[发明专利]一种面向复杂流数据事件分析的入侵检测方法

权利要求书

1.一种面向复杂流数据事件分析的入侵检测方法，其特征在于实施步骤包括：

1)预先进行样本收集，将收集的样本进行入侵检测结果标记得到训练样本数据集，将所述训练样本数据集经过数据预处理后完成对分类器的训练，所述数据预处理包括特征降维和样本约简两个步骤，且执行顺序为先特征降维再样本约简或先样本约简再特征降维；

2)将待检测的当前数据集经过所述数据预处理后输入训练好的分类器，得到分类器进行分类检测后输出的入侵检测结果。

2.根据权利要求1所述的面向复杂流数据事件分析的入侵检测方法，其特征在于，步骤1)中进行入侵检测结果标记具体是指将收集的样本标记为正常样本和攻击样本，步骤2)中输出的入侵检测结果是指输出正常或攻击。

3.根据权利要求1所述的面向复杂流数据事件分析的入侵检测方法，其特征在于，所述分类器具体为SVM分类器。

4.根据权利要求1所述的面向复杂流数据事件分析的入侵检测方法，其特征在于，所述数据预处理中的特征降维具体是指进行PCA特征降维。

5.根据权利要求4所述的面向复杂流数据事件分析的入侵检测方法，其特征在于，所述进行PCA特征降维的详细步骤包括：

A1)将输入数据集中的字符型特征映射为[0,1]范围内的数值型特征，完成输入数据集的无量纲化，得到n行m列的数据集X_nm，数据集X_nm共包含n×m个样本，且n×m个样本分别属于k个不同的类别y₁～y_k)，其中样本X_i属于类别y_i；

A2)从数据集X_nm中遍历取出一个特征作为当前特征X_i；

A3)计算当前特征X_i的协方差矩阵Cov_x’；

A4)计算协方差矩阵Cov_x’的特征值λ₁,λ₂,…,λ_m，及特征值λ₁,λ₂,…,λ_m对应的归一化特征向量a₁,a₂,…,a_m；

A5)将特征值λ₁,λ₂,…,λ_m从大到小排序，计算方差贡献率

A6)判断方差贡献率是否小于预设的方差贡献率阈值，如果小于预设的方差贡献率阈值，则跳转执行步骤A2)，否则跳转执行下一步；

A7)将特征值λ₁,λ₂,…,λ_m对应的归一化特征向量a₁,a₂,…,a_m组成一个m行k列的主成分矩阵P_mk，将主成分矩阵P_mk根据式(1)计算得到n行k列的矩阵Z_nk；

Z_nk＝X_nm×P_mk (1)

式(1)中，Z_nk表示计算得到的n行k列的矩阵，X_nm表示n行m列的数据集，P_mk表示m行k列的主成分矩阵；

A8)将n行k列的矩阵Z_nk作为PCA特征降维的结果输出。