[发明专利]一种基于划分和特征变化的入侵检测系统及方法

权利要求书

1.一种基于划分和特征变化的入侵检测方法，其特征在于，包括数据采集模块、学习模块和预测模块，

所述数据采集模块：输入网络数据包数据作为学习基于划分和特征变换的入侵检测模型的基础训练数据；

所述学习模块：使用K-means方法划分正常数据包为多个簇，将每个簇的数据包与入侵包组合成新的训练集，用于训练一个特征变换矩阵和相应的k近邻入侵检测模型；

所述预测模块：给定预测包样本x，使用K-means方法为x投影到相应的特征变换矩阵，并使用相应的k近邻入侵检测模型预测样本x的类别，

步骤1、使用数据采集模块从网络上抓取数据包作为用于模型的基础训练集D，将其划分为正常数据包训练集Dmaj与入侵数据包训练集Dmin，并对其进行预处理；对所选数据的合理性和完整性进行检验，对异常数据进行补充和修正，并进行归一化处理，建立样本的属性表，各属性的取值类型分为数值、离散；

步骤2、采用K-means聚类算法将正常数据包训练集D_maj划分为K个簇，得到簇D_maj,1,D_maj,2,…,D_maj,K；

步骤3、将簇D_maj,1,D_maj,2,…,D_maj,K分别与入侵数据包训练集D_min合并得到K个新的训练集D₁,D₂,…,D_K；

步骤4、使用每个新的训练集D_k学习变换矩阵Q_k，具体步骤如下：在D_k中，对于一个样本点x_i，另一个样本点x_j对其分类结果影响的概率为：

其中i＝1,2,…|D_k|，j＝1,2,…|D_k|，i≠j，|D_k|为训练集D_k的大小；

以留一法(LOO)正确率最大化为目标，对于样本点x_i，其被自身以外的所有样本正确分类的概率为:

其中Ω_i表示的意义为：在训练集D_k中，与样本点x_i类别相同的其它样本的下标集合；

则优化的目标为：

其梯度为：

采用梯度下降法并利用上式求解目标函数f(Q_k)即得相应的特征变换矩阵Q_k；

步骤5、利用步骤1的样本属性表处理待分类样本x，利用步骤2中的K-means聚类法选择步骤3中学习到的相应的变换矩阵Q_k，处理x所对应的训练集，在转换后的特征空间内，对待分类样本x采用K近邻对其进行分类，即能判别其属于正常样本还是入侵样本。

2.根据权利要求1所述的基于划分和特征变化的入侵检测方法，其特征在于，所述的样本属性表将数据包变量的类型分为数值、离散。

3.根据权利要求1所述的基于划分和特征变化的入侵检测方法，其特征在于，将正常数据包训练集D_maj划分为K个簇。

4.根据权利要求1所述的基于划分和特征变化的入侵检测方法，其特征在于，在使用K近邻对预测样本进行预测前，先将样本映射到优化后的空间中。