[发明专利]基于自体半径可变的否定选择入侵检测方法

权利要求书

1.一种基于自体半径可变的否定选择入侵检测方法，包括如下步骤：

(1)对作为入侵检测的KDD99数据集作如下预处理：

1a)对于每一维文本特征，将其包含的各种取值类型依次赋整数值转化为数值特征；

1b)对所有的数值特征利用如下公式进行归一化：

y(m,n)=x(m,n)-Min(n)Max(n)-Min(n)]]>

其中x(m，n)表示归一化前第m条数据的第n维特征，y(m，n)表示归一化后第m条数据的第n维特征，Min(n)和Max(n)表示第n维特征的取值下限和上限；

(2)将预处理后的KDD99数据集中部分正常数据作为自体，组成自体集S，设置运行参数：初始的固定自体半径r_s、异体半径调节系数p_a、期望覆盖率c₀；

(3)置异体集A为空，随机生成候选异体加入异体集A中，根据异体集A中的异体与自体集S中的自体之间的距离特征，重新设置每个自体的半径：

3a)随机生成候选异体a，计算该候选异体与所有自体之间的欧氏距离Dis(a，s_i)：

Dis(a,si)=(Σj=1L(aj-si,j)2)1/2,i=1,...,Ns,j=1,...L,]]>

其中，a_j表示候选异体a的第j维的值，s_i，j表示第i个自体的第j维的值，L表示候选异体a和自体s_i在计算中所用的维数，N_s表示自体集S内自体的个数；将候选异体a与自体s_i之间的欧氏距离Dis(a，s_i)与初始的固定自体半径r_s进行比较，如果自体集S中存在自体s_i使得Dis(a，s_i)＜r_s，则将候选异体a抛弃，反之，令候选异体a的半径ra=min{Dis(a,s1),...,Dis(a,sNs)}-rs*pa,]]>并将该候选异体加入异体集A中；

3b)重复步骤3a)，直到被抛弃的候选异体数达到自体数N_s时停止；

3c)重新设置所有自体的半径，根据自体s_i与异体集A中所有异体之间的欧氏距离，将自体s_i的半径设置为

min{Dis(a1,si)-ra1,...,Dis(aNa,si)-raNa},]]>

其中，a₁为异体集A中第1个异体，为异体a₁的半径，为异体集A中第N_a个异体，为异体的半径，Dis(a₁，s_i)为异体a₁与自体s_i之间的欧氏距离，为异体与自体s_i之间的欧氏距离，N_a为异体集A内异体的个数；

(4)置检测器集D为空，随机生成候选检测器加入检测器集D中，直到达到终止条件时停止；

(5)利用检测器集D检测预处理后KDD99数据集中测试数据t，如果该测试数据被检测器集D中的某个检测器d覆盖，即Dis(t，d)＜r_d，将该测试数据判为异常数据，反之，将该测试数据判为正常数据，其中Dis(t，d)表示该测试数据t与检测器d之间的欧氏距离，r_d为检测器d的半径。