[发明专利]入侵检测方法及系统

权利要求书

1.一种入侵检测方法，其特征在于，包括：

入侵检测系统获得输入的入侵检测数据集合，其中，所述入侵检测数据集合由训练样本集合和测试样本集合构成，所述训练样本集合由分别对应于不同行为类别的训练样本簇构成，所述测试样本集合由待检测样本构成；

基于图划分方法，确定所述测试样本集合所包含的由待检测样本构成的各个聚簇；

针对每个所述聚簇，执行下述操作：

确定用于表征该聚簇与不同训练样本簇之间的相对互连程度的各相对互连度值和用于表征该聚簇与不同训练样本簇之间的相对紧密程度的各相对紧密度值；并根据所述测试样本集合所包含的聚簇的总个数、所述训练样本集合所包含的训练样本簇对应的行为类别的数目，以及确定的各相对互连度值和各相对紧密度值，确定该聚簇的行为类别。

2.如权利要求1所述的方法，其特征在于，还包括：

入侵检测系统根据所述训练样本集合，确定相对互连度阈值和相对紧密度阈值；则

根据所述测试样本集合所包含的聚簇的总个数、所述训练样本集合所包含的训练样本簇对应的行为类别的数目，以及确定的各相对互连度值和各相对紧密度值，确定该聚簇的行为类别，具体包括：

比较所述总个数和所述数目；并

在比较得到所述总个数不大于所述数目时，分别确定各训练样本簇和该聚簇之间的相对互连度值和相应的相对紧密度值的乘积，并根据最大的所述乘积对应的训练样本簇的行为类别确定该聚簇的行为类别是否为入侵行为类别；

在比较得到所述总个数大于所述数目时，判断是否存在满足预定判决条件的训练样本簇；在判断结果为是时，根据满足所述条件的训练样本簇的行为类别确定该聚簇的行为类别是否为入侵行为类别；在判断结果为否时，确定该聚簇的行为类别为不同于任意所述训练样本簇所属行为类别的新的行为类别；其中，所述预定判决条件包括：训练样本簇与该聚簇之间的相对互连度值和相对紧密度值分别不小于所述相对互连度阈值和所述相对紧密度阈值。

3.如权利要求2所述的方法，其特征在于，根据所述训练样本集合，确定相对互连度阈值和相对紧密度阈值，具体包括：

确定所述入侵检测数据集合所包含的潜在主题的个数、所述入侵检测数据集合中的每个待检测样本所包含的潜在主题的分布概率值和每个潜在主题所包含的属性特征的分布概率值；

根据确定的所述潜在主题的分布概率值和所述属性特征的分布概率值，分别确定每个潜在主题所包含的属性特征的重要度值；

根据确定出的各重要度值，从所述潜在主题所包含的属性特征中选取属性特征；

根据选取的属性特征和所述训练样本集合，确定用于表征所述训练样本集合中包含的各个训练样本的邻接图，并根据所述邻接图中作为邻接图节点的不同训练样本之间的距离，确定不同训练样本簇之间的相对互连度值和相对紧密度值；

根据确定出的各相对互连度值和相对紧密度值，确定相对互连度阈值和相对紧密度阈值。

4.如权利要求3所述的方法，其特征在于，确定所述入侵检测数据集合所包含的潜在主题的个数、所述入侵检测数据集合中的每个待检测样本所包含的潜在主题的分布概率值和每个潜在主题所包含的属性特征的分布概率值，具体包括：

根据LDA模型混乱度分析技术，确定所述入侵检测数据集合所包含的潜在主题的个数；

基于指定的超参数α和β，Gibbs抽样估计技术以及确定出的所述入侵检测数据集合所包含的潜在主题的个数，确定所述入侵检测数据集合中的每个待检测样本所包含的潜在主题的分布概率值和每个潜在主题所包含的属性特征的分布概率值。