[发明专利]一种基于划分和特征变化的入侵检测系统及方法

说明书

本发明公开了一种基于划分和特征变化的入侵检测系统及方法，该方法包括以下步骤：在训练阶段，使用K‑means聚类方法划分正常数据包训练集为多个簇，将每个簇与网络入侵数据包训练集合并形成多个新的训练集，在每个训练集D_i上学习一个特征变换矩阵Q_i，并在由Q_i定义的空间内学习k近邻模型M_i；在预测阶段，使用学习到的K‑means方法为待预测数据包选择相应空间里的k近邻预测模型，并使用该模型预测数据包是否为入侵数据包。该发明能够有效地分析数据包是否属于入侵包，并且能在预测正常和入侵样本上保持高准确率，从而具有更广泛的工程应用价值。

技术领域

本发明属于数据分析技术领域，涉及一种基于划分和特征变化的入侵检测系统及方法。

背景技术

网络的出现及广泛应用，给人们的生活和工作带来了便捷，但同时也带来了很多安全问题，各种类型的病毒、漏洞、攻击都给社会造成了巨大的损失。如何保护信息不被攻击和泄露，维护其完整性、可用性和保密性，是当前研究的关注重点。

面对网络安全的现状，目前主要采取访问控制、数据加密、身份认证、防火墙、和入侵检测技术等措施，保障网络和信息系统的安全。入侵检测技术通过收集操作系统、系统程序、应用程序、以及网络数据包等信息，发现被监控系统或网络中违背安全策略，或危及系统安全的行为，是保障系统和网络安全的有效手段。

机器学习方法用计算机模拟人类的学习活动，研究如何通过计算机学习现有的知识，发现新的知识，并通过不断完善，提升学习的效果。机器学习中包含大量的数据预处理和分类方法，与统计学、人工智能、信息论等学科有关联。其基本过程是通过从已有的经验中学习并构建学习机，进一步对未知的样本进行分类或预测。

网络入侵样本属于少数类情况，其比例大概在0.001左右，绝大多数数据包均属于正常通讯数据包。如果采用传统的分类方法，即使将任意一个通讯包判定为正常通讯包，预测的准确率也是十分可观的。然而这一高精度对于识别属于少数类的入侵样本并不具备实际意义，只有正确识别入侵样本才是想要达到的目的。在传统的k-NN算法中，样本间的差异性往往采用简单的Euclidean距离来衡量，但是由于样本各个特征的权重往往不同，会造成衡量的不准确从而影响对入侵样本的检测。因此，有必要设计针对入侵检测的分类方法。

发明内容

本发明的目的在于提供一种基于划分和特征变化的入侵检测系统及方法。该方法保证能够有效地分析样本是否属于入侵样本，并且能在预测正常和入侵样本上保持高准确率。

其具体技术方案为：

一种基于划分和特征变化的入侵检测系统，包括数据采集模块、学习模块和预测模块，

所述数据采集模块：输入网络数据包数据作为学习基于划分和特征变换的入侵检测模型的基础训练数据；

所述学习模块：使用K-means方法划分正常数据包为多个簇，将每个簇的数据包与入侵包组合成新的训练集，用于训练一个特征变换矩阵和相应的k近邻入侵检测模型；

所述预测模块：给定预测包样本x，使用K-means方法为x投影到相应的特征变换空间，并使用相应的k近邻入侵检测模型预测样本x的类别。

一种基于划分和特征变化的入侵检测方法，包括以下步骤：

步骤1、建立样本的属性表；获取训练样本，根据所述的属性表对训练样本进行处理；

步骤2、采用K-means聚类算法划分多数类训练集D_maj，得到簇D_maj，1，D_maj，2，...，D_maj，K；