[发明专利]半监督异常入侵检测方法

权利要求书

1.一种半监督异常入侵检测方法，包括如下步骤：

(1)在进行入侵检测时，将正常行为对应的检测数据定义为正常数据，将各种入侵行为对应的检测数据定义为异常数据，提取训练数据中的一部分正常数据作为初始有标记样本集{x_i}，将检测数据作为初始未标记样本集{x_j}；

(2)对当前有标记和未标记样本实施模糊C均值聚类，得到初始聚类中心M＝{m₊，m_-}，其中m₊是检测数据中正常类样本的初始聚类中心，m_-是检测数据中异常类样本的初始聚类中心，正常类包含检测数据中的正常数据，异常类包含检测数据中的异常数据；

(3)基于初始聚类中心M，对当前有标记和未标记样本再次实施模糊C均值聚类，得到聚类中心其中是正常类样本的聚类中心，是异常类样本的聚类中心，并将当前所有未标记样本到各聚类中心的隶属度集合记作U＝{u_cj|j∈(1，2，...，u)，c∈(+，-)}，其中u_cj是第j个未标记样本到标记为c的聚类中心的隶属度，u是当前未标记样本集的样本数目；

(4)依据得到的隶属度集合U，从当前未标记样本集{x_j}中选取聚类标记为正且对应隶属度最大的H个样本进行标记，即H＝p×N₊，将当前有标记样本集和未标记样本集分别聚类更新为和式中N₊是当前未标记样本集中聚类标记为正的样本数目，p是从未标记样本中选取出并进行标记的比例；

(5)对上述聚类更新后的数据集和进行基于支撑矢量域描述SVDD的自训练；

(6)从聚类更新后的未标记样本集中选取判别函数值最大的H^*个样本进行标记，即将当前有标记样本集和未标记样本集分别自训练更新为和式中是聚类更新后的未标记样本集中预测标记为正的样本数目，p是从未标记样本中选取出并进行标记的比例；

(7)对上述自训练更新后的数据集和进行基于支撑矢量域描述SVDD的分类；

(8)利用上述基于支撑矢量域描述SVDD的检测数据分类结果，统计此次入侵检测的检测率和虚警率，并计算相应几何均值Gm；

(9)根据获得的几何均值是否达到最优作为终止条件，若满足则停止迭代，返回步骤(8)，输出本次入侵检测的结果，否则返回步骤(2)，直到满足终止条件为止。

2.根据权利要求1的半监督异常入侵检测方法，其中步骤(5)所述的对聚类更新后的数据集和进行基于支撑矢量域描述SVDD的自训练，按如下步骤进行：

(5a)使用支撑矢量域描述SVDD方法对聚类更新后的有标记样本集进行训练；

(5b)利用支撑矢量域描述SVDD方法的判别函数得到聚类更新后的未标记样本集中各样本的预测标记，其中a为利用支撑矢量域描述SVDD方法训练得到的超球中心，R为对应超球半径，Φ()是非线性映射函数，sgn()是符号函数，是用于预测的未标记样本。

3.根据权利要求1的半监督异常入侵检测方法，其中步骤(7)所述的对自训练更新后的数据集和进行基于支撑矢量域描述SVDD的分类，按如下步骤进行：

(7a)使用支撑矢量域描述SVDD方法对自训练更新后的有标记样本集进行训练；

(7b)利用支撑矢量域描述SVDD方法的判别函数f(x_j)＝sgn(R²-||Φ(x_j)-a||²)，得到初始未标记样本集{x_j}中各样本的预测标记，其中a为利用支撑矢量域描述SVDD方法训练得到的超球中心，R为对应超球半径，Φ()是非线性映射函数，sgn()是符号函数，x_j是用于预测的未标记样本。

4.根据权利要求1的半监督异常入侵检测方法，其中步骤(8)所述的利用基于支撑矢量域描述SVDD的检测数据分类结果，统计本发明对此次入侵检测的检测率和虚警率，并计算相应几何均值Gm，按如下步骤进行：

(8a)分别计算本发明对此次入侵检测的检测率：和虚警率：其中，TP是预测为正常类且实际为正常类样本数目，FP是预测为正常类但实际为异常类的样本数目，FN是预测为异常类但实际为正常类的样本数目，TN是预测为异常类且实际为异常类的样本数目；

(8b)计算几何均值：其中是检测数据中正常类的分类精度，是检测数据中异常类的分类精度。