[发明专利]利用拐点半径实现动态自适应聚类的网络入侵检测方法

权利要求书

1.利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，包括如下步骤：

步骤1：对网络连接的多维数据记录进行降维操作；

步骤2：对降维后的数据记录的特征向量进行标准化变化；

步骤3：将标准化后的数据记录视作一个节点，应用欧几里得算法计算节点间的距离以表示节点间的关联度，依据节点间的关联度进行初始聚类，将初始聚类中所有簇的中心作为抽象节点，重复聚类过程，完成最终聚类，包括：

步骤3.1：将数据集中的每个数据记录视作一个节点，基于欧几里得距离计算每个节点X_i与其他节点X_j的距离d_ij；

步骤3.2：累加每个节点X_i与其他节点X_j的距离d_ij，得到该节点临边距离之和，即

其中，N为其他节点的个数；

步骤3.3：将临边距离之和D_i值最小的节点X_min作为簇的初始中心，即C_i＝X_min；

步骤3.4：计算初始簇中心C_i的拐点半径d_max；

步骤3.5：将以C_i为圆心，将拐点半径d_max范围内的节点与C_i聚合为一个簇；

步骤3.6：去除已聚合的节点，循环步骤3.2至步骤3.5，直到簇数不再变化；

步骤3.7：将剩余未聚合的节点同其距离最近的簇中心聚合，完成所有节点的初始聚类划分；

步骤3.8：将初始聚类中所有簇的中心作为抽象节点，替代原有簇，并将这些抽象节点作为新一轮聚类迭代的节点；步骤3.9：再一次循环步骤3.1至步骤3.7，结束最终聚类过程；

步骤4：判断各个簇中的节点是否正常，若簇中正常节点的比例大于异常节点的比例，则将此簇的所有节点划为正常类；否则将此簇的所有节点划为异常类。

2.如权利要求1所述的利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，所述步骤1具体为：

在多维度中挑选一个维度的特征向量作为分类依据，利用SVM向量机分类出训练集中的正常、异常簇，然后计算此维度的特征向量对应的Fisher评分，循环上述过程，直到多个维度的Fisher评分计算完成。

3.如权利要求1所述的利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，所述步骤2具体为：

每个数据记录f按公式(1)计算其特征值的平均绝对偏差：

其中，E_if是数据记录f的i个属性特征向量，n为属性特征向量的个数，P_f是f的平均特征向量，即：

按照公式(3)求得数据记录f各维度特征值标准化后的特征向量：

其中，S_if表示标准化后的特征向量。

4.如权利要求1所述的利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，所述步骤3.1中根据下式计算两个节点X_i和X_j的欧几里得距离：

其中，x_in为节点X_i的第n维的特征值，x_jn为节点X_j的第n维的特征值。

5.如权利要求1所述的利用拐点半径实现动态自适应聚类的网络入侵检测方法，其特征在于，所述步骤3.4包括：

步骤3.4.1：首先将初始簇中心与其他节点的距离集从大到小排序，得到新的距离集；

步骤3.4.2：根据新的距离集作二维曲线图，距离对应的序号代表横坐标，距离代表纵坐标；

步骤3.4.3：忽略曲线上明显的离群数值点，基于最小二乘法拟合原理，利用三次方程对二维曲线图进行拟合；

步骤3.4.4：通过二阶求导计算出曲线拐点对应的横坐标值以及对应纵坐标的值，纵坐标的值即为拐点半径。