[发明专利]一种基于集成学习和半监督SVM的计算机入侵检测方法

摘要

本发明公开了一种基于集成学习和半监督SVM的计算机入侵检测方法，主要用于解决现有技术在处理计算机入侵检测问题时，在标记样本非常有限且数据集严重不平衡的情况下，对攻击样本的分类准确率较低的问题。其实现步骤为：(1)归一化入侵检测数据集；(2)初始有标记样本集和未标记样本集；(3)训练SVM分类器，对未标记样本预测得到预测标记；(4)训练半监督SVM分类器，迭代更新未标记样本的标记；(5)移除支持向量对应的样本数据；(6)使用T个分类模型预测未标记样本的标记；(7)将T组标记输入基于邓恩指数的集成分类器中，得到最终检测结果并输出。在标记样本非常少的数据上，本发明提高了攻击样本的检测精度，可用于训练样本非常少的计算机入侵检测。

主权项

一种基于集成学习和半监督SVM的计算机入侵检测方法，包括如下步骤：步骤1，将一个包括正常样本和攻击样本的计算机入侵检测数据集中的所有数据归一化到区间[0,1]；步骤2，从该入侵检测数据集中选取标记样本集和未标记样本集；统计该入侵检测数据集中正常样本的数量和攻击样本的数量，分别将正常样本和攻击样本记为多数类numpos和少数类numneg，然后从这两类中随机选取一部分作为标记样本集其中xi是标记样本，yi是标记样本xi的标记，用于标识标记样本xi是攻击样本还是正常样本，i是选取的标记样本，l是标记样本的个数；将剩余的数据作为未标记样本集其中xj是未标记样本，j是选取的未标记样本，u是未标记样本的个数；步骤3，使用标记样本集训练SVM分类器，使用SVM分类器对未标记样本集进行预测，得到未标记样本集的预测标记集其中yj是未标记样本xj的预测标记；步骤4，使用标记样本集、未标记样本集及预测标记集训练半监督SVM分类器，使用半监督SVM分类器迭代更新未标记样本的预测标记集输出并记录此时的分类模型modelt，其中，t为步骤4当前已经执行的次数，modelt表示步骤4执行第t次时得到的分类模型；步骤5，提取半监督SVM分类器输出的分类模型modelt中的负类支持向量对应的样本，在标记样本集和未标记样本集中移除与负类支持向量对应的样本；步骤6，如果半监督SVM分类器输出的分类模型modelt中的负类支持向量不为空，则返回执行步骤3，否则执行步骤7；步骤7，设步骤4总共执行了T次，则得到T个分类模型使用对未标记样本集进行预测，得到T组未标记样本集的预测标记集其中t表示选取的分类模型，j表示选取的未标记样本，u表示未标记样本的个数，yj,t表示第t组未标记样本集中第j个样本的预测标记；步骤8，将标记样本集未标记样本集及T组未标记样本集的预测标记集输入基于邓恩指数的集成学习分类器中，得到未标记样本集的最终分类结果根据最终分类结果确定入侵检测数据集中的正常样本和攻击样本。