[发明专利]一种网络入侵异常检测方法

摘要

本发明公开了一种网络入侵异常检测方法。本发明针对网络入侵异常检测模型输入特征的高维共线性问题，首先通过基于主元分析(PCA)的特征提取技术对输入变量进行潜在特征提取，消除变量间的共线性；然后采用基于互信息(MI)的特征选择技术对PCA提取的潜在变量进行选择，进而实现与异常检测模型输出类别最为相关的相互独立的特征变量的选择；最后，以这些特征输入，基于具有较快学习速度的随机向量泛函联接(RVFL)网络建立检测模型。抵消了主元分析提取的特征与模型输出不相关、基于互信息的特征选择需要考虑变量间的相关性的缺点，有效地解决了网络入侵异常检测模型输入特征的高维共线性问题。

主权项

一种网络入侵异常检测方法，包括：S100、基于贡献率期望值对网络特征训练样本进行主元分析(PCA)，获取由相互独立的特征向量组成的第一特征集合；S200、根据如下公式计算第一特征集合中各特征向量与网络特征训练样本对应的网络入侵类别之间的互信息，Muin(y0;zh0)=∫∫p(y0,zh0)logp(y0,zh0)p(zh0)p(y0)d(zh0)dy0=H(y0)-H(y0|zh0)]]>其中，Z0h为第一特征集合的特征向量，y0为对应的网络入侵类别，Muin(y0；z0h)为所述互信息，和p(y0)是和y0的边际概率密度；是联合概率密度；是条件熵，H(y0)是信息熵；选取互信息大于选择阈值的特征向量作为第二特征集合的元素，并记录第二特征集合的元素在第一特征集合中的位置；S300、以最小化训练误差和输出权值范数为目标，基于结构参数以随机向量泛函连接(RVFL)建模方法根据所述第二特征集合以及对应的网络入侵类别计算RVFL模型的输出权值,包括根据如下公式计算所述RVFL模型的输出权值：β^=H+Y]]>其中，H+表示隐含层矩阵的Moore‑Penrose广义逆，为所述隐含层矩阵，h(x)＝[G(a1,b1,x),…,G(ai,bi,x)]，G(ai,bi,zsel)＝g(ai·zsel+bi)为表示第i个隐含节点的激励函数，zsel为所述第二特征集合；NRVFL为结构参数，用于限定隐含层节点的个数；ai和bi是隐含层参数，βi是连接第i个隐含节点的输出权值，Y为所有网络特征训练样本对应的网络入侵类别组成的向量,所述结构参数NRVFL根据如下公式计算获得：NRVFL＝2*h’+1其中，h’为第二特征集合的元素数量；S400、判断根据当前的贡献率期望值、选择阈值以及结构参数建立的检测模型的识别率是否最大，如果否，执行步骤S500，如果是，执行步骤S600；S500、调整所述贡献率期望值、选择阈值以及结构参数，执行步骤S100；S600、将当前PCA模型、第二特征集合的元素在第一特征集合中的位置以及RVFL模型的输出权值记录为模型参数；S700、检测获取网络特征测试样本；S800、基于训练样本构建的主元分析模型获取所述网络特征测试样本的第一特征集合；S900、根据第二特征集合的元素在第一特征集合中的位置选择获取所述网络特征测试样本的第二特征集合；S1000、根据RVFL模型的输出权值以及所述网络特征测试样本的第二特征集合计算获取网络入侵类别,包括根据如下公式计算计算获取网络入侵类别：ytest=Σi=1NRVFLβiG(ai,bi,zsel)]]>其中，ytest为所述网络入侵类别，Zsel为所述网络测试样本的第二特征集合。