[发明专利]一种基于半监督聚类的多层入侵检测方法

说明书

本发明公开了一种基于半监督聚类的多层入侵检测方法，其特征在于，主要方法为采用遗传算法将绝大多数正常流量从攻击中过滤出去；将少量带标记的数据导入到遗传算法识别出的攻击中，并通过K最邻近算法对未带标记的数据进行标记扩展；对标记扩展后的数据进行半监督聚类，聚类后每一簇的类别判定为该簇中标记数量最多的类别；利用原始标记数据和扩展后的标记数据训练一个能识别正常流量的最小二乘支持向量机，有效地筛选出了第一层遗传算法中为了提高攻击查全率而误判的正常流量。本发明只需要少量的标记数据就可以获得较优的性能，特别是针对出现频率较低的攻击，相比于传统的入侵检测系统，具有较高的查全率和准确率，并且可以及时做出响应。

技术领域

本发明涉及通信领域，具体涉及一种基于半监督聚类的多层入侵检测方法。

背景技术

计算机的广泛使用以及网络的大范围普及使得网络用户的数量不断增加，网络吞吐量变得越来越大，与此同时，网络入侵的现象也日益增多。根据美国计算机安委会以及联邦调查局网络犯罪与安全调查结果显示，每年因网络入侵而造成的损失高达130亿美元，伴随着网络的发展和数据量的增加，专家预测，未来每年因网络攻击而导致的损失将高达2000亿美元。然而随着网络攻击手段和工具的日益复杂多样，仅仅依赖传统的防火墙等安全防范措施已经无法满足用户对网络安全的需求。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于半监督聚类的多层入侵检测方法可以在网络入侵发生时及时做出响应。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种基于半监督聚类的多层入侵检测方法，其包括以下步骤：

S1、从NSL-KDD数据集中获取训练数据，从训练数据中随机选取一组正常流量作为初代种群并对其进行预处理，得到初代种群对应的特征数据；

S2、对特征数据进行预处理，得到特征数据对应的特征值，将得到的特征值表示为一组浮点数并作为父代；

S3、基于父代采用遗传算法生成新的个体，得到并保存子代；

S4、判断子代的数量是否达到阈值，若是则将所有子代共同作为检测器并进入步骤S5；否则比较子代与父代适应度函数的大小，将适应度较大的作为新的父代，返回步骤S3；

S5、获取每条待测数据与检测器中样本的最小距离，判断每条待测数据对应的最小距离是否小于等于阈值r，若是则将该待测数据作为正常流量；否则将该待测数据作为第一攻击数据；

S6、获取训练数据中的恶意攻击，并随机采取其10％的攻击作为标记数据，将标记数据导入第一攻击数据中，得到第二攻击数据；

S7、采用K最近邻方法对训练数据中未标记的恶意攻击进行攻击类型扩展标记，将扩展标记后的数据加入第二攻击数据得到第三攻击数据；

S8、对第三攻击数据进行聚类，将聚类后每一簇的类别判定为该簇中标记数量最多的类别，得到带有类别信息的第三攻击数据；

S9、根据第三攻击数据中的标记和训练数据中的正常流量构建最小二乘支持向量机，根据最小二乘支持向量机从带有类别信息的第三攻击数据中筛选出正常数据，将带有类别信息的第三攻击数据中剩下的数据作为带有类别信息的第四攻击数据；

S10、判断待测数据是否位于带有类别信息的第四攻击数据中，若是则将该待测数据检测为对应的攻击类别；否则将该待测数据作为正常流量，完成入侵检测。

进一步地，步骤S1中对初代种群进行预处理的具体方法为：

采用特征选择算法去除初代种群中冗余特征，对初代种群中的正常流量采用一种特征进行表示，得到初代种群对应的特征数据。

进一步地，步骤S2中对特征数据进行预处理的具体方法为：