤3.4：将所述初级误用入侵检测模型和初级异常入侵检测模型的类别标号与所述网络安全设备日志历史记录中的已知网络行为的类别标号进行比对，以得到初级误用入侵检测模型和初级异常入侵检测模型的精度。

6.根据权利要求5所述的复合式入侵检测方法，其特征在于，所述步骤3.2和步骤3.5中，分别采用最小包含球算法进行训练。