[发明专利]基于自体半径可变的否定选择入侵检测方法

摘要

本发明公开了一种基于自体半径可变的否定选择入侵检测方法，主要解决现有否定选择方法设置固定的自体半径所形成的自体区域不能很好覆盖自体空间，从而导致检测效果较差的问题，其实现步骤是：(1)对KDD99数据集作预处理；(2)从数据集中选取部分正常数据作为自体，组成自体集S；(3)随机生成异体，利用自体与生成的异体之间的距离特征，给所有自体设置可变的自体半径；(4)训练检测器集D；(5)用检测器集D对测试数据进行检测，判断测试数据为正常或异常。本发明具有正检率高、误报率低的优点，可在自体数量较少的情况下有效改善否定选择入侵检测方法的效果，用于识别异常的网络数据，确保网络安全。

主权项

1.一种基于自体半径可变的否定选择入侵检测方法，包括如下步骤：(1)对作为入侵检测的KDD99数据集作如下预处理：1a)对于每一维文本特征，将其包含的各种取值类型依次赋整数值转化为数值特征；1b)对所有的数值特征利用如下公式进行归一化：y(m,n)=x(m,n)-Min(n)Max(n)-Min(n)]]>其中x(m，n)表示归一化前第m条数据的第n维特征，y(m，n)表示归一化后第m条数据的第n维特征，Min(n)和Max(n)表示第n维特征的取值下限和上限；(2)将预处理后的KDD99数据集中部分正常数据作为自体，组成自体集S，设置运行参数：初始的固定自体半径r_s、异体半径调节系数p_a、期望覆盖率c₀；(3)置异体集A为空，随机生成候选异体加入异体集A中，根据异体集A中的异体与自体集S中的自体之间的距离特征，重新设置每个自体的半径：3a)随机生成候选异体a，计算该候选异体与所有自体之间的欧氏距离Dis(a，s_i)：Dis(a,si)=(Σj=1L(aj-si,j)2)1/2,i=1,...,Ns,j=1,...L,]]>其中，a_j表示候选异体a的第j维的值，s_i，j表示第i个自体的第j维的值，L表示候选异体a和自体s_i在计算中所用的维数，N_s表示自体集S内自体的个数；将候选异体a与自体s_i之间的欧氏距离Dis(a，s_i)与初始的固定自体半径r_s进行比较，如果自体集S中存在自体s_i使得Dis(a，s_i)＜r_s，则将候选异体a抛弃，反之，令候选异体a的半径ra=min{Dis(a,s1),...,Dis(a,sNs)}-rs*pa,]]>并将该候选异体加入异体集A中；3b)重复步骤3a)，直到被抛弃的候选异体数达到自体数N_s时停止；3c)重新设置所有自体的半径，根据自体s_i与异体集A中所有异体之间的欧氏距离，将自体s_i的半径设置为min{Dis(a1,si)-ra1,...,Dis(aNa,si)-raNa},]]>其中，a₁为异体集A中第1个异体，为异体a₁的半径，为异体集A中第N_a个异体，为异体的半径，Dis(a₁，s_i)为异体a₁与自体s_i之间的欧氏距离，为异体与自体s_i之间的欧氏距离，N_a为异体集A内异体的个数；(4)置检测器集D为空，随机生成候选检测器加入检测器集D中，直到达到终止条件时停止；(5)利用检测器集D检测预处理后KDD99数据集中测试数据t，如果该测试数据被检测器集D中的某个检测器d覆盖，即Dis(t，d)＜r_d，将该测试数据判为异常数据，反之，将该测试数据判为正常数据，其中Dis(t，d)表示该测试数据t与检测器d之间的欧氏距离，r_d为检测器d的半径。