[发明专利]基于遗传算法过采样支持向量机的网络入侵检测方法

权利要求书

1.一种基于遗传算法过采样支持向量机的网络入侵检测方法，其特征在于，该方法包括以下步骤：

1)获取由历史网络数据组成的训练数据集T，所述训练数据集经归一化处理，每一维数值归一化为[0,1]中的数；

2)根据入侵检测结果的类别对所述训练数据集T进行分类，记为T＝T₀∪T₁…∪T_i…∪T_n，T₀表示正常样本集，T_i表示第i类入侵模式对应的样本集，n表示入侵模式总数；

3)比较步骤2)中各样本集的样本个数，对样本个数小于设定值的样本集进行过采样处理；

4)从经过采样处理后的训练数据集T中选取设定样本个数组成一训练集T_x；

5)利用SVM模型对训练集T_x进行交叉验证，确定SVM参数；

6)利用带有所述SVM参数的R-SVM模型对训练集T_x进行训练，筛选出贡献度高的前20～30个数据组成一特征向量E；

7)根据所述特征向量E对训练集T_x进行特征提取，并以经特征提取后的训练集T_x对SVM模型进行训练；

8)采用经步骤7)训练后的SVM模型对实时采集的网络数据进行网络入侵分类检测；

所述步骤3)中，对某一样本集T_j进行过采样处理具体为：

a、定义迭代次数N、每次种群大小M、交叉概率P_c和变异概率P_m，令i＝0；

b、计算T_j中每一个样本到其他样本的总平均距离，将最大值赋予Max；

c、根据轮盘赌的方法，依据总平均距离越小、适应度越大的原则，从T_j中随机抽取M个样本，放入T_q；

d、按照交叉率P_c随机选择T_q中样本两两进行单点交叉，产生的子代代替父代放入T_q；

e、按照变异率P_m对T_q样本中进行变异，产生的子代代替父代放入T_q；

f、将T_q放入T_j中，计算T_q中每个样本到其他样本的总平均距离，若某样本的总平均距离大于Max，用该样本的一个父代代替该样本；

g、i＝i+1，如果i＜N，返回步骤b；

所述步骤6)中，利用R-SVM模型进行特征向量筛选时，所述贡献度取决于每个特征在R-SVM模型上的权重以及某两类样本在每一个特征上的均值差别。

2.根据权利要求1所述的基于遗传算法过采样支持向量机的网络入侵检测方法，其特征在于，所述入侵模式包括拒绝服务入侵、远端未经授权访问入侵、未经授权提升权限入侵以及探测与扫描入侵。