[发明专利]基于新颖发现和窗函数的分类融合入侵检测方法

摘要

本发明公开一种基于新颖发现和窗函数的分类融合入侵检测方法，主要解决现有支持向量机分类方法检测率低，复杂度高的问题。其实现步骤为：(1)采集主机网络行为数据集，处理数据集得到特征向量；(2)选择非入侵行为的正常数据集作为训练样本集，训练生成第一分类器；(3)重新采集数据集，计算决策函数f并将它转换成概率估计形式；(4)用PARZEN窗函数方法训练第二分类器；(5)对步骤3中的数据集进行概率密度分布估计，并根据贝叶斯决策设定概率密度阈值；(6)将第一分类器与第二分类器的输出结果进行加权融合：(7)根据加权融合的结果y(x)对网络行为采取预警或重复步骤(3)。本发明具有检测率高、虚警率低的优点，适用于网络入侵检测。

主权项

1、一种基于新颖发现和窗函数的分类融合入侵检测方法，包括如下步骤：(1)当主机进行网络数据包的传送时，对主机的网络行为进行采集，得到描述网络行为的数据集，并对该数据集进行映射和归一化后得到特征向量；(2)从已采集到的数据集中选择非入侵行为的正常数据的特征向量作为训练样本集，并用SVND算法训练生成第一分类器，使得样本集经非线性核函数映射到特征空间得到向量模型产生决策函数f，该函数记正常样本输出为+1，异常样本输出为-1；(3)重新采集新的网络行为数据集作为新样本输入，计算其决策函数f值，并通过指数转换将该函数f输出的结果转换成概率估计形式；(4)将步骤(2)中的正常数据的特征向量作为训练样本集，用PARZEN窗函数算法对其进行概率密度分布估计来训练第二分类器；(5)将步骤(3)中的新的数据集作为新样本输入，根据贝叶斯决策，对异常样本进行预先建模，并根据步骤(4)中的概率密度分布估计设定概率密度阈值，如果新样本的概率密度分布估计值大于该阈值分类器输出为正常，反之则记为异常；(6)将以上第一分类器与第二分类器的输出结果按如下公式进行加权融合：$y\left(x\right)=\frac{1}{2}(f_{T,1}(P_1\left(x\right|{\mathrm{\ω}}_T)\≥{\mathrm{\θ}}_1)+(1-f_{T,1})(P_1\left(x\right|{\mathrm{\ω}}_T)\<{\mathrm{\θ}}_1)+(P_2\left(x\right|{\mathrm{\ω}}_T)\≥{\mathrm{\θ}}_2)+(P_2\left(x\right|{\mathrm{\ω}}_T)\<{\mathrm{\θ}}_2))$式中fT，1为样本x的决策函数值，P1(x|ωT)指对于第一分类器样本x属于类别ωT的概率密度估计，P2(x|ωT)指对于第二分类器样本x属于类别ωT的概率密度估计，θ指权值，θ1设定为0.5，θ2设定为0.8；(7)根据加权融合的结果y(x)决定网络行为是否为入侵行为，如果融合的结果y(x)小于设定阈值则判定为入侵行为，采取预警措施，否则重复步骤(3)。