[发明专利]基于观察学习的入侵检测方法

权利要求书

1.一种基于观察学习的入侵检测方法，其特征在于：采用观察学习算法并结合半监督集成学习方法提高网络入侵检测性能，操作步骤包括：

(1)给定K个学习算法的集合{L₁，...，L_K}，训练集定义为X＝X_l+X_u，其中X_l＝(x₁，x₂，...，x_l)是有标记数据集，对应的标记向量为Y_l＝(y₁，y₂，...，y_l)，而X_u＝(x_l+1，x_l+2，...，x_l+u)则是未标记数据集；

(2)自学习：根据有标记数据集，用K个学习算法训练产生K个分类器{R₁，...，R_K}，R_i(i＝1，...，K)指在训练集X_l上由学习算法L_i生成的分类器；

(3)初始化：对每个分类器的有标记数据集和未标记数据集进行初始化，Xl(i):=Xl,]]>Xu(i):=Xu,]]>i＝1，...，K；

(4)观察学习：对每一分类器R_i(i＝1，...，K)，首先在它自己的未标记样本集中任意选取n个未标记样本组合成一个未标记样本集，然后该分类器观察其它K-1个分类器在所选取的未标记样本集上的输出结果，对观察到的输出结果进行合适的集成处理，得到所选取的未标记样本集的标记信息，并通过一个新增的有标记样本集表示出来，其中i＝1，...，K；

(5)数据更新：对每个分类器用新增的有标记样本集进行数据更新，得到新的有标记和未标记的数据集，分别为i＝1，...，K；

(6)再训练：重新在新得到的有标记数据集上训练分类器R_i(i＝1，...，K)；

(7)判断每个分类器R_i的未标记数据集是否为空，若为空则转步骤(8)，不为空则转步骤(4)；

(8)最终对K个分类器的判决结果进行组合，得到最终的入侵检测结果。

2.根据权利要求1所述的基于观察学习的入侵检测方法，其特征在于，步骤(4)所述的合适的集成处理是指，选取未标记样本集的分类器，在观察学习过程中，查看其他分类器对所选未标记样本集的输出类别，并对这些输出类别进行多数投票，投票结果就是所要求的这个未标记样本集的标记信息。

3.根据权利要求2所述的基于观察学习的入侵检测方法，其特征在于，步骤(4)所述选取n个未标记样本进行观察学习，未标记样本的数目n，优选5～10个。

4.根据权利要求3所述的基于观察学习的入侵检测方法，其特征在于，步骤(8)所述的K个分类器的判决结果是通过多数投票规则组合得出的。