[发明专利]基于分布式迁移网络学习的入侵检测系统及其方法

权利要求书

1.一种基于分布式迁移网络学习的入侵检测系统，包括：

网络行为记录预处理模块，包括已有记录预处理子模块和新记录预处理子模块；该已有记录预处理子模块，用于对已有的有标签网络行为记录集完成量化和归一化处理，并将量化和归一化处理后的参数传入新记录预处理子模块；该新记录预处理子模块，利用已有记录预处理子模块传入的参数对新的网络行为记录进行量化和归一化处理，并将量化和归一化处理后的结果传输给异常检测模块；

异常检测模块，包括异常检测学习子模块和异常检测测试子模块；该异常检测学习子模块，将预处理后的已有的有标签网络行为记录集分为正常和异常两类，从中分别随机抽取部分样本，采用分布式网络集成学习算法进行学习，生成异常检测学习机，并将该学习机传输给异常检测测试子模块；该异常检测测试子模块，采用异常检测学习机对输入的预处理后的新的网络行为记录进行分类识别，若输出结果为正常，则不作处理，结束检测，否则，将该记录传入异常行为分析模块；

异常行为分析模块，包括迁移样本预选取子模块、异常行为分析学习子模块和异常行为分析测试子模块；该迁移样本预选取子模块，将已有的有标签的网络行为记录设定源域样本和目标域有标签样本，根据目标域待指导样本对源域样本完成预选取，将选出的源域迁移样本输入异常行为分析学习子模块；该异常行为分析学习子模块，将输入的源域迁移样本和目标域有标签样本一同作为训练样本，采用引入迁移学习的分布式网络集成学习算法进行学习，生成异常行为分析学习机；该异常行为分析测试子模块，对输入的异常记录采用异常行为分析学习机进行分类识别，输出其攻击类型。

2.一种基于分布式迁移网络学习的入侵检测方法，包括如下步骤；

(1)输入已有的有标签网络行为记录集X，对该已有的有标签网络行为记录集进行量化和归一化预处理，得到预处理后的结果X′；

(2)将已有的有标签网络行为记录集预处理后的结果X′分为正常与异常两类，异常中包括M类攻击类型，从正常和异常样本中分别随机抽取一部分样本，采用分布式网络集成学习算法在含有K₁个节点的网络拓扑结构上进行T₁轮训练，生成异常检测学习机的分类器网络系统；

(3)设定X′中正常类型的样本作为源域样本集X^S，样本数为m，异常类型的样本作为目标域样本集X^T，X^T中检测率较低的异常类型的样本作为目标域待指导样本集X^T1，样本数为n₁，并将X^S平分为m/n₁份，表示为：其中[·]为取整运算，将与X^T1组合为训练集采用AdaBoost算法训练过程中调整样本权重的方法调整样本权重，选出权重较大的源域样本子集

(4)将源域样本子集与目标域其它类型样本作为训练样本，再次使用AdaBoost算法训练过程中调整样本权重的方法调整样本权重，从中去除权重较大的源域样本，将中剩余的样本组成源域迁移样本集TR_D；

(5)从目标域样本集X^T中随机抽取一部分样本组成目标域样本子集TR_S，与选出的源域迁移样本集TR_D一同作为训练样本，将TR_D赋予与目标域待指导样本相同的标签，布局含有K₂个节点的网络拓扑结构，输入采样率ρ₂、训练轮数T₂，将TR_S和TR_D分布在各节点上，生成每个节点上的训练样本集S_k，k＝1，2，…，K₂，根据该训练样本集通过如下步骤生成异常行为分析学习机：

5a)初始化各节点训练样本集S_k中样本的权重；

5b)对各节点训练样本集S_k进行有放回的加权采样，获得各节点的训练子集，到各节点的学习算法中进行训练，得到各节点的基分类器用各节点的基分类器对该S_k进行分类，其中t为当前训练轮数；

5c)根据对S_k的分类结果计算各节点上目标域样本的加权错误率ε_k，t，并根据ε_k，t，计算各基分类器的权重

5d)更新源域迁移样本和目标域样本的权重，当t＜T₂时，转步骤5b，当t＝T₂时，结束训练，得到由所有基分类器(k＝1，2，…，K₂，t＝1，2，…，T₂)组成的异常行为分析学习机的分类器网络系统；

(6)对已有的网络行为记录进行量化和归一化处理，并记录预处理后的参数：当有新的网络行为记录x″输入时，根据已有网络行为记录预处理得到的参数，对其进行量化和归一化预处理，得到预处理后的网络行为记录结果x′″；

(7)将x′″输入到步骤2生成的异常检测学习机的分类器网络系统中进行分类，得到分类结果：

H1(x′′′)=sign(Σk=1K1Σt=1T1(αk,t1hk,t1(x′′′)+Σpαp,t1hp,t1(x′′′)))]]>

其中，为异常检测学习机中各基分类器对x′″的分类结果，为各基分类器的权重，p为节点k的近邻节点标号，当H₁(x′″)为1时，表示属于正常类型，不作任何处理，结束检测过程；当H₁(x′″)为-1时，表示属于异常类型，则转入步骤(8)；

(8)将x′″输入到步骤5生成的异常行为分析学习机的分类器网络系统中进行分类，得到分类结果：

H2(x′′′)=arg maxy∈Y(Σk=1K2Σt=1T2(αk,t2I[hk,t2(x′′′)=y]+Σpαp,t2I[hp,t2(x′′′)=y]))]]>

其中，为异常行为分析学习机中各基分类器对x′″的分类结果，且其中Y＝{1，2，…，M}，1，2，…，M分别为M种攻击类型的索引号，I[·]为指示函数，其值为0或1，H₂(x′″)∈Y；

(9)将H₂(x′″)作为索引号，查找该索引号对应的攻击类型，将该攻击类型作为最终的检测结果输出。