[发明专利]基于新颖发现和窗函数的分类融合入侵检测方法

权利要求书

1.一种基于新颖发现和窗函数的分类融合入侵检测方法，包括如 下步骤：

(1)当主机进行网络数据包的传送时，对主机的网络行为进行采 集，得到描述网络行为的数据集，并对该数据集进行映射和归一化后得 到特征向量；

(2)从已采集到的数据集中选择非入侵行为的正常数据的特征向 量作为训练样本集，并用SVND算法训练生成第一分类器，使得样本集 经非线性核函数映射到特征空间得到向量模型产生决策函数f，该函数 记正常样本输出为+1，异常样本输出为-1；

(3)重新采集新的网络行为数据集作为新样本输入，计算其决策 函数f值，并通过指数转换将该函数f输出的结果转换成概率估计形式；

(4)将步骤(2)中的正常数据的特征向量作为训练样本集，用 PARZEN窗函数算法对其进行概率密度分布估计来训练第二分类器；

(5)将步骤(3)中的新的数据集作为新样本输入，根据贝叶斯决 策，对异常样本进行预先建模，并根据步骤(4)中的概率密度分布估 计设定概率密度阈值，如果新样本的概率密度分布估计值大于该阈值， 第二分类器输出为正常，反之则记为异常；

(6)将以上第一分类器与第二分类器的输出结果按如下公式进行 加权融合：

y(x)=12(fT,1(P1(x|ωT)≥θ1)+(1-fT,1)(P1(x|ωT)<θ1)+(P2(x|ωT)≥θ2)+(P2(x|ωT)<θ2))]]>

式中f_T，1为样本x的决策函数值，P₁(x|ω_T)指对于第一分类器样本x 属于类别ω_T的概率密度估计，P₂(x|ω_T)指对于第二分类器样本x属于类别 ω_T的概率密度估计，θ指权值，θ₁设定为0.5，θ₂设定为0.8；

(7)根据加权融合的结果y(x)决定网络行为是否为入侵行为，如果融 合的结果y(x)小于设定阈值则判定为入侵行为，采取预警措施，否则 重复步骤(3)。

2.根据权利要求1所述的入侵检测方法，其中步骤(2)所述的 训练生成第一分类器，是指对于一个包含N个样本的样本集 {x_i，i＝1，…，N}，对于一个新的输入样本x，其决策函数计算公式为：

f(x)=sgn(Σiαik(xi,x)-ρ)]]>

其中α为拉普拉斯算子，k为映射核函数，ρ表示的是分类超平面 中的常数项，其计算公式为：

ρ=(w·Φ(xi))=Σjαjk(xj,xi)]]>

其中w表示分离超平面的法向量，Φ(x)表示映射函数，该映射核 函数选取高斯核函数：k(x_i，x)

k(xi,x)=e-||xi-x||2/g]]>

其中g为高斯参数。