[发明专利]一种高效的半监督多层次入侵检测方法及系统

权利要求书

1.一种高效的半监督多层次入侵检测方法，其特征在于，至少包括如下步骤：

步骤一、将数据集中的符号属性转化为数值型属性，然后将所有数值型属性归一化；

步骤二、将经过数值化和归一化处理之后的数据，作为构建Kd-tree的数据集，计算结点的密度权值与距离权值，在高样本密度区选择K-means算法的初始聚类中心；

步骤三、将聚类之后的数据分成三个类簇，借助改进的Tri-training方法扩充有标签数据集，采用加权投票规则对无标签样本打标签；

步骤四、经过扩充后的有标签数据集作为分类器的输入，分类器采用二叉树型，每一层都采用二分类器。

2.根据权利要求1所述的高效的半监督多层次入侵检测方法，其特征在于：上述步骤一具体为：首先用数据集中的protocol_type、service、flag三个符号属性各值出现的频次替代原属性值，然后用最小-最大化方法对全部数值属性归一化处理，使得各属性取值处于同一个数量级，以此得到标准化的数据集。

3.根据权利要求1或2所述的高效的半监督多层次入侵检测方法，其特征在于：上述步骤二具体为：首先计算数据集中具有最大方差值的维度作为split值，将数据集划分成左右子空间，并按照同样的方法划分构建Kd-tree；其次，计算每一个叶子结点的体积、密度及加权密度，选择密度权重最大的叶子结点作为第一个种子中心，剩下的种子通过计算叶子结点的距离估计来确定，叶节点距离估计值是与其相距最近的聚类中心的距离，并在每计算完一个新的聚类中心后更新，如此不断地迭代直到最终的聚类中心集合不在发生变化。

4.根据权利要求3所述的高效的半监督多层次入侵检测方法，其特征在于：上述步骤三具体为：扩充后的数据按照有无标签划分为：全部为有标签、混合、全部为无标签三种；全部为无标签的类簇根据最近邻规则找到距离其最近的有标签类簇合并形成混合类簇；混合类簇则通过Tri-training方法给无标签数据打标签，分类器投票采用加权投票规则给无标签数据打标签。

5.根据权利要求4所述的高效的半监督多层次入侵检测方法，其特征在于：上述步骤四具体为：第一层设计为具有二叉树形式的树形分类器，树形分类器分四级，为提高分类效率及准确率，每一级都设置为二分类器，每一个二分类器输出样本所属类别的概率，第一级数据划分为DOS和C2，第二级将C2中的数据划分为Probe和C3，第三级将C3划分为R2L和C4，第四级将C4划分成U2R和Normal；将所有概率输出值作为第二层分类器的输入，判断最终的决策。

6.一种高效的半监督多层次入侵检测系统，其特征在于，至少包括：

模块A、将数据集中的符号属性转化为数值型属性，然后将所有数值型属性归一化；

模块B、将经过数值化和归一化处理之后的数据，作为构建Kd-tree的数据集，计算结点的密度权值与距离权值，在高样本密度区选择K-means算法的初始聚类中心；

模块C、将聚类之后的数据分成三个类簇，借助改进的Tri-training方法扩充有标签数据集，采用加权投票规则对无标签样本打标签；

模块D、经过扩充后的有标签数据集作为分类器的输入，分类器采用二叉树型，每一层都采用二分类器。

7.根据权利要求6所述的高效的半监督多层次入侵检测系统，其特征在于：上述模块A具体为：首先用数据集中的protocol_type、service、flag三个符号属性各值出现的频次替代原属性值，然后用最小-最大化方法对全部数值属性归一化处理，使得各属性取值处于同一个数量级，以此得到标准化的数据集。