[发明专利]基于改进SOM的车载网络入侵检测数据集丰富度评估方法

权利要求书

1.一种基于改进SOM的车载网络入侵检测数据集丰富度评估方法，其特征在于，包括以下具体步骤：

步骤1、获取车载网络数据集；根据车载网络协议特点逐层拆分数据集中的数据包；按照数据标签类型分隔数据包；

步骤2、获得数据包的多层报头和负载；根据数据包类型提取所有报头的数据特征；

步骤3、设定SOM聚类参数；基于SOM聚类参数分别对数据集、正常类型和所有攻击类型的数据包、报头的数据特征和负载进行SOM聚类；获取车载网络数据集的聚类结果；基于聚类结果获得车载网络数据集丰富度评估矩阵。

2.根据权利要求1所述的评估方法，其特征在于，数据标签类型包括正常标签和攻击标签；基于数据标签类型将车载网络数据集的数据包类型分为正常类型和第i类攻击类型，i＝0,1,2,…,m，m为攻击的总类数。

3.根据权利要求1所述的评估方法，其特征在于，步骤3的具体步骤为：

设定SOM聚类参数；

设置初始神经元数量n*n，n*n表示SOM初始类别数量，n＝1,2,3…；

初始化每个神经元的权重向量；

获取数据集、数据包、报头和负载的各自的第t条数据的输入向量D(t)；

获取第v个神经元的第s次迭代权重向量W_v(s)，v＝0,1,2,3…n*n，s＝0,1,2,3…S，S为迭代的总次数；

初始化迭代权重向量W_v(0)；

基于SOM聚类参数获取数据集、数据包、报头和负载的各自的第t条数据的输入向量D(t)与每个SOM神经元权重向量W_v(s)之间的距离和相关性；

获取获胜神经元u；基于获胜神经元u更新迭代权重向量；

经过S次迭代，将数据集聚类于n*n个神经元上；

如果两个神经元之间的距离小于距离阈值ts，将该两个神经元归为同类神经元；保留经过的数据大于和/或等于聚类阈值的神经元；根据保留的神经元获得距离阈值下的最小聚类数目；

基于最小聚类数目获得车载网络数据集丰富度评估矩阵。

4.根据权利要求3所述的评估方法，其特征在于，步骤3中，当对整个数据集的数据包、报头及负载进行聚类时，ni+1；当对所有攻击类型数据包、报头及负载进行聚类时，ni。

5.根据权利要求4所述的评估方法，其特征在于，SOM聚类时，距离的获取方法包括欧氏距离法和汉明距离法；相关性的获取方法包括Pearson系数法、余弦相关性法和Spearma系数法。

6.根据权利要求1所述的评估方法，其特征在于，SOM聚类参数包括距离指标和相关性指标。

7.根据权利要求6所述的评估方法，其特征在于，距离指标包括欧式距离和汉明距离；相关性指标包括Pearson系数、余弦相关性系数和Spearma系数。

8.根据权利要求1-7任一项所述的评估方法，其特征在于，还包括步骤4、获取多个车载网络数据集的车载网络数据集丰富度评估矩阵；比较多个车载网络数据集丰富度评估矩阵获得比较结果。