[发明专利]一种基于半监督聚类的多层入侵检测方法

权利要求书

1.一种基于半监督聚类的多层入侵检测方法，其特征在于，包括以下步骤：

S1、从NSL-KDD数据集中获取训练数据，从训练数据中随机选取一组正常流量作为初代种群并对其进行预处理，得到初代种群对应的特征数据；

S2、对特征数据进行预处理，得到特征数据对应的特征值，将得到的特征值表示为一组浮点数并作为父代；

S3、基于父代采用遗传算法生成新的个体，得到并保存子代；

S4、判断子代的数量是否达到阈值，若是则将所有子代共同作为检测器并进入步骤S5；否则比较子代与父代适应度函数的大小，将适应度较大的作为新的父代，返回步骤S3；

S5、获取每条待测数据与检测器中样本的最小距离，判断每条待测数据对应的最小距离是否小于等于阈值r，若是则将该待测数据作为正常流量；否则将该待测数据作为第一攻击数据；

S6、获取训练数据中的恶意攻击，并随机采取其10％的攻击作为标记数据，将标记数据导入第一攻击数据中，得到第二攻击数据；

S7、采用K最近邻方法对训练数据中未标记的恶意攻击进行攻击类型扩展标记，将扩展标记后的数据加入第二攻击数据得到第三攻击数据；

S8、对第三攻击数据进行聚类，将聚类后每一簇的类别判定为该簇中标记数量最多的类别，得到带有类别信息的第三攻击数据；

S9、根据第三攻击数据中的标记和训练数据中的正常流量构建最小二乘支持向量机，根据最小二乘支持向量机从带有类别信息的第三攻击数据中筛选出正常数据，将带有类别信息的第三攻击数据中剩下的数据作为带有类别信息的第四攻击数据；

S10、判断待测数据是否位于带有类别信息的第四攻击数据中，若是则将该待测数据检测为对应的攻击类别；否则将该待测数据作为正常流量，完成入侵检测；

所述步骤S8的具体方法包括以下子步骤：

S8-1、随机选取k个聚类质心点μ₁,μ₂,...,μ_k∈Rⁿ，根据公式

c^(p)＝argmin_q||x^(p)-μ_q||²

获取第三攻击数据中的每一个成员所属的类别；其中x^(p)表示第p个成员；μ_q表示第q个聚类中心；c^(p)为与成员x^(p)的欧式距离最近的簇；

S8-2、根据公式

更新每一类的聚类中心并返回步骤S8-1，直至收敛完成聚类；其中m表示成员总数；

S8-3、将聚类后每一簇的类别判定为该簇中标记数量最多的类别，得到带有类别信息的第三攻击数据。

2.根据权利要求1所述的基于半监督聚类的多层入侵检测方法，其特征在于，所述步骤S1中对初代种群进行预处理的具体方法为：

采用特征选择算法去除初代种群中冗余特征，对初代种群中的正常流量采用一种特征进行表示，得到初代种群对应的特征数据。

3.根据权利要求1所述的基于半监督聚类的多层入侵检测方法，其特征在于，所述步骤S2中对特征数据进行预处理的具体方法为：

对特征数据进行数字化编码，并对数字化编码后的特征数据进行归一化，得到特征数据对应的特征值。

4.根据权利要求1所述的基于半监督聚类的多层入侵检测方法，其特征在于，所述步骤S5中获取每条待测数据与检测器中样本的最小距离的方法包括：

根据公式

中的任一个获取任一条待测数据与检测器中样本的最小距离d_min，进而得到每条待测数据与检测器中样本的最小距离；其中x_i和y_i分别表示待测数据和检测器样本的第i个特征；n为特征总数；f为常数。

5.根据权利要求1所述的基于半监督聚类的多层入侵检测方法，其特征在于，所述步骤S5中阈值r的取值范围为[0,1]。

6.根据权利要求1所述的基于半监督聚类的多层入侵检测方法，其特征在于，所述步骤S9中最小二乘支持向量机的模型为：

其中α_h为拉格朗日乘子；y_h为第h个训练数据的标记；ξ为松弛变量；x_h为第h个训练数据；N为训练数据的总数；(·)^T为矩阵的转置；b为位移项；l(·)为原始特征空间到高维特征空间的映射函数。