[发明专利]基于杂交带的最近邻入侵检测算法

说明书

本发明公开了一种基于杂交带的最近邻入侵检测算法，包括如下步骤：步骤1 数据预处理，对收集到的原始数据去掉其中重复的，不完整的数据来降低训练检测模型的时间；步骤2 生成检测对象的感知哈希摘要，将预处理后的数据进行数值化和归一化成为标准数据，将每一条数据的不同属性值相加，生成一段感知哈希摘要；步骤3 生成检测子集合，将感知哈希摘要做向下取整，然后将所有具有相同感知哈希摘要的训练样本构建一个检测集合；步骤4 在相同感知哈希的入侵检测对象构建的集合上构建杂交带；步骤5 对检测对象做投票分类，加快入侵检测速度。采用本发明的技术方案可以提高入侵检测速度，并且随着测试数据的增大，速度的提高的效果会越发显著。

技术领域

本发明涉入侵检测领域中的网络入侵检测算法，具体涉及一种基于杂交带的最近邻入侵检测算法。

背景技术

入侵检测是保证计算机系统安全的重要防线，当前的入侵检测中存在误报率高，漏报率高，检测速度低等问题。使得当前的入侵检测系统很难适应高速网络环境的要求。因此，为了提高入侵检测的速度，降低入侵检测系统的漏报率和误报率等问题，需要选择合适的入侵检测算法在提高检测率的同时降低入侵检测带来的系统开销。近年来，入侵检测领域也取得了不错的研究成果，主要是将模式识别的相关算法引入到了入侵检测中。常用来做入侵检测的算法包括决策树算法，贝叶斯分类算法，支持向量机算法，神经网络算法，粗糙集和理论和模糊集合理论。上述这些方法主要是在训练集合上建立适当的模型，然后在测试集合上做相应的测试。虽然在测试集合上取得了很好的效果，但是检测的过程需要耗费大量的时间，使得入侵检测系统很难达到当前实时性的要求。因此如何提高入侵检测系统的检测率，降低漏报率和误报率同时提高入侵检测系统的检测效率一直是学术界和工业界研究的热点和重点。

现有技术的不足：

1)为了提高入侵检测系统的检测率，需要建立复杂的属性模型。同时需要对模型的参数做相应的调整。但是建立复杂的模型需要大量的相关专家知识，同时建模的时间长，系统开销大。在入侵检测系统建立的初期需要耗费大量的时间来建立模型，这无疑为系统的安全造成了隐患。

2)唐成华提出了采用特征选择的方法来降低入侵检测计算的开销。但是由于检测对象在训练集合和测试集合上的分布不均匀，很容易对系统的检测率造成影响。

3)采用粗糙集来描述检测对象能很好的表达对象与不同集合之间的隶属度关系。通过加权可以动态调整入侵检测系统的漏报率和误报率，从而来满足当前入侵检测的需要。然而要为不同的集合赋予不同的权重需要大量的相关知识，从而增加了系统的复杂度。

发明内容

针对现有技术的不足，本发明所解决的问题是如何解决网络入侵检测过程中，由于建模数据和测试数据分布不完全相同造成的概念漂移，同时建模需要大量的专家知识问题。

为解决上述技术问题，本发明采用的技术方案是一种基于杂交带的最近邻入侵检测算法，包括如下步骤：

步骤1数据预处理，对收集到的原始数据去掉其中重复的，不完整的数据来降低训练检测模型的时间。

步骤2生成检测对象的感知哈希摘要，将预处理后的数据进行数值化和归一化成为标准数据，将每一条数据的不同属性值相加，生成一段感知哈希摘要；

所述感知哈希摘要根据公式

hash(x)＝(h_i,j·W)/N (1)

将入侵检测对象转换而成，其中：

h_i,j代表在检测对象组成的集合x中的第i个样本的第j个分量；

W是该分量在转换成为感知哈希摘要的时候的每一维度上分量的权重；

N为确定感知哈希摘要生成子集的大小的影响因子；