[发明专利]一种基于多经验核学习的网络入侵检测方法

权利要求书

1.一种基于多经验核学习的网络入侵检测方法，包括以下步骤：

1)预处理：通过网络工具获取网络入侵的数据集，将采集的数据集的特征转为数据矩阵,并对所有离散特征进行one-hot转换；

2)训练第一步：对一个包括正、负类样本的不平衡网络入侵数据的训练样本集进行学习，得到万有引力平衡的样本GBMS及其近邻样本NNB，具体如下：

假设不平衡网络入侵数据的训练样本集为X＝{x_i,y_i,(i＝1,2,...,N),y_i∈{+1,-1}}，其中正类样本即网络入侵数据：X_pos＝{x_i|x_i∈X,y_i＝1}，负类样本即正常的网络数据：X_neg＝{x_j|x_j∈X,y_j＝-1}；在所述方法中，首先找出距离每个负类样本最近的少数类样本，然后计算所有负类样本与距离其最近的正类样本的中点MS：；根据所有训练样本和测试样本计算半径R:，对每个MS来说，距离它R以内的样本称为候选样本，Candi|Candi∈X,d(candi,MS_j)＜R；MS的万有引力就是所对应候选集内的正负类样本对它的万有引力：

将所有MS对应的万有引力进行排序，选择万有引力较小的前30％的MS样本成为万有引力平衡样本GBMS；假设生成的GBMS样本有g个，表示为GBMS用于拟合分类边界，为了防止得到的分类边界过拟合，对于每一个GBMS样本，在训练样本中找到它的3个最近邻样本NNB用来扰动分类边界的生成；选择的这些近邻训练样本NNB是靠近分类边界的真实样本，可表示为类似地，

3)训练第二步：将训练样本和得到的GBMS和NNB样本进行多经验核映射，得到多个核空间中的训练样本、GBMS和NNB样本；其中经验核映射(Empirical Kernel Mapping，EKM)定义为：Φ^e:X→F，m个核空间，它们对应的经验核映射可以表示为

4)训练第三步：利用每个核空间映射后的GBMS和NNB样本，分别生成两个正则化项，并代入多经验核学习的目标函数中；其特征在于，所述利用每个核空间映射后的GBMS和NNB样本，分别生成两个正则化项，并代入多经验核学习的目标函数中；

所述万有引力平衡样本GBMS所生成的正则化项R_GBMS定义如下：

R_GBMS＝(Y_l^Gw_l)^T(Y_l^Gw_l)

其中，Y_l^G表示所述GBMS样本映射在第l个核空间的增广矩阵；假设有m个核空间，它们对应的经验核映射可以表示为；则是权重向量，W为增广向量；所述GBMS样本的近邻样本NNB样本生成的正则化项R_NNB定义如下：

R_NNB＝(Y_l^Bw_l)^T(Y_l^Bw_l)

其中，w_l为第l个核空间的增广权向量w_l0为f_l的偏移量，Y_l^B表示所述NNB样本映射在第l个核空间的增广矩阵，即；

原始MultiK多经验核学习的目标函数为：

，其中对应于由映射样本集所决定的特征空间中的学习参数，λ是控制因子，用以协调前项和后项之间的平衡；

将所述两个正则化项代入多经验核学习的框架中得到目标函数如下：

其中，f_l表示第l个核空间的基分类器，α_l和β_l是控制参数，分别控制正则化项R_GBMS和R_NNB在GBMKL模型中的权重，w_l为第l个核空间的增广权向量D_ir为每个核空间的权重，N是样本数，c₁是正则项系数，λ表示多核空间损失的参数，用于调节权重；

5)训练第四步：对所述目标函数进行求解，得到并记录最终的判定函数；具体如下：

为了求出最优的权值向量w_l，采用启发式梯度下降法对所述目标函数进行优化；所述目标函数分别对w_l和b求导可以得到：

其中，是一个对角矩阵，最后一维的对角元素及非对角的元素均为0，其他对角元素均为1，可以得到b_l＝Y_lw_l-1_N×1；b_l表示样本在第l个核空间中与f_l的边界向量，且b_l的值是非负的；本模型通过误差向量e_l来更新b_l：

其中，p为迭代次数，ρ为学习率，且ρ＞0，误差向量e_l＝Y_lw_l-1_N×1-b_l，表示第l个视角下第p轮迭代，L是损失函数，Y_l表示所述NNB样本映射在第l个核空间的增广矩阵，1_N×1表示N×1维的各个分量均为1的列向量，c_l：表示正则化项的系数，α_l和β_l是控制参数，分别控制正则化项R_GBMS和R_NNB在GBMKL模型中的权重，λ表示多核空间损失的参数，用于调节权重；我们定义了参数ξ为终止条件，当||L^p+1-L^p||₂≤ξ时，停止迭代；

6)测试第一步：对于待检测的样本，利用与训练过程同样的多经验核函数进行核映射；

7)测试第二步：利用所述的判定函数对映射后的待检测样本进行预测，并将多个核空间的结果进行投票，将待检测样本判定为得到投票数最多的类别；其特征在于，所述利用所述的判定函数对映射后的待检测样本进行预测，并将多个核空间的结果进行投票，将待检测样本判定为得到投票数最多的类别；最终的判别函数为：

如果L(x)0那么该样本为少数类样本，即包含网络入侵的数据，否则为多数类样本，即正常的网络数据。