[发明专利]半监督异常入侵检测方法

摘要

本发明公开了一种基于模糊聚类和支撑适量域描述的半监督异常入侵检测方法，主要用于解决现有技术对入侵检测数据检测率低且虚警率高的问题。其实现步骤为：(1)初始有标记样本集和未标记样本集；(2)初始聚类中心；(3)实施模糊C均值聚类；(4)依据聚类结果更新有标记样本集和未标记样本集；(5)实施基于支撑矢量域描述SVDD的自训练；(6)依据自训练结果更新有标记样本集和未标记样本集；(7)实施基于支撑矢量域描述SVDD的分类；(8)评估入侵检测结果并输出。本发明在提高检测率的同时，降低了虚警率，可用于训练数据仅包含极少正常数据的实时入侵检测系统。

主权项

1.一种半监督异常入侵检测方法，包括如下步骤：(1)在进行入侵检测时，将正常行为对应的检测数据定义为正常数据，将各种入侵行为对应的检测数据定义为异常数据，提取训练数据中的一部分正常数据作为初始有标记样本集{x_i}，将检测数据作为初始未标记样本集{x_j}；(2)对当前有标记和未标记样本实施模糊C均值聚类，得到初始聚类中心M＝{m₊，m_-}，其中m₊是检测数据中正常类样本的初始聚类中心，m_-是检测数据中异常类样本的初始聚类中心，正常类包含检测数据中的正常数据，异常类包含检测数据中的异常数据；(3)基于初始聚类中心M，对当前有标记和未标记样本再次实施模糊C均值聚类，得到聚类中心其中是正常类样本的聚类中心，是异常类样本的聚类中心，并将当前所有未标记样本到各聚类中心的隶属度集合记作U＝{u_cj|j∈(1，2，...，u)，c∈(+，-)}，其中u_cj是第j个未标记样本到标记为c的聚类中心的隶属度，u是当前未标记样本集的样本数目；(4)依据得到的隶属度集合U，从当前未标记样本集{x_j}中选取聚类标记为正且对应隶属度最大的H个样本进行标记，即H＝p×N₊，将当前有标记样本集和未标记样本集分别聚类更新为和式中N₊是当前未标记样本集中聚类标记为正的样本数目，p是从未标记样本中选取出并进行标记的比例；(5)对上述聚类更新后的数据集和进行基于支撑矢量域描述SVDD的自训练；(6)从聚类更新后的未标记样本集中选取判别函数值最大的H^*个样本进行标记，即将当前有标记样本集和未标记样本集分别自训练更新为和式中是聚类更新后的未标记样本集中预测标记为正的样本数目，p是从未标记样本中选取出并进行标记的比例；(7)对上述自训练更新后的数据集和进行基于支撑矢量域描述SVDD的分类；(8)利用上述基于支撑矢量域描述SVDD的检测数据分类结果，统计此次入侵检测的检测率和虚警率，并计算相应几何均值Gm；(9)根据获得的几何均值是否达到最优作为终止条件，若满足则停止迭代，返回步骤(8)，输出本次入侵检测的结果，否则返回步骤(2)，直到满足终止条件为止。