[发明专利]一种基于变邻域算法和模糊聚类的网络异常检测方法

权利要求书

1.一种基于变邻域算法和模糊聚类的网络异常检测方法，其特征在于：包括如下步骤：

第一步：收集网络历史正常数据流，对数据进行初始化；所述的初始化包括字符型变量数值化，不同范围数据归一化以及利用主成分分析法及进行降维操作；

第二步：利用优化后的聚类算法对第一步的数据集进行分析，获得网络正常行为聚类模型；

第三步：输入当前待检测的数据集，利用第二步获得的网络正常行为模型对输入的未知网络流量进行分类，判定待检测数据是否为正常数据的方法为：计算当前数据与聚类中心的距离，如果待检测数据与所有聚类中心的距离均大于当前正常流量的阈值，则输出聚类结果判定为异常流量，并进行相应的响应。

2.根据权利要求1所述的一种基于变邻域算法和模糊聚类的网络异常检测方法，其特征在于：第二步获得网络正常行为聚类模型的具体步骤如下：

第2.1步：初始化参数：数据集D，迭代次数t，聚类中心数c；

第2.2步：用值0-1之间的随机数初始化隶属度矩阵U，使其满足公式(1)

其中u_ij为第i个类的第j个元素的隶属度；

第2.3步：利用公式(2)计算C个聚类中心C_i,i＝1,…,c

其中C_i为第i类的聚类中心；u_ij为0-1之前的隶属度；n为元素的个数；m为模糊指数，通常设为2；x_j表示第j个数据；

第2.4步：利用公式(3)计算目标函数

J_i是i个聚类中心的目标函数值；第SAD_ij为第i个聚类中心到第j个数据点的曼哈顿距离，且是一个加权指数；

第2.5步：判断是否陷入局部最优：局部最优表现为在算法前期聚类中心的目标函数值相差不大且波动很小，设定一组t_ε、t_γ、ε_γ，其中t_ε、t_γ表示当前迭代的次数，ε_γ是为判定是否陷入局部最优提前设定的阈值大小，如果在算法的前t_ε迭代中，聚类中心在t_γ中每次平均波动值均小于ε_γ，则有理由相信此时陷入了局部最优；如果陷入局部最优则利用变邻域算法，改变邻域的大小，帮助聚类中心跳出局部最优，达到更好的聚类效果；

第2.6步：判断算法的终止条件，如果迭代次数达到最大或满足预先设定的误差阈值，则获取聚类结果，算法结束，否则继续执行步骤2.7；

第2.7步：按照公式(4)计算新的隶属度矩阵，返回第2.3步；

其中k表示第k个聚类中心。