[发明专利]一种基于近邻样本万有引力的网络入侵检测方法

权利要求书

1.一种基于近邻样本万有引力的网络入侵检测方法，其特征在于，所述网络入侵检测方法包括以下步骤：

1)预处理第一步：通过网络数据采集工具构建网络攻击特征，将采集的样本集特征转为适于后续处理的数据矩阵,并对所有离散特征进行one-hot的转换；

2)训练第一步：对一个包括正、负类样本的不平衡网络入侵数据的训练样本集进行学习，得到每个训练样本的质量，每个训练样本的质量的计算过程包括以下步骤：

通过训练样本中正、负类样本的比值，得到样本不平衡率IR，其中IR为所述正负类样本的不平衡率，表示正、负类样本与正类样本的比值；n_neg为负类样本的个数，n_pos为正类样本的个数；

对于训练集X_train中的训练样本x，通过计算训练样本两两之间的距离，得到一个计算信息熵的候选样本半径r：

通过选择到当前训练样本距离小于r的训练样本，得到所述训练样本信息熵的候选样本：

将不平衡率和样本的信息熵E(x_i)的乘积作为训练样本的质量；

3)测试第一步：通过利用一范数距离动态的计算测试样本到所有训练样本的距离，得到测试样本的近邻候选集半径R：

其中：

n_pos和n_neg分别对应于所有训练样本集中正、负类样本的数目；和分别指测试样本y与所述测试样本y的近邻候选集中正、负类训练样本中的第i、j个样本的一范数距离；所述一范数距离为：y,x为两个样本，d(·)表示样本y和x之间的距离，m是样本y和x的特征维度，y_i和x_i分别是样本y和x在第i个特征维度上的值；

4)测试第二步：通过前述测试样本的近邻候选集半径R选择到测试样本的距离小于所述近邻候选集半径R的样本，得到测试样本的近邻候选集；

Candi|Candi∈X_train,d(Candi,y)＜R

5)测试第三步：通过计算测试样本的近邻候选集中正、负类样本对测试样本的万有引力为：

其中：

F_C是指候选集中C类样本对测试样本的万有引力的合力；是样本x_i的候选集中的C类样本，是候选样本中的第i个样本的质量，d(y,x_i)是测试样本到候选集中第i个样本的距离，d(y,x_i)ⁿ中的n用于调整测试样本与训练样本之间距离的权重，本发明中n取值为4；

通过比较所述候选集中正、负类样本对测试样本的万有引力大小，得到测试样本的类标号，

其中表示样本y的类标号，表示测试样本y属于正类，表示测试样本y属于负类；最终测试样本属于万有引力较大的一类，即得到了对应测试样本属于哪一种网络入侵方式。