[发明专利]用于信息系统入侵检测的在线单分类主动机器学习方法

权利要求书

1.一种用于信息系统入侵检测的在线单分类主动机器学习方法，其特征在于，所述用于信息系统入侵检测的在线单分类主动机器学习方法包括：

第一步，使用信息系统中较易获得且数量最多的一类数据对分类器进行初始化；

第二步，对于信息系统中实时数据，根据所得初始分类器模型，对实时数据的属性类型根据一定策略给出预测，同时，若满足某种条件，请求专家给出专业判定，并对分类器模型做出更新；对于信息系统中实时数据，根据所得初始分类器模型，对实时数据的属性类型根据一定策略给出预测，同时，若满足某种条件，对分类器模型做出更新；具体包括：在时刻t，对于信息系统中实时数据x_t，根据所得初始分类器模型w，对x_t的属性类型根据一定策略给出预测；同时，若满足某种条件，对分类器模型w做出更新；设置未标记池为一个容量为N的队列，用于存储最多N个在不同时刻t的数据x_t；初始化未标记池为空；

进一步包括：

(1)在时刻t，对于信息系统中实时数据x_t，根据所得初始分类器模型w，计算临时值f_t＝||w-x_t||，并判断若f_t＞epsilon，则给出实时数据x_t的预测标签为1，即该数据为异常数据；其中，epsilon为用户设定的参数，为大于零的实数，表示包括多数类数据的超球体的半径；

(2)若当前未标记池小于其最大容量且当前预测值正确时，将实时数据x_t及临时值f_t的组合存入未标记池中；

(3)每隔一定时刻t′，取出未标记池中最大的f_t及其对应的x_t，请求相关领域专家判断x_t的数据类型是否为异常类型，其中，f_t的值越大，代表分类器将此条数据视为异常类型的置信度更高，是更有价值、更值得请专家进行判定的数据；此时，若专家给出与分类器相反的结论，则执行第三步更新分类器模型；第三步结束后继续执行(1)；

第三步，更新分类器模型。

2.如权利要求1所述的用于信息系统入侵检测的在线单分类主动机器学习方法，其特征在于，所述第一步使用信息系统中较易获得且数量最多的一类数据对分类器进行初始化包括：

(1)输入数据共有n个，每个为1×d维向量，对于所有输入数据构成的n×d维矩阵X，使用随机种子产生X的乱序排列X′；设初始模型w为1×d维向量，赋其初值为1×d维随机数；

(2)依次判断输入数据X′中每一个实例，即1×d维向量x，判断其是否为多数类数据：若是，则执行第三步；否则执行(2)；

(3)判断当前数据样本集中所有的样本是否已全部被处理完毕，即判断数据样本X′是否全部经过上述计算步骤；若是，则执行第二步；若否，则执行(2)。

3.如权利要求1所述的用于信息系统入侵检测的在线单分类主动机器学习方法，其特征在于，所述第三步的分类器模型的更新方式为：

(1)根据以下公式(1)计算临时值l，若l＞0，则执行(2)，否则结束；

l＝||w-x||-epsilon (1)

其中，||w-x||为(w-x)的二范数；

(2)根据以下公式(2)更新初始模型w；

4.一种应用权利要求1～3任意一项所述用于信息系统入侵检测的在线单分类主动机器学习方法的机器学习平台。