[发明专利]一种基于SA-iForest的网络入侵异常检测方法

权利要求书

1.一种基于SA-iForest的网络入侵异常检测方法，其特征在于，包括如下步骤：

步骤一构建第一颗iTree；网络入侵数据训练集D_Train＝{d₁，d₂，…，d_i，…，d_n}，其中d_i网表示为第i条网络入侵数据；网络入侵数据属性集A＝{A₁，A₂，…，A_i，…，A_m}，其中A_i表示为第i个属性；从属性集A中随机地选择k(k≤m)个属性构成子属性集a＝{A₁，A₂，…，A_k}，在a中随机选择一个属性A_j，然后对每个网络入侵数据，按照属性A_j的分裂值p进行划分；如果数据d_i的A_j属性的属性值d_i(A_j)＜p，则放在左子树，反之则放在右子树；按此方式迭代地构造左、右子树，直至满足下列条件之一：

(1)D_Train中只剩下一条数据或多条相同的数据；

(2)树达到最大高度；

步骤二重复步骤一再构建L-1棵树组成初始森林T＝{T₁，T₂，…，T_L}，其中T表示L个iTree的集合，T_i表示第i棵iTree；

步骤三用训练集D_Train对初始森林T进行训练，根据Q-统计量法计算iTree之间的差异值，用交叉验证法计算每棵iTree的精度值ACC；

ACC＝{X₁，X₂，…X_j…，X_L}

其中，Q表示L个iTree的差异矩阵；Q_ij表示为初始森林中树T_i与树T_j之间的差异值；X_j表示树T_j的精确值；

如果任意两个iTree独立，那么这两个iTree的Q统计量的值为0；Q统计量的值在[-1，1]之间变化；Q统计量的值越大，表示两个iTree的差异度越小；极端情况，如果两个iTree的Q统计量的值为1，那么两个iTree差异度为0；

步骤四初始化；取初始温度t₀足够大，令温度t＝t₀，任取初始解T₁；

步骤五对当前温度t，重复步骤六-步骤九；

步骤六对当前解T₁随机扰动产生一个新解T₂；

步骤七计算T₂的增量df＝F(T₂)-F(T₁)，其中F(T₁)为树T₁的适应度值；

步骤八若df＜0，则接受T₂作为新的当前解，即T₁＝T₂；否则按Metropolis规则，计算T₂的接受概率p，即随机产生(0，1)区间上均匀分布的随机数rand，若p＞rand，也接受T₂作为新的当前解，即T₁＝T₂，否则保留当前解T₁；

其中，κ为玻耳兹曼常数，exp表示自然指数；

步骤九如果满足设定的终止条件，则输出当前解T₁为最优解，终止条件通常取为在连续若干个Metropolis链中新解T₂都没有被接受时终止或者是设定结束温度；否则按衰减函数衰减温度t后返回步骤五；所述衰减函数为：

其中，t_s为第θ步时的温度值，t₀为初始温度；

步骤十，重复步骤六-步骤九，从初始森林T中选出l个具有较优适应值的iTree组合成iForest，l≤L；每棵iTree的适应度函数关系如下式：

其中，F(T_j)表示为树T_j的适应度值；W₁，W₂分别表示精确度和差异性对应的权重；

步骤十一对待检测数据进行预测，计算待测数据d在每一棵iTree的路径长度h(d)；

由于iTree与二叉查找树的结构等价，所以包含数据d的叶节点的路径长度等于二叉查找树中失败查询的路径长度；二叉查找树中失败查询的路径长度：

C(n)＝2H(n-1)-(2(n-1)/n)

其中，H(i)＝Ln(i)+γ，γ为欧拉常数；n为叶子节点数；C(n)为给定n时h(d)的平均值，使用它来标准化h(d)；待检测数据d的异常分数S(d，n)如公式所示：

其中，E(h(d))为iTree集合中h(d)的平均值；

当E(h(d))→C(n)时，S(d，n)→0.5，即当所有数据均返回的S(d，n)≈0.5时，那么全部样本中没有明显的异常值；当E(h(d))→0时，S(d，n)→1，即当数据返回的S(d，n)非常接近于1时，那么它们是异常值；当E(h(d))→n-1时，S(d，n)→0，即当对象返回的S(d，n)远远小于0.5时，那么它们有很大的可能被评价为正常值；此时完成对网络入侵异常检测。