[发明专利]一种适用于入侵检测的分类方法

说明书

本发明公开了一种适用于入侵检测的分类方法，根据SVM分类算法对类别不均衡数据集较为敏感及其在核空间进行分类的特点，通过对训练用样本集中的少数类样本集采取基于核SMOTE的过采样，同时对多数类样本集采取基于核的模糊C均值聚类欠抽样的混合采样方式，实现不均衡训练数据集的均衡化预处理，然后在新得到的训练样本集上采用Bagging集成学习方法训练出基于SVM的集成分类器。该方法训练出来的模型不仅可以有效改善传统SVM入侵检测模型针对入侵数据识别效果不理想及对正常数据误判率较高的缺点，并且采用的Bagging集成算法适合大规模并行计算。

技术领域

本发明属于网络安全技术领域，涉及入侵检测数据均衡化预处理的混合采样技术及支持向量机集成学习方法，公开了一种适用于入侵检测的分类方法。

背景技术

在网络安全领域，入侵检测作为一种主动防御技术，通过收集并分析系统、用户及网络数据包的信息，监测用户和系统的活动。为了使检测系统能够从收集到的信息中自动检测到异常，机器学习技术被引入到入侵检测系统。

支持向量机作为机器学习领域的一个重要研究分支，因为自身完善的数学理论和良好的实际应用效果，因此在入侵检测领域获得了应用。但是在传统的入侵检测标准训练集中，训练样本分布是极端不均衡的，单个支持向量机对类别不平衡的样本集较为敏感。因此将支持向量机应用到入侵检测中，训练出来的检测模型存在对入侵数据的检测率较低及对正常数据的误判率较高等难以让人满意的缺点。

本发明针对SVM应用在入侵检测中的上述缺陷，提出了在训练样本集上首先采用基于核空间混合采样技术的样本均衡化预处理方法，在分类算法上采用支持向量机集成的学习方法，该方案可以改善支持向量机检测模型对入侵数据的检测率较低及误判率较高的缺点，并且适合大规模并行计算。

发明内容

本发明的目的是针对现有的SVM方案用于入侵检测的不足，提供了一种适用于入侵检测的分类方法，提高SVM在入侵检测中应对入侵数据的检测率及降低对正常数据的误判率，并且使算法适合大规模并行计算。

本发明为解决上述技术问题所采用的技术方案如下：

1)数据集规范化预处理：针对入侵检测标准数据集进行样本特征参数归一化处理，实现所有文本属性信息数值化转换，并使所有的特征属性得到规格化处理，统一属性的度量。

2)对训练数据集在核空间混合采样改善类别均衡度：针对SVM在核空间进行训练的特点，将训练样本集映射到特征空间，对少数类样本集采取K-SMOTE算法进行过采样得到新的少数类样本集，同时对多数类样本集采用基于核聚类的欠采样方法得到新的多数类样本集，然后将得到的少数类样本集与多数类样本集合并产生新的训练用均衡样本集。

3)分类器训练：在分类器训练阶段，基于上述步骤2)产生的新样本集中采用Bagging方法构建多个训练集，并分别对每个训练集用SVM基分类器进行学习，得到集成分类器。

4)分类器识别：在识别阶段，通过由步骤3)产生的基分类器来加权投票决定分类结果。

本发明根据SVM算法在核空间进行分类的特点，通过对少数类采用核SMOTE的过采样与对多数类采用基于核聚类的欠抽样的混合采样方式对不均衡训练数据集进行均衡化预处理，然后在得到的新训练集上采用Bagging集成学习方法得到基于SVM的集成分类器。该方法不仅可以有效改善SVM针对入侵检测中的入侵数据识别效果不理想及对正常数据的误判率较高的缺点，并且采用的Bagging集成算法适合大规模并行计算。

附图说明

图1是工作流程示意图；

图2是算法流程图。

具体实施方式

下面结合附图详细说明下本发明的实现过程，如图1所示，本发明方法的工作流程主要分为4个部分：