[发明专利]一种基于极值点分类的网络入侵检测方法

摘要

本发明公开了一种基于极值点分类的网络入侵检测方法，其步骤如下：(1)收集网络正常数据流，将每个非数值属性转化为数值，形成训练数据集；(2)计算训练集的极值点，获得基于极值点分类的网络入侵检测模型；(3)接收网络未标记的数据流，将每个非数值属性转化为数值，采用基于极值点分类的网络入侵检测模型进行分类。本发明采用数据几何轮廓分析技术进行二元分类，将网络流量的数据分类为正常数据和入侵数据，能提高入侵检测处理大规模网络数据的及时性和准确性。

主权项

一种基于极值点分类的网络入侵检测方法，其特征包括以下步骤：步骤1.收集网络正常数据流，将每个非数值属性转化为数值，形成训练数据集X；步骤2.计算训练集X的极值点，获得基于极值点分类的网络入侵检测模型；步骤3.接收网络未标记的数据流，将每个非数值属性转化为数值，采用基于极值点分类的网络入侵检测模型进行分类；上述步骤2所述的获得基于极值点分类的网络入侵检测模型的具体步骤是：步骤2.1每次迭代，产生随机高斯矩阵Kj∈R2×d，其中矩阵Kj的元素满足高斯分布N(0,1)，d是训练集X的特征数，j为迭代的次数，j的初始值为1；步骤2.2将X投影到二维平面Rj，得到二维数据集Cj＝{cj,1,cj,2,...,cj,N}，其中cj,k＝Kjxk，xk和cj,k分别是X和Cj数据集的第k个样本，xk∈Rd×1，N是X中样本的个数；步骤2.3以原点为中心划分二维平面Rj得到2m个中心夹角为α的等分区域，其中α＝π/m；步骤2.4得到Cj分布在第i对中心角对称的等分区域的数据集和sj,i+={cj,k∈Cj:arctan(cj,k)∈[αi,α(i+1))},]]>sj,i-={cj,k∈Cj:arctan(cj,k)∈[π+αi,π+α(i+1))},---(1)]]>其中i＝0,1,…,m‑1，k＝1,2,...,N,arctan()表示反余切函数；步骤2.5计算第i对中心角对称的等分区域的中心单位向量和uj,i+=(cos(αi+α2),sin(αi+α2)),]]>uj,i-=(-cos(αi+α2),-sin(αi+α2)),---(2)]]>其中i＝0,1,…,m‑1；步骤2.6计算第i对中心角对称的等分区域的二维样本与所属区域的中心单位向量的点乘操作，获得点乘操作的最大值和mj,i+=maxcj,k∈sj,i+(uj,i+·cj,k),]]>mj,i-=maxcj,k∈sj,i-(uj,i-·cj,k),---(3)]]>其中i＝0,1,…,m‑1；步骤2.7获得第i对等分区域中点乘操作最大值对应的二维点和Mj,i+={cj,k∈sj,i+:(uj,i+·cj,k)=mj,i+},]]>Mj,i-={cj,k∈sj,i-:(uj,i-·cj,k)=mj,i-},---(4)]]>其中i＝0,1,…,m‑1；步骤2.8获得第i对等分区域中的极值点：vj,i+=max(maxcj,k∈(sj,i--Mj,i-)(uj,i+·cj,k),mj,i+)uj,i+,]]>vj,i-=max(maxcj,k∈(sj,i+-Mj,i+)(uj,i-·cj,k),mj,i-)uj,i-,---(5)]]>其中i＝0,1,…,m‑1；步骤2.9得到二维平面Rj上的极值点集Pj：Pj={vj,i+:||vj,i+||≠∞}i=0m-1∪{vj,i-:||vj,i-||≠∞}i=0m-1;---(6)]]>步骤2.10判断当前j是否满足j＜jmax，若是，则令j＝j+1，返回步骤2.1，若否，则执行步骤2.11；步骤2.11将jmax个极值点集Pj和对应的高斯矩阵Kj保存为网络入侵检测模型W：W={Kj,Pj}j=1jmax;---(7)]]>上述步骤3所述的采用基于极值点分类的网络入侵检测模型进行分类的方法的具体步骤是：步骤3.1对于待检测的没有标记的网络数据流z，每次迭代，得到它在二维平面Rj的投影向量zj，其中zj＝Kjz，j为迭代次数，j的初始值为1；步骤3.2判断zj是否在二维平面Rj的极值点集Pj的内部，若是，则转向步骤3.3，若否，则输出分类结果：数据流z是网络攻击流；步骤3.3判断当前j是否满足j＜jmax，若是，则令j＝j+1，返回步骤3.1，若否，则输出分类结果：数据流z是网络正常流。